上周的网络安全新闻让人相当沮丧.
我读过一篇文章,说一家网络安全保险公司拒绝为默克公司的数据泄露事件支付费用,因为它是来自俄罗斯的NotPetya,是被设计成网络战工具的. “战争行为”不在保险单承保范围内. 一家大型航运公司也受到了影响. 我听说唯一一件使船公司免于总损失的事, 他们的整个网络在全球范围内遭到破坏是东非的一次电力故障,导致部分服务器“脱机”。. 因为他们没有上网,所以没有被感染. 这些“干净的服务器”被命令停止运行,空运回总部,成为重建网络的核心.
昨天晚上我读了《APP客户端》, 这通常是Ryuk的前驱感染, 可以追溯到朝鲜吗. 这又是一场战争吗?
我昨晚还读到一篇文章,说新的窗户。恶意软件可以连接到电脑上, 在安全模式下重启,这样核心防御就全部失效了, 完成感染和更改,允许它在设备上秘密操作,然后重新启动回到正常操作!
周一,我观看了一场高级别的演示,内容是这些坏人如何攻击我们所有的备份.
一位我非常尊敬的演讲者可能是我在这类事情上遇到的最聪明的人,他发表了以下评论:
“一切都可以被打败. 你将被攻破. 为系统的故障做好计划. 在一天结束的时候,最重要的是备份."
这正是我们建议您使用多种工具进行分层防御的原因,同时还建议请专业的安全分析师监视您的网络. 如果一道防线失败了,我们还有b计划和c计划. 如果我们不能阻止感染, 我们可以通过设备上的行为或防火墙来检测它, 然后希望阻止横向移动,以极大地限制对服务器和工作站的损害.
主持人强调,你需要知道你有好的备份,如果不好的事情发生了, 你有办法恢复你的系统到他们的方式,没有严重的数据丢失.
然而,他们强调了几个要点:
- 坏人正在积极寻找你的备份. 他们正在按名称查找您的备份软件. 他们正在寻找备份代理和备份相关的注册表项在您的端点上. 他们想做三件事:
- 进入你的备份并修改它们,这样你就不知道你正在被破坏.
- 禁用备份客户端,使其完全不备份
- 直接删除备份.
- 您是否真的认真地调查了某些服务器上的备份失败的原因?
- 你真的在阅读你的日志并对你所看到的保持警惕吗?
- 您是否真的通过测试还原来证明您确实拥有未损坏的数据?
- 坏人正在积极寻找所有USB连接存储设备, NAS驱动器和CIF共享破坏/删除内容.
- 许多人都在尝试将“手动”备份实现为气隙备份, 最后的手段备份到可移动磁盘. 然而, 坏人首先会寻找存储来杀死它,其次手动进程会失败,因为每个人都很忙, 生病的, 或者离开这个地区. 然后放弃该过程.
- 许多组织正在重新访问磁带(真的)作为自动化的, 完全断开连接, 档案备份集放在架子上以防最坏的情况发生. 目前的LTOAPP客户端在那些传统的LTO尺寸的磁带上具有惊人的密度.
- 坏人不只是在找你的现场数据. 他们正在寻找你的云数据:
-
- 云备份
- 异地复制的云备份
- 网站
- 谷歌 Apps 谷歌 Drive云存储
- OneDrive云存储
-
- 你如何保护云数据?
- 哪些保护措施已经到位,或者应该到位?
随着人们将越来越多的员工和学生数据转移到云端, 谷歌或微软究竟能恢复你的数据,这个问题变得至关重要. 谷歌通常可以在25天内恢复数据. 微软办公软件 365可以在30天内恢复数据. 然而, 就粒度而言,“恢复”在不同情况下的含义存在一些严重的限制. 全部或不恢复,以及如果文件夹/目录结构被破坏会发生什么. 你的里程可能会有所不同. 请咨询您的提供商,了解在您的环境中可以做什么和不可以做什么的详细信息.
为谷歌 Apps或办公室 365添加云备份产品可能是为了提供我们在传统备份产品中都习惯的备份/恢复功能. (更多信息请咨询丽莎).
在我所写的内容中,有很多内容需要讨论和解释. 我们很高兴与您一起解决所有这些问题,并帮助您更好地定位您的地区,以确保您的安全, 我们都面临着更加复杂的威胁.
给我们打电话.
最近的评论