勒索軟件仍然是一個(gè)重大風(fēng)險(xiǎn)——它已變得難以阻止，因?yàn)樗轻槍?duì)大多數(shù)防御的有效攻擊媒介。對(duì)于企業(yè)而言，情況變得更糟，因?yàn)槔账鬈浖尼槍?duì)性越來越強(qiáng)，并且傾向于使用多種攻擊媒介。勒索軟件將未修補(bǔ)的漏洞與惡意廣告、網(wǎng)絡(luò)釣魚、社會(huì)工程和其他有針對(duì)性的載體結(jié)合使用。

它變得非常復(fù)雜，攻擊者甚至知道目標(biāo)公司擁有什么級(jí)別的網(wǎng)絡(luò)保險(xiǎn)，有時(shí)會(huì)與內(nèi)部人員合作交付有效載荷。暗網(wǎng)甚至被用來購買勒索軟件即服務(wù)。考慮到上述因素，攻擊者現(xiàn)在可以在沒有任何編程知識(shí)的情況下部署利潤(rùn)豐厚的攻擊網(wǎng)絡(luò)。

因此，隨著勒索軟件促成的攻擊不斷升級(jí)，應(yīng)考慮結(jié)合防御機(jī)制來幫助降低風(fēng)險(xiǎn)。

勒索軟件防御機(jī)制

1. 擁有可恢復(fù)的離線備份

確保防御勒索軟件的最重要和最簡(jiǎn)單的方法是通過可恢復(fù)備份的可用性，該備份可用于完全恢復(fù)。一個(gè)經(jīng)常不被重視的明顯一點(diǎn)是，備份只有在可用于恢復(fù)時(shí)才有效。如果備份不能用于還原，則備份毫無意義。因此，經(jīng)常測(cè)試備份是必不可少的。

此外，備份不應(yīng)該是數(shù)字可達(dá)的，這意味著一旦備份完成，它就需要與數(shù)字連接的環(huán)境隔離。這樣做可確保內(nèi)部人員和外部人員無法訪問它，從而保護(hù)備份隨時(shí)被修改并確保僅在需要時(shí)才可訪問。不幸的是，很多時(shí)候，在響應(yīng)事件時(shí)，在勒索軟件負(fù)載通過攻擊者建立的遠(yuǎn)程訪問傳送之前，備份已被刪除。

因此，優(yōu)先勒索軟件防御應(yīng)首先確保可恢復(fù)的、不可訪問的備份在需要時(shí)可用并發(fā)揮作用。一旦實(shí)現(xiàn)了這一點(diǎn)，就可以考慮其他防御選項(xiàng)來進(jìn)行組合勒索軟件防御。不要落入陷阱，在事件發(fā)生時(shí)，人們會(huì)意識(shí)到被認(rèn)為具有功能的備份不可恢復(fù)或易受攻擊。測(cè)試制度是確保這種情況不會(huì)發(fā)生的關(guān)鍵。

2. 確保端點(diǎn)和服務(wù)器是隔離的

如果您有一個(gè)扁平網(wǎng)絡(luò)，這意味著所有機(jī)器都可以相互通信，那么從機(jī)器到設(shè)備的橫向移動(dòng)是可能的。為了限制這種配置可能造成的損害，應(yīng)該創(chuàng)建一個(gè)“防火墻”。防火墻是將每臺(tái)機(jī)器保持在單獨(dú)網(wǎng)絡(luò)中的網(wǎng)段。該網(wǎng)絡(luò)由一組規(guī)則控制，這些規(guī)則決定了允許的交通流量。從而可以控制流量的橫向移動(dòng)，不僅可以控制用戶，還可以控制勒索軟件等惡意軟件。

此策略適用于多種類型的網(wǎng)絡(luò)，包括本地內(nèi)部部署網(wǎng)絡(luò)、遠(yuǎn)程工作者的家庭網(wǎng)絡(luò)和云網(wǎng)絡(luò)，并幫助組織檢測(cè)惡意軟件和勒索軟件。

無線網(wǎng)絡(luò)的防御尤其具有挑戰(zhàn)性，通過使用這種技術(shù)，您會(huì)發(fā)現(xiàn)您有一種有效的方法來管理所有網(wǎng)絡(luò)中的橫向移動(dòng)。

3. 掃描您的電子郵件

大多數(shù)勒索軟件感染通過電子郵件媒介進(jìn)入組織。在撰寫本文時(shí)，Microsoft 365 電子郵件掃描無法有效阻止勒索軟件。因此，許多使用 Microsoft 365 的公司仍然受到感染并且仍然容易受到攻擊。需要改進(jìn)的解決方案來限制通過電子郵件發(fā)送給用戶的任何鏈接的執(zhí)行，以減少威脅。有幾種系統(tǒng)可用于從電子郵件中刪除鏈接，并且只允許白名單鏈接獲得訪問權(quán)限。這些類型的系統(tǒng)還在機(jī)器上安裝了一個(gè)可以沙箱鏈接的代理。當(dāng)每個(gè)鏈接都有潛在的危害，每個(gè)附件都可能提供有效載荷時(shí)，您可能認(rèn)為這是一項(xiàng)不可能完成的任務(wù)，但仍有希望。

