勒索軟件攻擊可能會導(dǎo)致企業(yè)關(guān)閉數(shù)周，損害客戶和員工的聲譽，并為進一步的數(shù)據(jù)泄露打開大門。由于攻擊可能是毀滅性的，因此了解如何防止勒索軟件是任何網(wǎng)絡(luò)安全團隊的一項基本技能。本文介紹了如何防止勒索軟件感染您的企業(yè)。繼續(xù)閱讀以了解如何應(yīng)對勒索軟件威脅并建立公司范圍內(nèi)的意識文化，以阻止這些危險的違規(guī)企圖。

什么是勒索軟件？它是如何工作的？

勒索軟件是一種加密或鎖定受害者數(shù)據(jù)的惡意軟件。然后，攻擊者要求贖金以換取唯一密鑰來解密或解鎖文件。與所有惡意軟件一樣，勒索軟件攻擊在惡意負載進入系統(tǒng)時開始，通常通過以下方式發(fā)生：

• 損壞的鏈接或附件。
• 指向帶有漏洞利用工具包的網(wǎng)站的廣告。
• 利用系統(tǒng)弱點的蠕蟲。
• 路過下載。
• 受感染的硬件。

發(fā)起勒索軟件攻擊的最常見方法是使用網(wǎng)絡(luò)釣魚電子郵件。電子郵件通常依靠?社會工程學?來鼓勵收件人單擊鏈接或下載附件。如果用戶中了這個把戲，惡意軟件就會默默地安裝在設(shè)備上。

一旦惡意軟件進入網(wǎng)絡(luò)，程序就會傳播到連接的系統(tǒng)并搜索有價值的數(shù)據(jù)。如果程序?qū)?shù)據(jù)進行加密，受害者會收到一條要求以加密貨幣付款以換取解密密鑰的票據(jù)。否則，攻擊者威脅要破壞密鑰或泄露敏感信息。

如何防止勒索軟件攻擊：最佳實踐

勒索軟件對中小型企業(yè)和企業(yè)都是一種威脅??，因此各種規(guī)模的公司都應(yīng)該知道如何防止這種網(wǎng)絡(luò)威脅。以下是確保您的企業(yè)不會成為勒索軟件受害者的最有效方法。

設(shè)置防火墻

防火墻是針對勒索軟件的第一道基于軟件的防線。防火墻掃描傳入和傳出流量的潛在風險，允許安全團隊監(jiān)控惡意負載的跡象。

要支持您的防火墻活動，請考慮設(shè)置：

• 工作負載的主動標記。
• 威脅狩獵。
• 對關(guān)鍵任務(wù)應(yīng)用程序、數(shù)據(jù)或服務(wù)的流量進行一致評估。

理想情況下，您的防火墻應(yīng)該能夠運行深度數(shù)據(jù)包檢測 (DPI)?來檢查數(shù)據(jù)內(nèi)容。此功能會自動識別帶有受感染軟件的軟件包。

使用不可變備份

不可?變備份的?操作與任何數(shù)據(jù)備份一樣，但它不允許任何人更改或刪除信息。這種類型的備份是防止數(shù)據(jù)損壞的理想保護，無論是惡意的還是意外的。如果您成為勒索軟件攻擊的受害者，不可變備份可確保：

• 您無需支付贖金即可取回您的數(shù)據(jù)。
• 您的業(yè)??務(wù)不會遭受長時間的中斷。
• 黑客即使到達備份存儲也無法加密數(shù)據(jù)。

您應(yīng)該每天多次備份數(shù)據(jù)，至少使用兩次備份，并使一個實例保持離線狀態(tài)。如果您遭受勒索軟件感染，請擦除您的舊系統(tǒng)，并恢復(fù)您記錄在案的最后一次干凈備份。

請記住，即使您可以恢復(fù)數(shù)據(jù)，將私人客戶信息泄露給犯罪分子仍然是一個問題。黑客可以出售或泄露信息，因此除了不可變備份外，還要花時間設(shè)置其他預(yù)防措施。

細分您的網(wǎng)絡(luò)

