勒索软件攻击可能会导致企业关闭数周,损害客户和员工的声誉,并为进一步的数据泄露打开大门。由于攻击可能是毁灭性的,因此了解如何防止勒索软件是任何网络安全团队的一项基本技能。本文介绍了如何防止勒索软件感染您的企业。继续阅读以了解如何应对勒索软件威胁并建立公司范围内的意识文化,以阻止这些危险的违规企图。
什么是勒索软件?它是如何工作的?
勒索软件是一种加密或锁定受害者数据的恶意软件。然后,攻击者要求赎金以换取唯一密钥来解密或解锁文件。与所有恶意软件一样,勒索软件攻击在恶意负载进入系统时开始,通常通过以下方式发生:
- 损坏的链接或附件。
- 指向带有漏洞利用工具包的网站的广告。
- 利用系统弱点的蠕虫。
- 路过下载。
- 受感染的硬件。
发起勒索软件攻击的最常见方法是使用网络钓鱼电子邮件。电子邮件通常依靠 社会工程学 来鼓励收件人单击链接或下载附件。如果用户中了这个把戏,恶意软件就会默默地安装在设备上。
一旦恶意软件进入网络,程序就会传播到连接的系统并搜索有价值的数据。如果程序对数据进行加密,受害者会收到一条要求以加密货币付款以换取解密密钥的票据。否则,攻击者威胁要破坏密钥或泄露敏感信息。
如何防止勒索软件攻击:最佳实践
勒索软件对中小型企业和企业都是一种威胁 ,因此各种规模的公司都应该知道如何防止这种网络威胁。以下是确保您的企业不会成为勒索软件受害者的最有效方法。
设置防火墙
防火墙是针对勒索软件的第一道基于软件的防线。防火墙扫描传入和传出流量的潜在风险,允许安全团队监控恶意负载的迹象。
要支持您的防火墙活动,请考虑设置:
- 工作负载的主动标记。
- 威胁狩猎。
- 对关键任务应用程序、数据或服务的流量进行一致评估。
理想情况下,您的防火墙应该能够运行深度数据包检测 (DPI) 来检查数据内容。此功能会自动识别带有受感染软件的软件包。
使用不可变备份
不可 变备份的 操作与任何数据备份一样,但它不允许任何人更改或删除信息。这种类型的备份是防止数据损坏的理想保护,无论是恶意的还是意外的。如果您成为勒索软件攻击的受害者,不可变备份可确保:
- 您无需支付赎金即可取回您的数据。
- 您的业务不会遭受长时间的中断。
- 黑客即使到达备份存储也无法加密数据。
您应该每天多次备份数据,至少使用两次备份,并使一个实例保持离线状态。如果您遭受勒索软件感染,请擦除您的旧系统,并恢复您记录在案的最后一次干净备份。
请记住,即使您可以恢复数据,将私人客户信息泄露给犯罪分子仍然是一个问题。黑客可以出售或泄露信息,因此除了不可变备份外,还要花时间设置其他预防措施。
细分您的网络
一旦勒索软件进入您的系统,恶意软件就需要通过网络横向移动以到达目标数据。 网络分段 可防止入侵者在系统和设备之间自由移动。确保网络中的每个子系统具有:
- 个人安全控制。
- 严格而独特的访问策略。
- 单独的防火墙和网关。
如果入侵者破坏了您网络的一部分,分段会阻止他们到达目标数据。攻击者需要时间来闯入每个部分,这让安全团队有更多时间来识别和隔离威胁。
建立员工意识
员工是勒索软件攻击最脆弱的攻击面。定期组织 安全意识培训 ,解释员工在防止勒索软件方面的作用,并确保员工知道如何:
- 识别网络钓鱼攻击的迹象。
- 安全下载和安装应用程序。
- 识别可疑的可执行文件和链接。
- 保持他们的凭据安全。
- 选择强密码。
- 保持他们的系统是最新的。
- 验证软件和网站的合法性。
除了涵盖 网络安全最佳实践外,员工培训还应强调在出现问题时报告可疑活动的重要性。
运行定期安全测试
漏洞评估 使您能够检查系统的弱点。这些测试检查 IT 环境是否存在潜在漏洞,例如:
