了解NIST CSF以评估您的组织，勒索软件准备就绪

勒索软件攻击的数量和影响不断增加，主要原因是组织的安全控制薄弱。中端市场公司是目标，因为它们拥有大量有价值的数据，但缺乏大型组织的保护性控制和人员配置。

根据RSM最近的一项调查，62%的中端市场公司认为他们在未来12个月内面临勒索软件的风险。网络安全领导人的情绪介于“头脑风暴”和“这让我严重偏头痛”之间

由于勒索软件仍然是参与者将其访问货币化的首选方式，因此迫切需要了解组织的准备程度，并在攻击者能够利用漏洞之前识别和补救漏洞。

精简的网络安全团队可以通过遵循NIST CSF框架，对每个核心功能“识别”、“保护”、“检测”、“响应”和“恢复”问自己：“我们有这样的功能吗？”来快速评估勒索软件的准备情况：

识别

资产管理是了解组织的所有关键资产是什么、它们位于何处、谁拥有这些资产以及谁有权访问这些资产的过程。需要对数据进行分类，以便对访问进行管理，并且公司可以从确保数据的完整性中获益。组织只需要根据其分类保护其部分数据的机密性。确保数据实用性和真实性的控制为组织带来真正的价值。

保护

身份是定义个人和组织之间关系的一种数据形式。它通过凭据（用户名和密码）进行验证，一旦受到破坏，安全事件将成为事件。例如，使用泄露的凭据允许威胁参与者将勒索软件安装到您的计算机上。根据Microsoft Defender报告2022，遵循98%的基本安全卫生，如多因素身份验证（MFA），应用零信任原则，保持软件更新，并使用扩展检测和响应反恶意软件，仍然可以抵御98%的攻击。

保护身份的另一个关键方面是意识培训；帮助员工识别恶意附件或链接。当涉及违反模拟时，重要的是奖励表现出色的员工，而不是惩罚表现不佳的员工。如果执行不当，违规模拟会严重阻碍员工对组织的信任。

良好的数据安全性可以保护您的数据免受勒索软件的攻击，并允许您从攻击中恢复。这意味着拥有适当的访问管理、加密和备份。虽然这听起来很基本，但许多组织至少在上述一项或两项方面还不够。属于NIST CSF“保护”功能的其他控制包括漏洞管理、URL过滤、电子邮件过滤和限制提升权限的使用。

限制软件安装至关重要；如果你不能安装软件，你就不能安装勒索软件。然而，一些勒索软件可以成功利用现有漏洞，绕过受限制的安装控制，提升权限。

这使我们进入NIST CSF“保护”功能下的下一个控制：政策控制。策略实施软件可以减少实施控制所需的人员数量，如限制仅使用和安装授权软件或限制使用提升的权限。

发现

解决这一功能下控制要求的技术确实可以有所作为，但前提是必须有人为因素。这里有很多首字母缩略词：用户和实体行为分析（UEBA）、集中日志管理（CLM）、威胁情报（TI）和EDR/XDR/MDR。

勒索软件很容易被好的UEBA检测到，因为它做的事情没有好的软件能做到。此技术只能检测勒索软件—；它无法阻止或阻止它。预防需要其他软件，如网络钓鱼预防、安全持续监控和EDR/XDR/MDR。根据IBM的《2022年违约成本报告》，拥有XDR技术的组织比没有XDR的组织识别并遏制违约的时间快29天。此外，具有XDR的组织的违约成本降低了9.2%，这听起来可能是一个小小的改进，但平均违约成本为450万美元，这意味着节省了近50万美元。

回应

无论组织的控制和工具有多好，总会有一些事情需要人为的反应。制定计划并对其进行测试大大降低了违约成本；根据报告，平均减少266万美元。

额外的控制可以最大限度地提高勒索软件的准备程度：拥有通信模板（以确保团队知道在事件中要联系什么、如何联系以及联系谁），执行强制事件分析，以及将安全编排、自动化和响应（SOAR）技术部署为单独的产品或XDR解决方案的本地部分。

恢复

制定恢复计划、不可变的云备份和事件通信计划是最大限度地提高组织勒索软件准备程度的三个关键控制。

勒索软件的恢复计划必须包括恢复加密数据、重新建立操作系统以及在发生漏洞时恢复客户信任的方法。

勒索软件通过阻止访问数据来工作。如果可以从未受勒索软件（不可变备份）感染的设备恢复数据，那么恢复的路径可以快速且相对免费。根据Microsoft Defender 2022报告，44%受勒索软件影响的组织没有不可变的备份。

事件沟通计划通过提供快速提醒和协调内部和外部利益相关者的机制，同时监控客户情绪，提高了组织的反应能力，并将声誉损害降至最低。

为了帮助网络安全领导者建立勒索软件的恢复能力，Cynet正在提供一个基于NIST的快速勒索软件准备度评估，并深入了解核心功能。

下载Cynet的勒索软件准备评估，以帮助检查安全控制的弹性。