目前，大多數(shù)勒索軟件(目前)還不能輕易脫離沙箱，并且可以在不錯(cuò)的掃描產(chǎn)品的幫助下被檢測(cè)到和中和。任何主流技術(shù)都更加無效，因?yàn)橄胍獋Φ墓粽咭部梢栽L問它們。像 Microsoft 365 這樣的解決方案是基本的，此時(shí)如果不與防御者或更高級(jí)的反惡意軟件結(jié)合使用，將使組織容易受到攻擊。重寫鏈接和將用戶可以訪問的 URL 列入白名單的技術(shù)以及強(qiáng)大的附件掃描是一種有效的勒索軟件防御選項(xiàng)。將使組織變得脆弱。重寫鏈接和將用戶可以訪問的 URL 列入白名單的技術(shù)以及強(qiáng)大的附件掃描是一種有效的勒索軟件防御選項(xiàng)。將使組織變得脆弱。重寫鏈接和將用戶可以訪問的 URL 列入白名單的技術(shù)以及強(qiáng)大的附件掃描是一種有效的勒索軟件防御選項(xiàng)。

4. 清理您的網(wǎng)絡(luò)流量

當(dāng)用戶收到有針對(duì)性的電子郵件并單擊鏈接時(shí)，他們會(huì)被定向到一個(gè)網(wǎng)頁，該網(wǎng)頁下載惡意軟件或說服用戶這樣做。允許未經(jīng)審查地訪問整個(gè)互聯(lián)網(wǎng)就像允許一個(gè)孩子在晚上獨(dú)自在城市里跑來跑去。最好通過將與業(yè)務(wù)相關(guān)的站點(diǎn)列入白名單來引導(dǎo)用戶，并且只有在經(jīng)過審查后才允許訪問這些站點(diǎn)。

5. 管理員帳戶

在網(wǎng)絡(luò)安全中，刪除所有管理員權(quán)限并使用具有最低權(quán)限的計(jì)算機(jī)始終是一個(gè)好主意。這是對(duì)抗勒索軟件的又一障礙，會(huì)延遲活動(dòng)并有助于檢測(cè)事件。

6. 快速修補(bǔ)一切

勒索軟件最常見的傳播方式之一是蠕蟲利用漏洞。大多數(shù)蠕蟲都在利用舊漏洞。通常，由于補(bǔ)丁沒有定期部署。由于攻擊者擁有與商業(yè)軟件公司一樣好的開發(fā)框架，攻擊者可以迅速采取行動(dòng)。因此，一旦他們發(fā)現(xiàn)漏洞，他們就可以調(diào)整他們的代碼，以一定的速度利用最新的漏洞。

修補(bǔ)可能仍然是最具威脅性的攻擊途徑之一，因?yàn)榇蠖鄶?shù)公司修補(bǔ)的速度非常緩慢，并且需要數(shù)天甚至數(shù)周的時(shí)間來修補(bǔ)。攻擊者不斷地尋找缺口，當(dāng)他們這樣做時(shí)，他們就會(huì)找到一個(gè)立足點(diǎn)，當(dāng)他們準(zhǔn)備好交付有效載荷時(shí)，他們可以利用這個(gè)立足點(diǎn)。或者，他們將暗網(wǎng)上的訪問權(quán)換成加密貨幣或“坐享其成”，直到他們確定了危害目標(biāo)的最佳方式，而目標(biāo)卻一無所知。

勒索軟件是一項(xiàng)有利可圖的業(yè)務(wù)

據(jù)估計(jì)，勒索軟件現(xiàn)在是一個(gè)價(jià)值超過 5 億美元的產(chǎn)業(yè);對(duì)于攻擊者來說，這是一個(gè)簡(jiǎn)單的選擇，對(duì)他們來說非常有利可圖。通過其不斷增長(zhǎng)的成功，更大的團(tuán)體正在開發(fā)強(qiáng)大的攻擊套件，人們可以訂閱或作為服務(wù)出售。

加密貨幣的興起也使得“工作”更容易獲得報(bào)酬，追蹤也更具挑戰(zhàn)性(因此，攻擊者不會(huì)經(jīng)常被抓住)。因此，在不斷增長(zhǎng)的勒索軟件市場(chǎng)中有許多專業(yè)攻擊者。

該行業(yè)正在組建一個(gè)工作組來應(yīng)對(duì)這一日益嚴(yán)重的問題。然而，這有點(diǎn)像“貓捉老鼠”的游戲，不幸的是，組織正在不斷填補(bǔ)老鼠的空白。