賽門鐵克等安全廠商的安全分析師們一致認為,2016年受到勒索軟件影響的企業增長了35%。但更令人擔憂的是這些攻擊最近在復雜程度和分布廣度上的提升。
勒索軟件的方式是:通過鎖定系統的屏幕或加密用戶的文檔,來實現阻止或限制用戶訪問他們的系統,并向用戶索要贖金。它能讓你的業務停滯,并導致重大的經濟損失。
與可以在網絡潛伏幾個月的APT攻擊不同,勒索軟件的效果是更加直接且具有侵犯性的。
勒索軟件對攻擊者的金錢、資源或技術復雜性成本需求不多。因而企業越來越關心勒索軟件導致的經濟損失、業務宕機時間等影響。
企業安全服務商Landesk就企業應該如何防止遭受惡意軟件攻擊,提出了九個重要措施。
1. 修補關鍵性的操作系統和應用
對于大多數企業而言,打補丁都是防范勒索軟件等攻擊時首當其沖的工作。
只要保證操作系統和和一些關鍵性第三方應用(如Adobe Flash、Java、Web瀏覽器等)都已經及時更新,并且依據企業需求和策略,優先修復那些對企業運用影響不大的安全補丁,你就能在很大程度上減少此類惡意攻擊的發生。
許多企業擔心全面、及時、持續性的的修補實行和維護起來太繁瑣,有時這些工作也可能會破壞關鍵的業務應用。然而,如果使用最新的補丁管理工具,即使在最復雜的環境中,掃描缺失的補丁并將其安裝到工作站或服務器上,都將是一個簡單的任務。
2. 確保殺毒軟件處于最新狀態,配置定期掃描計劃
若果說補丁是第一道防線,那么殺毒軟件就是下一道防線。雖然大多數勒索攻擊都不會被傳統的基于特征的殺毒手段所阻止,但是,你肯定不想成為哪些殺毒軟件已能辨別的惡意威脅的受害者。
有效的殺毒防護策略中的最重要的部分是:確保你所有工作站的病毒庫保持更新。好的安全管理軟件可以自動執行這一進程。好的解決方案可以為任何規模的環境下所有端點提供病毒辨識文件。
3. 對特權賬戶的慎重管理
盡可能地限制特權賬戶是防止勒索軟件等各類惡意攻擊的重要策略之一。例如,近期出現的一種叫“Petya”的勒索攻擊需要管理員權限才能運行,而如果用戶不授予權限它就無法運作。
刪除管理員權限很容易,但是保持訪問權限、用戶工作效率和企業安全之間平衡就不那么簡單了。因此企業需要特權賬戶管理解決方案的支持。
然而,在防止勒索時必須意識到的是,很多用戶被勒索是因為被騙著運行了某些可執行文件。一旦勒索軟在當前用戶權限下被執行,便不需要任何管理員權限就可以完成攻擊。例如,Petya勒索軟件的一個新版本已經具有了備用機制,允許它在無管理員特權的情況下加密文件。
4. 實施以數據為重點的訪問控制
一個有效的訪問控制方案可以幫助你防止被勒索軟件攻擊。然而,如果方案仍然以用戶訪問權限為管理重點,它的防護效果將會非常有限。
訪問控制在保護共享設備上的文件時很有效。原因在于總是有部分用戶有合法權限來訪問和修改每個共享設備上的部分甚至全部文件。畢竟,這些文件大部分是合法用戶創建的文檔。這意味著利用合法訪問權限實行的勒索攻擊可以加密和保管所有已連接、共享的設備和文件夾。
相比傳統訪問控制,新的聚焦數據的安全解決方案依賴于對勒索軟件攻擊行為的理解,而不再需要為特定用戶創建和管理的規則。因此這也比基于用戶權限的訪問控制管理更容易實現和維護。
5. 定義、實施和執行軟件規則
好的企業軟件很容易定義、實施和執行監管其他軟件行為的規則。規則可以限制指定軟件運行、創建、修改、讀取任何單個文件或位于特定列表(包括瀏覽器和其他軟件所使用的臨時文件夾)下的所有文件的能力。
這些規則可以在全球范圍內或特定用戶/組中廣泛應用。然而,在實施這些規則之前,必須考慮其可能導致的用戶體驗惡化。例如,當安裝或更新軟件時,合法用戶有時需要直接從瀏覽器上解壓或執行文件。用戶也可能需要這一方式來創建或調用宏來完成他們的工作。
而軟件限制規則可能會阻斷這些原本合法的活動。
6. 禁用微軟 Office軟件的宏指令
禁用Microsoft Office軟件的宏指令將阻止勒索軟件等惡意攻擊。例如,Locky是一種相對較新的加密勒索軟件,其傳播方式主要是垃圾郵件的附件。它引誘用戶啟用Word文檔的宏指令將惡意軟件下載到電腦。
7. 應用白名單
這個方案能有效地消除任何勒索軟件運行的能力,因為沒有勒索軟件是可信的。它確保只有受信任的應用程序才可以在任何端點運行。成功的白名單的最大挑戰,就是創建初始的受信任應用程序列表,以及保持列表的準確、完整、實時性。
8. 要求用戶使用虛擬或封閉的容器環境
在大多數情況下,勒索軟件被安置在電子郵件的附件中。要求用戶使用虛擬或封閉的容器環境將確保任何獲得系統訪問途徑的勒索軟件無法對用戶的主要工作環境造成損害。
9. 經常性備份重要文件
美國聯邦調查局的報告推薦:企業可以通過及時且頻繁的對重要文檔的備份,以確保業務連續性。備份將在遭遇勒索軟件襲擊救你一命。
京公網安備 11010502049343號