答案
什么是勒索软件,以及如何准备?
勒索软件是一种攻击方式,犯罪者会锁定文件或系统并索要赎金。你无法把风险降到零,但你可以通过提前准备来降低损害、缩短停机时间,并让恢复更有现实可能。
简短回答
勒索软件是一种恶意软件,可能对你的企业数据和系统进行加密、窃取,或阻止访问。用更直白的话说,它可能让文件无法读取,让员工无法使用电脑,直到系统被恢复之前,都会中断日常工作。
这很重要,因为中小型企业往往比大型企业更容易成为目标。许多企业依赖少数关键设备、共享的文件系统、电子邮件、云应用,以及一条互联网连接。如果其中任何一部分被干扰,账单、排程、客户服务和薪资都可能变慢。
准备并不等于买一个产品然后就“万事大吉”。它意味着分层防护:更安全的登录方式、已更新的设备、备份、员工培训,以及清晰的响应计划。如果你想找一家独立的托管IT服务提供商(也叫MSP,我们可以帮你找到)。
为什么勒索软件对你的企业很重要
勒索软件不仅仅是技术问题,更是业务中断问题。通常,老板最先感受到的影响是失去时间、订单延迟、错过预约、员工压力增加,以及客户困惑。
成本可能会在多个方面同时出现。你可能会遭遇停机、紧急IT工作、设备更换、法律审查、客户通知,以及销售损失。如果涉及敏感数据,某些行业还可能面临报告义务。具体要求因行业和州而异。
难点在于,没有诚实的提供商会承诺“零停机”或“无法被黑”。好的准备工作重点在于:降低发生严重事件的概率;一旦发生,限制其扩散范围;并提高在不陷入混乱的情况下恢复运营的几率。
勒索软件通常是怎么进入的
许多攻击以看起来很正常的电子邮件、短信或登录页面开始——它会诱导某人点击链接、打开文件或输入密码。还有一些攻击来自弱密码、重复使用的密码、没有更新的旧软件,或暴露在互联网上的远程访问工具。
所以老板经常会听到一些安全相关术语。多因素认证(Multi-factor authentication),简称MFA,意味着用户登录时需要第二步验证,例如通过应用提示或验证码。打补丁(patching)指安装能修复已知问题的软件和操作系统更新。终端(endpoint)指连接到你企业系统的设备,比如笔记本、台式机或手机。
你也可能会听到终端检测与响应(endpoint detection and response),简称EDR。它是一种软件,旨在发现设备上的可疑活动并帮助进行遏制。另一个常见术语是远程监控与管理(remote monitoring and management),简称RMM。它通常是许多托管IT服务提供商使用的软件,用来关注设备健康状况、更新情况和告警。这些工具有帮助,但如果没有良好的配置和定期复盘,仅靠工具是不够的。
好的效果应该是什么样
好的勒索软件防护准备是“乏味的”,但在最好的意义上是乏味的。员工知道如何上报可疑邮件。设备会按计划进行更新。重要账户启用MFA。备份会被测试,而不是仅仅“假设它们可用”。企业还有一份简短的书面计划,明确系统宕机时谁做什么。
一个较强的备份思路通常被称为“3-2-1备份”。意思是保留3份重要数据的副本,放在2种不同类型的存储介质上,并保留1份副本与主环境分开存放。对许多小企业来说,这往往意味着本地与云备份的组合,并至少保留一份在攻击期间无法轻易被更改或删除的副本。
如果你与某个提供商合作,请询问他们如何处理打补丁、备份检查、账户安全以及响应计划。同时也要询问他们的服务级别协议(service level agreement,SLA)中包含什么。SLA是服务合同中的书面部分,用来说明响应目标、范围和责任。有些企业还希望由虚拟首席信息官(virtual chief information officer,vCIO)提供战略规划支持。vCIO指的是外部顾问,帮助进行IT规划与优先级排序。
如果你仍在学习基础知识,我们的答案页面会用通俗语言覆盖常见主题。如果你正在对不同选项进行比较,我们的服务页面可以帮助你理解托管IT通常包含哪些内容。
你现在就能做的简单步骤