一旦勒索軟件進入您的系統(tǒng)，惡意軟件就需要通過網(wǎng)絡(luò)橫向移動以到達目標數(shù)據(jù)。?網(wǎng)絡(luò)分段?可防止入侵者在系統(tǒng)和設(shè)備之間自由移動。確保網(wǎng)絡(luò)中的每個子系統(tǒng)具有：

• 個人安全控制。
• 嚴格而獨特的訪問策略。
• 單獨的防火墻和網(wǎng)關(guān)。

如果入侵者破壞了您網(wǎng)絡(luò)的一部分，分段會阻止他們到達目標數(shù)據(jù)。攻擊者需要時間來闖入每個部分，這讓安全團隊有更多時間來識別和隔離威脅。

建立員工意識

員工是勒索軟件攻擊最脆弱的攻擊面。定期組織?安全意識培訓?，解釋員工在防止勒索軟件方面的作用，并確保員工知道如何：

• 識別網(wǎng)絡(luò)釣魚攻擊的跡象。
• 安全下載和安裝應(yīng)用程序。
• 識別可疑的可執(zhí)行文件和鏈接。
• 保持他們的憑據(jù)安全。
• 選擇強密碼。
• 保持他們的系統(tǒng)是最新的。
• 驗證軟件和網(wǎng)站的合法性。

除了涵蓋?網(wǎng)絡(luò)安全最佳實踐外，員工培訓還應(yīng)強調(diào)在出現(xiàn)問題時報告可疑活動的重要性。

運行定期安全測試

漏洞評估?使您能夠檢查系統(tǒng)的弱點。這些測試檢查 IT 環(huán)境是否存在潛在漏洞，例如：

• 系統(tǒng)配置錯誤。
• 員工行為問題。
• 允許設(shè)置后門程序的弱點。
• 帳戶權(quán)限的缺陷。
• 身份驗證機制的問題。
• 未打補丁的防火墻、應(yīng)用程序和操作系統(tǒng)。
• 弱密碼。
• 允許?SQL 注入的數(shù)據(jù)庫錯誤。

要進行更真實的分析，請考慮組織一次全面的滲透測試。?滲透測試?模擬現(xiàn)實生活中的系統(tǒng)入侵嘗試，因此偶爾運行勒索軟件模擬，看看您的系統(tǒng)和員工對威脅的反應(yīng)如何。

白名單應(yīng)用程序

黑名單和白名單是控制員工可以在其設(shè)備上安裝哪些軟件的兩種標準方法：

• 黑名單?是阻止安裝特定軟件的做法。
• 白名單?允許安裝特定程序并阻止安裝所有其他軟件。

雖然黑名單在特定場景下是有效的，但白名單是一種更有效的防止勒索軟件的方法。員工可以在他們的計算機上安裝白名單應(yīng)用程序，以防止有人意外安裝受感染的程序。您還可以將網(wǎng)站列入白名單以進行進一步的安全控制。

設(shè)置沙盒

沙箱是可以運行程序和執(zhí)行文件而不影響主機設(shè)備或網(wǎng)絡(luò)的隔離環(huán)境。雖然通常是軟件測試的一部分，但沙盒還可以幫助網(wǎng)絡(luò)安全團隊測試潛在的惡意軟件。使用沙箱進行惡意軟件檢測增加了針對不同網(wǎng)絡(luò)攻擊類型（包括勒索軟件）的另一層保護?。

加強密碼安全

您的員工必須知道強密碼的重要性。不幸的是，一般的密碼實踐留下了很大的改進空間：

• 平均而言，四分之三的人將同一個密碼用于多種用途。
• 大約 1/3 的互聯(lián)網(wǎng)用戶依賴非常弱的密碼，例如?abc123?或?123456。

請記住，勒索軟件攻擊通常始于利用松散的員工行為。確保所有員工都有??定期更新的強密碼。否則，攻擊者可以通過簡單?的暴力攻擊破壞您的系統(tǒng)。此外，考慮使用要求用戶和員工在訪問系統(tǒng)之前以多種方式驗證身份的多因素身份驗證。

