8项已验证的防范勒索软件的做法

如今，勒索軟體是各行各業不同規模組織面臨的最為普遍的威脅。事實上，根據估計，2021年全球因勒索軟體攻擊造成的損失超過200億美元，預計到2031年這一數字將達到2650億美元。

A ransomware infection can lead to data loss, financial and reputational damage or even the complete shutdown of an organization. However, all is not as grim as it seems. There are ways to minimize the chances of a successful attack and, more importantly, to recover smoothly after ransomware when a ransomware infection does hit your systems.

本文列出並解釋了8個證實有效的最佳做法，幫助您確保防範勒索軟體感染並降低遭受網絡侵犯風險。

什麼是勒索軟體防護？

勒索軟體防護通常涵蓋組織採取的所有措施，以防止勒索軟體對其IT基礎設施和收入造成持久的損害。全面的防勒索軟體計劃應該包括保護措施、監控活動和恢復策略。

• 勒索軟體預防措施

防範勒索軟體應該是組織的首要重點。最好是阻止一次勒索軟體攻擊，而不是試圖減輕其影響或恢復受感染的數據。通過實施必要的做法並使用正確的工具，您可以降低勒索軟體滲透系統的機會和此類侵犯的後果。

• 勒索軟體檢測措施

監控您的環境以防範惡意軟件和勒索軟件是早期發現的重要一環。您越早發現入侵，停止它的機會就越大。有幾種檢測工具和最佳實踐可供您實施，以保護免受勒索軟件的攻擊。

• 勒索軟件恢復措施

如果勒索軟件攻擊突破了您的防禦，它可以加密或鎖定您的數據，並隨後中斷正常的業務運營。許多勒索軟件恢復措施可讓您最大程度地減少數據損失和停機時間，快速恢復您的工作負載。請記住，這個過程可能會困難且漫長，因此您應該應用下面列出的預防措施。

防範勒索軟件的最佳實踐

防範勒索軟件的最佳方法是採用多層次的策略。這種模型包括培訓您的人員、保護端點、實施必要的技術、制定完整的事件應對計劃等等。

1. 培訓您的員工

如今，有 95% 的網絡安全問題都可以追溯到人為錯誤，並且所有入侵事件中有 43% 是來自組織內部的威脅，無論是惡意還是意外。單個設備可能成為公司范圍內攻擊的起點。

然而，建議您在雇用員工時立即教育他們有關網絡安全衛生知識。此外，您應定期進行培訓，以確保用戶不斷了解最新的威脅，並且他們正在實施所需的指令。

以下實踐對於提供防範勒索軟體的保護和減少人為錯誤導致的事件至關重要：

• 不要打開來自可疑來源的電子郵件或點擊可疑的附件。
• 不要點擊未知網站上的廣告橫幅或不安全的連結。
• 使用強密碼，定期更改密碼，並且不要在不同帳戶中使用相同的密碼。
• 啟用雙因素認證。
• 不要分享個人資訊或將其存儲在易於存取的位置。
• 不要插入未知的USB隨身碟。
• 避免使用公共Wi-Fi網絡。
• 遵守您組織的安全政策並迅速報告惡意活動。
• 向您的員工提供更多資訊，介紹手動解決方案和可幫助消除惡意軟體的軟體。

2. 實施網絡分割

保障您的網絡並防禦勒索軟件的最佳方法是實施網絡分段。這在雲端和混合環境中尤其重要。適當地連接多個子網絡和路由器可以限制恶意軟件感染在整個組織中的傳播，如果一個設備被犯罪者入侵。

考慮使用支持的身份驗證方法和配置訪問控制到網絡的IEEE 802.1X標準。這樣，連接到網絡並通過驗證建立加密連接都需要簽署證書和有效憑證。架構中有三個主要組件：客戶端、驗證器和驗證服務器。需要一個 RADIUS 服務器和 802.1X 能力開關來識別有線以太網連接的用戶。802.1X 可用於有線和 Wi-Fi 網絡。

此外，如有可能，應進行網絡滲透測試，因為它有助於檢測可以用來訪問您的網絡的漏洞。修復發現的問題以防範勒索軟件和預防潛在攻擊。

3. 配置路由器和端口設置

不正確配置的路由器可能會被用作攻擊向量，因為網絡犯罪分子不斷掃描開放端口的網絡。阻止對未使用端口的訪問並將標准端口號更改為自定端口號可以幫助您保護自己免受勒索軟件的侵害。

你可以在提供给组织用户的路由器上配置URL过滤和广告拦截。现代软件可以自动将已知的恶意网站添加到内容过滤器中，以使URL过滤系统保持最新。

4. 采用基本和高级保护技术

大多数勒索软件变体都是众所周知的，可以使用基本安全工具进行检测。然而，新型恶意软件不断被发现，现有变体也变得越来越复杂，这就是为什么你还应该使用高级安全软件的原因。

