系統被黑只是時間問題?即使如此還是有辦法來延緩勒索軟件的攻擊。我們在第一部分《免遭勒索軟件侵害必備技能之:換位思考》中介紹,對于盛行的勒索軟件,你需要換位思考:如果病毒感染了用戶的計算機,它會在什么賬號下發作?是用戶的域帳戶?本地管理員的帳戶,還是系統帳戶和網絡帳戶?專家TREVOR POTT給出了自己的答案。
本文為第二部分,更多專家將介紹防止Windows用戶數據被惡意加密的兩種方式以及企業級PowerShell環境對勒索軟件產生的影響。
MICHAEL STUMP
勒索軟件體現出惡意軟件對企業級IT領域不斷變化的威脅。病毒具備很高傳染性卻沒有什么危害的日子已經過去了。我們當前所面臨的,是借助網絡釣魚和勒索軟件來引誘用戶點擊惡意鏈接的混合式攻擊。
需要強調的是,面對勒索軟件,信息安全深度防御的宗旨日漸前沿和重要。因為從很久之前開始,當惡意郵件到達用戶的收件箱,一系列的安全措施便能夠審查和隔離疑似或已知的安全威脅。在很多案例中,這些安全措施包括反病毒和反垃圾郵件。但越來越多的IT組織也利用DNS掃描、URL過濾和威脅建模的產品作為傳統的安全措施的補充。
當然,深度防御可以從周邊開始,但它總是到桌面端完成。那么,在Windows環境中,如何才能防止用戶數據被惡意加密呢?讓我們來討論一下可以起到作用的兩種實踐操作:最小特權原則以及良好備份的重要性。
最小特權原則
用戶遭到勒索,無法訪問本地工作站的個人文件,這簡直糟透了。但是,當用戶有許多映射網絡驅動器可訪問數據屬于工人的數據時,后果可能更加不堪設想。想限制住被勒索軟件感染個體所造成的損害,需要控制訪問級別,只允許用戶訪問他們需要的數據。在許多案例中,用戶只需要在映射的驅動器上讀取共享文檔的訪問權限。
當擁有只讀權限的用戶被勒索軟件感染,惡意軟件將無法加密這些文件。要知道,惡意軟件感染一般運行在用戶登錄環境中,因此,如果用戶無權修改文件,由于感染的惡意軟件運行在用戶的桌面端,這將很大程度上阻止它加密文件。是的,管理文件和共享權限的過程是耗時和重復的。不過,你是否愿意處理隔離系統后內部的問題,并嘗試從攻擊中恢復文件?
新的防御機制?良好的備份機制
如果你的防御體系未能阻止勒索軟件感染,那要怎么辦?感染已然發生。從備份和恢復的角度來看,這些事件與文件丟失關系不大,主要事關文件的恢復。一份沒有可靠恢復計劃做基礎的可靠的備份計劃是無從談起的。為了清晰起見,我所認為的“可靠”是指通過網絡無法訪問的內部數據副本的備份方式。如果勒索軟件突破了你的防御,這些副本也處于加密狀態,并可被丟棄。
可靠的備份是指那些至少每天進行一次并存儲在安全的網絡位置的備份,且用戶無法直接訪問。如果你保持每星期進行多次備份或更加頻繁的備份習慣,應該給自己加分,因為部分勒索軟件的感染可能需要幾天才能被發現。你一定不會選擇,成功備份加密數據的周期要比數據保留周期還長這樣費力的辦法。
勒索軟件是利用你網絡中信息安全的漏洞為自己牟利的惡意軟件,它同時也暴露了你的操作失誤。禁止不必要的用戶訪問,并建立更強大的備份存儲過程,把重要的數據的周圍布置一條虛擬的“護城河”,并防止黑客劫持我們的業務。
欲了解更多觀點,請訪問Michael Stump的個人頁面。
TIMOTHY WARNER
勒索軟件的最新趨勢是引誘受害者打開嵌入宏的微軟Word文檔,打開文檔的同時宏被啟用并被允許運行。一旦執行,應用宏程序調用Visual Basic通常隱藏的Windows PowerShell控制臺,繞過它的腳本執行策略并下載或運行惡意PowerShell腳本。這種情況很糟糕,因為PowerShell能夠進行高權限的管理任務,包括對受害者的硬盤驅動器進行加密。
為修復這一威脅,我希望已安裝的微軟Office的企業修改默認的宏執行策略規則。默認情況下,用戶需要在打開的Office文檔中明確地允許宏的運行。
當然,這一策略的關鍵是做好用戶端的宣貫。企業用戶應該抵制盲目的繞過安全控制的主張;畢竟,Microsoft Word僅需用戶輕輕點擊鼠標便可運行宏(從而導致宏有關安全問題)。
在用戶宣貫和激活安全控件方面——同樣的建議也應用到企業級的Windows PowerShell環境。如今所有的Windows計算機都已經安裝PowerShell;默認情況下,Windows PowerShell腳本執行在客戶端計算機上是禁用狀態。此外,PowerShell腳本文件的擴展名是.ps1,該后綴與Windows記事本關聯;這意味著當雙擊一個PowerShell腳本文件時,打開的是文件而不是執行代碼的編輯。
盡管如此,繞過PowerShell腳本執行的策略還是很容易的,因此我們應該回到要求我們的用戶在從不可信的信息源接收到文件時注意鑒別——這一更加重要的原則上來。
京公網安備 11010502049343號