改善端點保護

端點安全強調(diào)對網(wǎng)絡(luò)端點的保護，包括：

• 筆記本電腦。
• 平板電腦。
• 手機。
• 物聯(lián)網(wǎng)設(shè)備。

所有使用您的網(wǎng)絡(luò)的無線設(shè)備都是勒索軟件的潛在入口點。通過以下方式保護這些設(shè)備免受黑客攻擊：

• 阻止容易受到網(wǎng)絡(luò)威脅的流量和應(yīng)用程序。
• 在員工訪問有風險的網(wǎng)站時發(fā)出警告。
• 檢查設(shè)備是否有最新的補丁。

良好的端點保護還可以在入侵者破壞設(shè)備時為管理員提供實時可見性，從而使他們能夠快速對潛在的違規(guī)行為做出反應(yīng)。

及時的軟件補丁

勒索軟件經(jīng)常利用公司軟件中的安全漏洞和漏洞，無論是初始感染還是橫向移動。使用最新的更新和補丁使軟件保持最新狀態(tài)，以確保最佳保護：

• 應(yīng)用。
• 反惡意軟件程序。
• 端點保護。
• 入侵檢測和預(yù)防系統(tǒng)（IDPS）。
• 固件。
• 操作系統(tǒng)。
• 防火墻。
• 第三方軟件。

請記住，勒索軟件的演變與任何其他惡意軟件一樣。攻擊者根據(jù)最新漏洞調(diào)整策略，因此即使等待幾天更新系統(tǒng)也是相當大的風險。

提高您的電子郵件安全性

電子郵件安全最佳實踐?對于打擊網(wǎng)絡(luò)釣魚和其他社會工程陷阱至關(guān)重要。您的郵件服務(wù)器應(yīng)該：

• 過濾掉帶有可疑擴展名的文件的傳入電子郵件，例如?.vbs?和?.scr。
• 自動拒絕已知垃圾郵件發(fā)送者和惡意軟件的地址。

可用于保護公司電子郵件的技術(shù)包括：

• 發(fā)件人策略框架 (SPF)。
• 域消息驗證報告和一致性 (DMARC)。
• 域密鑰識別郵件 (DKIM)。

還可以考慮部署第三方電子郵件掃描工具以提供額外保護。該工具有助于在文件到達員工之前發(fā)現(xiàn)并隔離勒索軟件企圖。

采用最小特權(quán)原則

您的所有用戶和員工都應(yīng)該只具有執(zhí)行其角色所需的訪問級別。例如，營銷團隊中的平面設(shè)計師不應(yīng)有權(quán)訪問銷售團隊可用的帳戶詳細信息。受限訪問限制了潛在勒索軟件攻擊的損害。如果入侵者破壞了您的一名員工，被盜的憑據(jù)將不允許攻擊者在系統(tǒng)之間移動。

設(shè)置廣告攔截器

確保所有員工設(shè)備和瀏覽器都具有自動阻止彈出廣告的插件和擴展程序。惡意營銷是常見的勒索軟件來源，屏蔽廣告是限制攻擊面的簡單方法。

阻止腳本執(zhí)行

勒索軟件黑客使用的一種常見策略是發(fā)送??帶有惡意 JavaScript 代碼的.zip文件。另一種流行的策略是將?.vbs??(VBScript) 文件打包到?.zip?存檔中。通過禁用 Windows 腳本主機并刪除設(shè)備執(zhí)行腳本的能力來防止此漏洞。

顯示文件擴展名

勒索軟件黑客經(jīng)常將惡意負載偽裝成?Paychecks.xlsx等文件名，希望誘騙用戶點擊附件。如果員工將他們的設(shè)備設(shè)置為顯示文件擴展名，他們會看到文件的真實名稱是?Paychecks.xlsx.exe。確保所有員工都能看到文件擴展名可以減少意外打開損壞的有效負載并引發(fā)攻擊的機會。

使用 CASB

如果您的團隊使用云服務(wù)，?云訪問安全代理?(CASB) 是抵御勒索軟件的絕佳工具。CASB 是本地或基于云的軟件，充當云用戶和數(shù)據(jù)之間的中介。該工具對云安全至關(guān)重要??，具有多種用途，包括：