下面列出了许多保护技术，可以用来抵御勒索软件攻击。

• 防火墙保护。这是你防止网络攻击的第一道防线。Web应用防火墙监视和过滤与Web服务之间的HTTP流量。你还可以在路由器上配置防火墙，以减少勒索软件渗透的风险。
• 防病毒软件。如果在Windows或macOS中检测到恶意行为，防病毒软件会立即阻止可疑文件并通知你。请记住，你应该保持防病毒软件的更新，以便它可以识别勒索软件的新版本。一些防病毒解决方案可以与vShield和vSphere集成，以保护运行在ESXi主机上的VMware虚拟机（VMs）。
• 端點發現和回應（EDR）。現代的EDR解決方案進行實時的威脅情報和分析，以在遭受攻擊之前和期間提供保護，以防範勒索軟件攻擊。您可以自動化響應和減輕過程，以盡可能減少損害。
• 電子郵件安全。在電子郵件服務器上適當配置反垃圾郵件和反惡意軟件過濾器可以防止用戶收到帶有有害鏈接或文件附件的電子郵件消息（或至少顯著降低概率）。攻擊者通常會分享指向惡意網站的鏈接，或附加帶有宏的Word和Excel文檔以傳播勒索軟件感染。

應該定期使用Google和Microsoft等可信供應商的數據庫更新過濾器配置。根據您的安全政策，您可以配置反惡意軟件和反垃圾郵件過濾器顯示警告消息或在消息到達用戶之前刪除消息。

• 沙箱。沙箱提供了額外的安全層，因為它允許您在平行網絡上的孤立環境中分析代碼或鏈接。如果一個可疑的消息通過了電子郵件過濾器，它可以在到達您的網絡之前進行檢查和測試。
• 入侵檢測系統（IDS）。IDS是一個先進的工具，它監控您的網絡和系統，尋找惡意活動或違規行為。一旦檢測到威脅，入侵檢測系統會自動向安全管理員發送報告，以便他們採取必要措施，防禦勒索軟件。
• 欺騙技術。當其他方法失敗時，欺騙技術可以幫助您保護數據不被盜或加密。使用這項技術，您可以創建一個假象，模仿您的實際數據和伺服器，以欺騙網絡犯罪分子，使他們誤以為他們的攻擊成功。這也使您能夠在威脅造成任何損害或數據丟失之前迅速檢測到威脅。
• IT 監控工具。即時的 IT 基礎設施監控 允許您根據網絡性能迅速識別出違規行為。可疑的處理器負載、異常的磁盤活動和大量的存儲消耗都是勒索軟件感染的明確指標。

如果您在網絡中檢測到異常行為，請考慮配置一個蜜罐（或陷阱）。蜜罐（或陷阱）是用於捕捉異常活動的技術。它是一組特殊文件，存儲在服務器的非標準位置。如果訪問這些文件，系統管理員將收到通知，因為在正常的生產操作中不應該發生這種情況。

5. 使用零信任安全限制權限

正如其名，零信任模型意味著您應該假定任何試圖連接到網絡的用戶，無論是內部還是外部用戶，都不能信任，都是潛在的威脅。僅在經過嚴格的驗證和認證過程後才允許訪問。這種方法通過消除未經授權的訪問來保護免受勒索軟件和違規行為的威脅。

為了進一步加強您的安全政策，您應該根據最小權限原則，僅給予用戶完成工作所需的特定權限。例如，普通用戶不應該擁有管理員的憑據。重要的是要注意，您必須創建一個專用帳戶來訪問包含敏感數據的備份存儲庫。

6. 安裝安全補丁並保持系統最新

及時為操作系統和應用程序安裝安全補丁可以減少攻擊者可能利用的安全漏洞和弱點。建議您實施補丁管理程序，並在可能的情況下啟用自動更新。

7. 制定應對計劃

對於每個組織來說，擁有應對計劃是至關重要的，以應對勒索軟件攻擊成功的情況。業務連續性和災難恢復（BCDR）計劃不能防禦勒索軟件，但可以幫助您減少停機時間並快速恢復丟失的數據。

確保您列出一系列應該由您的團隊在遭受入侵後執行的操作。這些任勞包括：

• 從網絡中斷感染的設備
• 刪除勒索軟件和感染文件
• 使用備份恢復數據
• 如有可能使用解密工具

重要的是要注意，無論如何都不要支付贖金！每次付款都會激勵犯罪分子發動額外的攻擊，而且不能保證您能夠取回數據。

8. 定期進行備份

如果勒索軟件攻擊確實感染了您的網絡，您仍然可以使用備份進行恢復，減少損壞和停機時間。從備份中恢復是恢復損壞或加密數據和工作負載的最有效方法。

以下是一些可以遵循以確保順利恢復的最佳做法：

• 遵循3-2-1備份規則以消除單一故障點並保證數據可恢復性。
• 將備份存儲在不可變存儲中以保護免受勒索軟件加密和修改。
• 將離線備份副本存儲在磁帶和其他與網絡分離的設備上。
• 執行備份驗證以確保所有數據可恢復。
• 使用專用管理員帳戶訪問和管理備份。

結論

勒索軟件是全球組織面臨的最危險威脅之一。幸運的是，本文提到的最佳做法可以幫助您降低感染風險，限制數據損失並提供最佳的勒索軟件保護。

請記住，如果您的網路遭到感染，您可以依靠備份來恢復加密數據。 NAKIVO Backup＆Replication 為各種環境提供全面的 勒索軟件數據保護 。該解決方案包括一系列高級工具，例如增量備份、細粒度恢復和 災難恢復編排 。