|
“注意缝隙”
随着战争的展开,这些“黑客主义”游击队在战斗中向双方开枪, 俄罗斯残酷的网络战活动的细节继续曝光. 看来俄罗斯的网络战士在攻击中使用了一种叫做“密封雨刷”的东西.
据我所知,俄罗斯的目标是彻底摧毁. ransomware. 有报道称,他们放置了“假”的勒索软件屏幕,在删除数据时将受害者冻结在原地, 服务器, 虚拟基础设施——一切.
他们不想要钱. 他们想要混乱.
两周前,我参加了一个为期一天的网络安全研讨会. 有一个讨论是关于如果你受到勒索软件攻击,你应该怎么做.
选择是断开受影响的服务器与网络的连接,或者拔掉电源插头并使服务器崩溃. 《亚虎app官方下载》和《APP客户端》的《亚虎app官方下载》都有网络隔离选项,可以隔离服务器,直到帮助到来“弄清楚”,这非常好.
然而,在赫尔墨斯的情况下,目标是破坏和删除. 让服务器开着只会让破坏继续下去. 对于交换机或服务器,普遍接受的答案是,关闭设备会丢失有关正在发生什么的所有当前取证数据. 我不确定他们试图杀死你并完全删除你的事实是否需要更多的法医数据. 最终的共识是,这是一个具体情况具体分析的决定,取决于你当时所知道的情况.
然而, 如果这些武器指向我们, 现实情况是,如果他们破坏并删除您的服务器. 在这一点上,最重要的是你的恢复能力. 这当然是指你的备份.
本周,我希望大家思考以下问题:
- 检查备份的状态. 如果你发现你没有每天检查这个,找出原因并修复它.
- 对几个关键服务器进行测试文件恢复并证明它们是有效的. 至少每个月都要定期这样做.
- 计划下周进行测试服务器恢复. 越来越多的网络保险续签要求保单持有人证明他们可以每月将服务器从备份完全恢复到工作状态,以便获得续签. (这是一年前发生在我们身上的事). 就像MFA一样,这可能是你未来续订保单的先决条件. 如果你没有一个自动的方法来做测试服务器每月恢复, CSI有一个解决方案,可以极大地自动化这个过程,这样它就不会是一个永远不会完成的资源消耗事件. 一旦你开始这样做,每月重复一次.
- 最后,我希望你有一个合法的“气隙”备份到位,这是当前的. 如果您正在订阅BOCES或RIC备份CoSer, 你很可能已经在他们的NOC里有这个了. 如果您是一个Veeam商店,CSI有可以上传Veeam备份的气隙存储库. 不管你的全局备份策略是什么, 走老路,把你最重要的数据复制到移动存储器上,这样你就可以把它们存储在保险箱里,以防“玻璃破碎”的紧急情况,这总是一个好主意. 在之前的乌克兰NotPetya攻击中,从根本上改善一个组织恢复时间的事情是,他们有一个单独的气隙沙箱,其中有一个合理的当前DC的副本,以重建网络. 有些站点对数据中心进行老派的Microsoft 窗户。备份,将系统状态存储到脱机和/或气隙存储中,作为最后的备份手段. 这是很容易和免费的.
我意识到完成所有这些任务可能需要很长时间. 但这是绝对必要的.
如果你需要帮助的话, 自动化您的测试恢复, 或者设置您的服务器在感染时进行自我隔离, 给我们打电话.
新闻官斯科特Quimby |
最近的评论