你不需要一次性把所有事情都做完。先从基础入手:这些能减少常见问题,并让恢复更容易。对大多数小企业来说,最先见效的通常来自账户安全、更新、备份,以及一个简单的响应计划。
把计划写得简短而实用:员工第一时间应联系谁。哪些外部联系人真正关键。备份记录在哪里。哪些系统最重要,必须确保业务能继续运行。一页纸的清单通常比一份没人读的长文档更好。
- 为电子邮件、云应用、薪资、银行以及远程访问启用MFA。
- 移除旧的用户账户,并把管理员权限限制给真正需要的人。
- 确保笔记本、台式机、服务器以及业务应用按常规计划打补丁。
- 使用被监控且经过测试的备份。不要在没有成功“还原/恢复”过之前就假设备份可用。
- 培训员工在点击链接、打开附件或发送敏感信息前先暂停思考。
- 把在出现问题时应该联系谁写下来,包括你的互联网服务提供商、关键软件供应商,以及如果你有的话,你的IT服务提供商。
何时需要外部帮助
如果你的团队很忙、正在成长,或分布在多个地点,那么可能是时候寻求外部帮助了。如果你处理客户付款卡信息、健康信息或其他敏感数据,同样也适用。
关于付款卡,有关规定往往会提到PCI,这是指支付卡行业数据安全要求(Payment Card Industry data security requirements)。与健康相关的隐私规则通常会提到HIPAA,这是指《健康保险可携性与责任法案》(Health Insurance Portability and Accountability Act)。一些较大的客户也可能会询问SOC 2,这是一种常见的审计框架,用于评估服务机构如何处理安全以及相关控制。
托管IT服务提供商可以帮助你把基础工作建立起来,并保持其持续维护。定价通常会采用按月、按用户或按设备的模式。对小企业而言,持续托管IT的大致区间非常粗略,可能从每用户每月约100到250美元起;如果你需要更高级的安全、合规支持、非工作时间覆盖,或更复杂的系统,价格会更高。这不是报价。真实价格取决于员工规模、设备数量、安全需求以及所在地区。
NodeBridge IT 不是IT服务提供商或安全公司。我们不管理、监控、保护、修复或访问你的系统。我们提供通用教育与免费的匹配服务,让你能理解自己的选择,并连接到适合你企业的独立提供商。如果你想要这类帮助,获取匹配.
一则坦诚说明
NodeBridge IT 是一项免费的匹配服务,不是IT服务商。这里提供的信息是一般性与教学用途——在您签约前,请与任何服务商以书面形式确认服务范围、SLA与价格。没有任何人能够保证正常运行时间、安全性、事故预防或数据恢复。
勒索软件可能会让小企业迅速陷入停摆,因此更聪明的做法是做基础准备:更强的登录保护、及时更新、已测试的备份、员工培训,以及清晰的计划。
常见问题
小企业应该支付赎金吗?
这是一个商业、法律和保险问题,而不是简单的技术选择。付款并不能保证文件一定能恢复,也不能保证被窃取的数据不会被滥用,因此许多企业会先把重点放在遏制措施、法律指导、保险公司的要求,以及在可用的情况下基于备份的恢复。
网络保险能解决问题吗?
保险可能有助于覆盖部分成本,但它不能替代准备工作。不同保单差异较大,很多保单会要求诸如MFA、备份和书面流程等基础控制措施。
如果我们使用Microsoft 365或Google Workspace等云应用,我们就安全吗?
云应用可能会提高系统的韧性,但它不会消除风险。账户被接管、恶意文件更改以及删除数据仍然可能发生,这就是为什么访问控制、备份和员工培训仍然很重要。
如果员工认为有问题,他们应该怎么做?
他们应该停止点击。如果你的IT服务提供商或内部政策要求断开网络连接,就应当立即断开,并通过你们企业的事件处理流程尽快上报。关键在于尽快报告,而不是试图由个人自行修复。
我们以前从未购买过托管IT。应该问哪些问题?
询问他们如何处理MFA、打补丁、备份、设备保护、员工入职与离职管理,以及响应计划。也要询问SLA中包含什么、哪些是额外收费,以及在发生事件期间他们如何沟通。