• 保護內(nèi)部設(shè)置和云環(huán)境之間的數(shù)據(jù)流。
• 監(jiān)控所有云活動。
• 執(zhí)行安全策略。
• 確保合規(guī)。

自帶設(shè)備 (BYOD) 限制

不受監(jiān)管地使用員工的設(shè)備會給網(wǎng)絡(luò)帶來不必要的風險。您可以編寫?BYOD 策略?，概述員工使用私人設(shè)備的目的。此外，確保員工和訪客 BYOD 設(shè)備（例如手機）在公司網(wǎng)絡(luò)之外有單獨的 Wi-Fi。

確保設(shè)備在遇到威脅時自動脫機

即使是頂級勒索軟件，在感染設(shè)備和連接黑客的命令和控制 (C&C) 服務(wù)器之間也需要至少幾分鐘的時間。如果發(fā)生可疑過程，安全團隊可以將設(shè)備設(shè)置為自動將其與網(wǎng)絡(luò)和 Internet 斷開連接。如果無法訪問 Internet，勒索軟件在受感染的設(shè)備上保持空閑狀態(tài)，安全團隊可以在不危及其他系統(tǒng)的情況下消除威脅。

如果您的計算機感染了勒索軟件怎么辦？

如果盡管采取了所有預(yù)防措施，您的公司還是成為勒索軟件的受害者，您需要一個?災(zāi)難恢復(fù)計劃。一個典型的反應(yīng)是通過以下步驟：

• 隔離：?將受感染的系統(tǒng)與網(wǎng)絡(luò)的其余部分隔離。關(guān)閉設(shè)備，拔出網(wǎng)線，關(guān)閉Wi-Fi定位問題。
• 惡意軟件識別：?接下來，確定是什么類型的惡意軟件感染了系統(tǒng)。IT 團隊或外部顧問都應(yīng)該分析和識別威脅。
• 報告違規(guī)行為：?即使某些法規(guī)沒有強制您報告攻擊，當局也可以提供內(nèi)部團隊可能缺乏的專業(yè)知識和見解。
• 刪除惡意軟件：?通過卸載受感染設(shè)備上的所有內(nèi)容并重新安裝操作系統(tǒng)來刪除惡意軟件。
• 分析數(shù)據(jù)丟失：?確定攻擊者設(shè)法加密了哪些數(shù)據(jù)。此外，搜索數(shù)據(jù)泄露的跡象。
• 恢復(fù)數(shù)據(jù)：?控制攻擊后，從可用的最新備份中恢復(fù)數(shù)據(jù)。
• IT 取證：?大多數(shù)黑客試圖在他們感染的每個系統(tǒng)中留下一個后門。確保團隊掃描所有 IT 環(huán)境以尋找潛在的切入點。
• 改進系統(tǒng)： 確定入侵者如何破壞系統(tǒng)并進行改進以確保不會再次發(fā)生相同的攻擊。

你應(yīng)該支付贖金嗎？

在大多數(shù)情況下，您不應(yīng)該支付贖金來取回您的數(shù)據(jù)。如果發(fā)生攻擊，強大的預(yù)防措施和備份應(yīng)該可以防止數(shù)據(jù)丟失。即使您沒有數(shù)據(jù)備份，支付贖金仍然存在風險。您無法保證會收到解密密鑰，也無法保證在您發(fā)送付款后黑客不會出售數(shù)據(jù)。此外，您的支付意愿也會將您描繪成未來攻擊的目標。與其支付贖金，不如確保您永遠不會處于從攻擊中恢復(fù)過來的唯一方法就是滿足犯罪分子的要求的境地。

知道如何預(yù)防勒索軟件并領(lǐng)先于黑客

主動阻止勒索軟件是確保您的業(yè)務(wù)安全的最佳方法。實施上述建議并制定災(zāi)難恢復(fù)計劃，以領(lǐng)先于黑客并避免不必要的金錢損失和聲譽損害。