- 系统配置错误。
- 员工行为问题。
- 允许设置后门程序的弱点。
- 帐户权限的缺陷。
- 身份验证机制的问题。
- 未打补丁的防火墙、应用程序和操作系统。
- 弱密码。
- 允许 SQL 注入的数据库错误。
要进行更真实的分析,请考虑组织一次全面的渗透测试。 渗透测试 模拟现实生活中的系统入侵尝试,因此偶尔运行勒索软件模拟,看看您的系统和员工对威胁的反应如何。
白名单应用程序
黑名单和白名单是控制员工可以在其设备上安装哪些软件的两种标准方法:
- 黑名单 是阻止安装特定软件的做法。
- 白名单 允许安装特定程序并阻止安装所有其他软件。
虽然黑名单在特定场景下是有效的,但白名单是一种更有效的防止勒索软件的方法。员工可以在他们的计算机上安装白名单应用程序,以防止有人意外安装受感染的程序。您还可以将网站列入白名单以进行进一步的安全控制。
设置沙盒
沙箱是可以运行程序和执行文件而不影响主机设备或网络的隔离环境。虽然通常是软件测试的一部分,但沙盒还可以帮助网络安全团队测试潜在的恶意软件。使用沙箱进行恶意软件检测增加了针对不同网络攻击类型(包括勒索软件)的另一层保护 。
加强密码安全
您的员工必须知道强密码的重要性。不幸的是,一般的密码实践留下了很大的改进空间:
- 平均而言,四分之三的人将同一个密码用于多种用途。
- 大约 1/3 的互联网用户依赖非常弱的密码,例如 abc123 或 123456。
请记住,勒索软件攻击通常始于利用松散的员工行为。确保所有员工都有 定期更新的强密码。否则,攻击者可以通过简单 的暴力攻击破坏您的系统。此外,考虑使用要求用户和员工在访问系统之前以多种方式验证身份的多因素身份验证。
改善端点保护
端点安全强调对网络端点的保护,包括:
- 笔记本电脑。
- 平板电脑。
- 手机。
- 物联网设备。
所有使用您的网络的无线设备都是勒索软件的潜在入口点。通过以下方式保护这些设备免受黑客攻击:
- 阻止容易受到网络威胁的流量和应用程序。
- 在员工访问有风险的网站时发出警告。
- 检查设备是否有最新的补丁。
良好的端点保护还可以在入侵者破坏设备时为管理员提供实时可见性,从而使他们能够快速对潜在的违规行为做出反应。
及时的软件补丁
勒索软件经常利用公司软件中的安全漏洞和漏洞,无论是初始感染还是横向移动。使用最新的更新和补丁使软件保持最新状态,以确保最佳保护:
- 应用。
- 反恶意软件程序。
- 端点保护。
- 入侵检测和预防系统(IDPS)。
- 固件。
- 操作系统。
- 防火墙。
- 第三方软件。
请记住,勒索软件的演变与任何其他恶意软件一样。攻击者根据最新漏洞调整策略,因此即使等待几天更新系统也是相当大的风险。
提高您的电子邮件安全性
电子邮件安全最佳实践 对于打击网络钓鱼和其他社会工程陷阱至关重要。您的邮件服务器应该:
- 过滤掉带有可疑扩展名的文件的传入电子邮件,例如 .vbs 和 .scr。
- 自动拒绝已知垃圾邮件发送者和恶意软件的地址。
可用于保护公司电子邮件的技术包括:
- 发件人策略框架 (SPF)。
- 域消息验证报告和一致性 (DMARC)。
- 域密钥识别邮件 (DKIM)。
还可以考虑部署第三方电子邮件扫描工具以提供额外保护。该工具有助于在文件到达员工之前发现并隔离勒索软件企图。
采用最小特权原则
您的所有用户和员工都应该只具有执行其角色所需的访问级别。例如,营销团队中的平面设计师不应有权访问销售团队可用的帐户详细信息。受限访问限制了潜在勒索软件攻击的损害。如果入侵者破坏了您的一名员工,被盗的凭据将不允许攻击者在系统之间移动。
