勒索软件一直是一个比较热门话题。最近,在跟朋友吃饭时候,无意中也聊到了这个话题,越来越多的安全等级较低的公司已经成为受害者,这些攻击使他们的数据无法使用,严重影响了日常运营。在一个案例中,好莱坞长老会医疗中心的首席执行官说:“恢复我们的系统最快最有效的方式就是支付赎金”(约17,000美元的比特币)。
通常通过电子邮件或网站传播的勒索软件是一种恶意代码,它使用非常强大的加密密钥(例如2048位RSA)对尽可能多的数据进行加密。然后它要求支付赎金来解密数据。
于是我整理了下网上的一些合理性建议与我自己的一些建议,整合了这篇文章,在这篇文章中,我们看看10种不同的技术(没有特定的顺序),这有助于防止你的组织受到勒索软件的攻击。
1.定期备份您的数据
定期备份您的数据,将使您能够在最快的时间内重新获得加密文件的访问权限。为避免备份受到感染,备份集应保存在安全的脱机位置(或基于云的解决方案)中,并设置为只读。应对备份的数据进行定期完整性检查,以确保备份完好无损。
注意:这应该不用说,但没有经过验证的恢复过程的备份计划意味着什么。备份集无法恢复有什么好处?
2.使用电子邮件安全解决方案扫描并阻止电子邮件附件
使用该扫描电子邮件附件或阻止某些电子邮件附件的文件类型的电子邮件安全解决方案之前,他们击中了用户的邮箱是从牺牲品勒索保护用户的极佳方式。
此外,具有“实时保护”或“按访问扫描”功能的防病毒软件将在后台监视可疑活动,并在用户点击恶意文件时立即采取措施。
3.阻止从某些用户配置文件文件夹启动的可执行文件
在端点上使用Windows软件限制策略或入侵防御软件时,不应允许可执行文件从以下位置运行。已知这些文件夹和子文件夹被勒索软件用来托管恶意进程。
%USERPROFILE%\ AppData的
%应用程序数据%
%LOCALAPPDATA%
%ProgramData%
%TEMP%
规则应该配置为“阻止所有,允许一些”,这样默认行为是阻止所有的可执行文件,除非你将某些应用程序列入白名单。
4.定期和一致地更新补丁
恶意软件最常见的感染媒介之一是软件漏洞。通过保持您的操作系统,浏览器,生产力套件(例如Microsoft Office),防火墙,网络设备等的补丁均是最新的,这样可以提供一定的安全性。
5.监视并阻止可疑的出站流量
入侵检测和防御系统(IDPS)可以监视可疑的出站流量并提醒您采取行动(例如,终止连接或重新配置防火墙)。使用这些信息以及来自威胁情报共享组的信息,可以微调您的安全基础架构,并使勒索软件难以进入或离开您的网络(阻止它与指挥与控制(C&C)中心通信)。
6.采用最小特权的概念
如果一个勒索软件要在管理安全环境下执行,这可能会导致更多的损害,并在更远的地方传播(例如赋予其加密网络驱动器,共享和可移动媒体上的数据的能力)。
通过采用最小权限的概念,用户只需以最低限度的特权进行登录,就可以限制受损的影响,并降低恶意软件传播的风险。某些恶意软件会尝试提升其权限级别,但在大多数情况下依赖于在其下执行的安全上下文。
具有最小特权的想法是,如果用户想要在管理上下文中执行命令或安装/卸载应用程序,则他们将物理上需要输入一组证书,仅在时间上将其提升到更高级别的特权需要进行操作。
7.禁用“隐藏已知文件类型的扩展名”
勒索软件试图隐藏其真实身份的方式之一是通过伪装成无辜的文件格式。例如,伪装成PDF文档的文件可能被称为“Invoice.pdf.exe”。如果启用“隐藏已知文件类型的扩展名”选项,则该文件将显示为“Invoice.pdf”。通过禁用此选项,您可以更轻松地找到磁盘上的可疑文件。
8.增强Microsoft Office应用程序的安全设置
最近一个名为“Locky”的勒索软件变种使用恶意宏来下载并启动其有效载荷。通过使用组策略强制禁用宏或设置“禁用除数字签名宏之外的所有宏”选项,限制发生这种情况的可能性。同样,将ActiveX和外部内容设置设置为“提示”或“禁用”(取决于组织的业务要求)。
9.教育你的用户
用户是对抗勒索软件的最后一道防线。勒索软件如果不是让不知情的用户下载并执行一个恶意软件(例如打开电子邮件附件,点击恶意链接等),就不会成功。
教育用户什么是良好的做法和如何发现威胁将减少他们成为社会工程攻击的受害者的机会。有些要强调的是:
不要打开您不知道的发件人的电子邮件附件
不要点击您不知道的发件人的电子邮件链接
检查电子邮件中的拼写错误的域名(例如rn com而不是m icrosoft.com)
检查电子邮件主题和/或正文中的拼写错误和格式不正确
向IT帮助台或信息安全团队报告任何可疑文件或电子邮件
10.扫描所有的互联网下载
使用Web监视和扫描解决方案扫描所有Internet下载。这将阻止用户访问已知的恶意网站,并允许您扫描或阻止某些文件类型。有了这样的解决方案,即使钓鱼电子邮件通过,用户点击恶意链接,像GFI WebMonitor的网络监控和扫描解决方案可以阻止访问该恶意网站或文件下载。
TL; DR?
这听起来有些陈词滥调,但是预防勒索软件的多层次方法将为您提供避免感染的最佳机会。如果我们不得不把它分解,并提供一个预防方法学的简要总结来开始,建议将是:
- 首先确保您有一个可靠的备份和恢复计划。这样可以确保即使您感染了病毒,您也可以重新获得未加密数据的最新副本。
- 通过重新执行两个最常见的攻击媒介 - 电子邮件和互联网下载(像GFI MailEssentials和GFI WebMonitor这样的解决方案可以帮助您实现这一目标)来限制您对勒索软件的暴露。
- 全面实施设置和策略,提高网络中勒索软件的可视性,使您能够检测到可疑文件或活动,并降低在您的某台计算机上成功执行恶意软件的几率。
- 最后,可以说是最重要的,教育你的用户如何发现任何可疑的东西,以及如果他们这样做要采取什么步骤。
- 本文转自 zyliday 51CTO博客,原文链接:http://blog.51cto.com/itsoul/2064201
