勒索软件攻击可能会导致企业关闭数周,损害客户和员工的声誉,并为进一步的数据泄露打开大门。由于攻击可能是毁灭性的,因此了解如何防止勒索软件是任何 网络安全 团队的一项基本技能。
什么是勒索软件?它是如何工作的?
勒索软件是一种加密或锁定受害者数据的恶意软件,攻击者要求赎金以换取唯一密钥来解密或解锁文件。
和所有恶意软件一样,勒索病毒一般通过以下的几种方式传播:
损坏的链接或者附件
垃圾广告
利用系统漏洞的蠕虫
木马下载
硬件感染
最常见的方法是通过钓鱼邮件,邮件中的一些带有指向性的链接来吸引收件人点击或者下载,一旦点击或者下载了,那么可能就中招了。一旦恶意软件进入系统,程序就会搜索有价值的数据,对数据进行加密,受害者会收到一条要求赎金的信息,否则,攻击者威胁要破坏密钥或泄露敏感信息。推荐阅读:《我是如何意外阻止了勒索病毒的全球攻击的?》
如何预防:
设置防火墙
使用不可变备份
细分网络
建立员工意识
定期进行安全测试
设置白名单应用程序
设置沙盒 –沙盒是可以运行程序和执行文件而不影响虚拟主机设备或网络的隔离环境。虽然通常是软件测试的一部分,但沙盒还可以帮助网络安全团队测试潜在的恶意软件。
加强密码安全
改善端点保护
及时更新漏洞补丁
提高邮件安全性
采用最小特权原则
设置广告拦截器
阻止脚本运行
显示文件扩展名 –勒索软件经常伪装成 Paychecks.xlsx等文件名,诱骗用户点击附件。如果设备设置为显示文件扩展名,他们会看到文件的真实名称是 Paychecks.xlsx.exe,可以减少意外打开损坏的有效负载并引发攻击的机会。推荐阅读:《如何恢复部分WannaCry勒索软件加密文件》
使用CASB –CASB 是本地或基于云的软件,充当云用户和数据之间的中介,是抵御勒索软件的绝佳工具。
自带设备(BYOD)限制
确保设备在遇到威胁时自动脱机
如果您的计算机感染了勒索软件怎么办?
如果尽管采取了所有预防措施,您的公司还是成为勒索软件的受害者,您需要一个 灾难恢复计划。一个典型的反应是通过以下步骤:
隔离: 将受感染的系统与网络的其余部分隔离。关闭设备,拔出网线,关闭Wi-Fi定位问题。
恶意软件识别: 接下来,确定是什么类型的恶意软件感染了系统。IT 团队或外部顾问都应该分析和识别威胁。
报告违规行为: 即使某些法规没有强制您报告攻击,当局也可以提供内部团队可能缺乏的专业知识和见解。
删除恶意软件: 通过卸载受感染设备上的所有内容并重新安装操作系统来删除恶意软件。
分析数据丢失: 确定攻击者设法加密了哪些数据。此外,搜索数据泄露的迹象。
恢复数据: 控制攻击后,从可用的最新备份中恢复数据。
IT 取证: 大多数黑客试图在他们感染的每个系统中留下一个后门。确保团队扫描所有 IT 环境以寻找潜在的切入点。
改进系统: 确定入侵者如何破坏系统并进行改进以确保不会再次发生相同的攻击。推荐相关阅读:《高防服务器的优势》