设置广告拦截器
确保所有员工设备和浏览器都具有自动阻止弹出广告的插件和扩展程序。恶意营销是常见的勒索软件来源,屏蔽广告是限制攻击面的简单方法。
阻止脚本执行
勒索软件黑客使用的一种常见策略是发送 带有恶意 JavaScript 代码的.zip文件。另一种流行的策略是将 .vbs (VBScript) 文件打包到 .zip 存档中。通过禁用 Windows 脚本主机并删除设备执行脚本的能力来防止此漏洞。
显示文件扩展名
勒索软件黑客经常将恶意负载伪装成 Paychecks.xlsx等文件名,希望诱骗用户点击附件。如果员工将他们的设备设置为显示文件扩展名,他们会看到文件的真实名称是 Paychecks.xlsx.exe。确保所有员工都能看到文件扩展名可以减少意外打开损坏的有效负载并引发攻击的机会。
使用 CASB
如果您的团队使用云服务, 云访问安全代理 (CASB) 是抵御勒索软件的绝佳工具。CASB 是本地或基于云的软件,充当云用户和数据之间的中介。该工具对云安全至关重要 ,具有多种用途,包括:
- 保护内部设置和云环境之间的数据流。
- 监控所有云活动。
- 执行安全策略。
- 确保合规。
自带设备 (BYOD) 限制
不受监管地使用员工的设备会给网络带来不必要的风险。您可以编写 BYOD 策略 ,概述员工使用私人设备的目的。此外,确保员工和访客 BYOD 设备(例如手机)在公司网络之外有单独的 Wi-Fi。
确保设备在遇到威胁时自动脱机
即使是顶级勒索软件,在感染设备和连接黑客的命令和控制 (C&C) 服务器之间也需要至少几分钟的时间。如果发生可疑过程,安全团队可以将设备设置为自动将其与网络和 Internet 断开连接。如果无法访问 Internet,勒索软件在受感染的设备上保持空闲状态,安全团队可以在不危及其他系统的情况下消除威胁。
如果您的计算机感染了勒索软件怎么办?
如果尽管采取了所有预防措施,您的公司还是成为勒索软件的受害者,您需要一个 灾难恢复计划。一个典型的反应是通过以下步骤:
- 隔离: 将受感染的系统与网络的其余部分隔离。关闭设备,拔出网线,关闭Wi-Fi定位问题。
- 恶意软件识别: 接下来,确定是什么类型的恶意软件感染了系统。IT 团队或外部顾问都应该分析和识别威胁。
- 报告违规行为: 即使某些法规没有强制您报告攻击,当局也可以提供内部团队可能缺乏的专业知识和见解。
- 删除恶意软件: 通过卸载受感染设备上的所有内容并重新安装操作系统来删除恶意软件。
- 分析数据丢失: 确定攻击者设法加密了哪些数据。此外,搜索数据泄露的迹象。
- 恢复数据: 控制攻击后,从可用的最新备份中恢复数据。
- IT 取证: 大多数黑客试图在他们感染的每个系统中留下一个后门。确保团队扫描所有 IT 环境以寻找潜在的切入点。
- 改进系统: 确定入侵者如何破坏系统并进行改进以确保不会再次发生相同的攻击。
你应该支付赎金吗?
在大多数情况下,您不应该支付赎金来取回您的数据。如果发生攻击,强大的预防措施和备份应该可以防止数据丢失。即使您没有数据备份,支付赎金仍然存在风险。您无法保证会收到解密密钥,也无法保证在您发送付款后黑客不会出售数据。此外,您的支付意愿也会将您描绘成未来攻击的目标。与其支付赎金,不如确保您永远不会处于从攻击中恢复过来的唯一方法就是满足犯罪分子的要求的境地。
知道如何预防勒索软件并领先于黑客
主动阻止勒索软件是确保您的业务安全的最佳方法。实施上述建议并制定灾难恢复计划,以领先于黑客并避免不必要的金钱损失和声誉损害。
