如何防止勒索软件攻击
勒索软件是一种不断增长的威胁,但良好的安全做法(如定期软件更新、频繁的数据备份和用户电子邮件安全培训)可以降低它影响组织的几率。
勒索软件是一种恶意软件,它会锁定文件和数据并持有它们以获取赎金。它通常通过加密文件和数据来做到这一点,攻击者保留加密密钥。勒索软件可以通过多种不同方式进入网络,包括恶意电子邮件、漏洞利用以及捎带其他恶意软件感染。
没有 100% 万无一失的方法可以防止勒索软件进入网络,但采取以下步骤可以大大降低受到攻击的风险。
防范勒索软件的最佳做法
虽然勒索软件攻击普遍存在,但是可以采用一些有效方法来防范勒索软件攻击并保护敏感数据。以下是公司可以用来防范勒索软件攻击的六种策略。
1. 定期更新软件
勒索软件进入网络并在网络中传播的一种常见方式是利用过时软件中的漏洞。“漏洞”是可以用于恶意目的的软件缺陷。随着漏洞的发现,软件供应商会定期以软件更新的形式为它们发布修复程序。不定期更新操作系统和应用程序就像不给房子的前门上锁,让窃贼溜进来。
例如,2017 年 5 月,著名的 WannaCry 勒索软件利用“EternalBlue”漏洞传播到超过 200,000 台计算机,尽管 Microsoft 之前已针对该漏洞发布了补丁。
勒索软件攻击还利用漏洞在网络内部传播。例如,一旦 Maze 勒索软件已经进入网络,它就会扫描可利用的漏洞,然后使用这些漏洞来感染尽可能多的机器。
企业可以尽可能频繁地更新软件,这有助于抵御勒索软件以及许多其他类型的攻击。这有利于修补漏洞,实质上是重新锁定前门,使犯罪分子(或勒索软件攻击者)无法闯入。
2. 使用双因素身份验证 (2FA)
许多勒索软件攻击始于网络钓鱼活动:他们获取用户凭据(用户名和密码),然后使用这些凭据进入网络并在网络内移动。在其他情况下,勒索软件攻击者会尝试使用已知的默认凭据,直到他们找到使用这些凭据的服务器或网络,从而获得访问权限。(Maze 攻击使用了这种技术。)
双因素身份验证 (2FA) 是一种更安全的用户身份验证方法。2FA 包括校验一个额外的因素,如只有真实用户拥有的硬件令牌。这样,即使攻击者设法窃取了用户名和密码的组合,他们仍然无法获得对网络的访问。
3. 确保内部电子邮件安全
电子邮件安全是防范勒索软件攻击的一款重要工具。勒索软件攻击采用各种方法入侵设备和网络,但电子邮件仍然是最常用的一种方法。许多勒索软件攻击都始于网络钓鱼攻击、鱼叉式网络钓鱼攻击或隐藏在恶意电子邮件附件中的木马程序。
寻找以下关键领域的电子邮件安全供应商:
采用广撒网发现攻击者基础设施和网络钓鱼活动的方法,同时搭配基于启发式的防护和 ML 检测技术,过滤掉来自不受信任的源的电子邮件及其附件
自动或托管式网络钓鱼分类与补救
防范 Gartner 定义的全部 4 种攻击类型
4. 实施端点安全
防范勒索软件的另一个步骤是端点安全。端点安全是指保护笔记本电脑、台式电脑、平板电脑和智能手机等设备免受攻击的过程。端点安全包括以下内容:
反恶意软件可以检测设备上的勒索软件,然后隔离受感染的设备以防止恶意软件传播。此外,一些勒索软件攻击通过预先存在的恶意软件感染传播——例如,Ryuk 勒索软件通常通过已经感染 TrickBot 恶意软件的设备进入网络。反恶意软件可以帮助在导致勒索软件之前消除这些感染。(然而,一旦勒索软件被激活并且已经加密了文件和数据,反恶意软件就没有什么帮助了。)
应用程序控制有助于阻止用户安装包含勒索软件的虚假应用程序或攻击者已入侵的应用程序。
硬盘加密并不能帮助阻止勒索软件,但它仍然是端点安全的一个重要部分,因为它可以防止未经授权的各方窃取数据。
阅读有关端点安全的更多信息。
5. 备份文件和数据
定期备份文件和数据是众所周知的一种最佳做法,可为潜在的勒索软件攻击做好准备。许多情况下,企业可以从备份中恢复数据,而无需支付赎金来解密或从头开始重建所有 IT 基础设施。
尽管备份数据并不能阻止勒索软件,但它可以帮助组织更快地从勒索软件攻击中恢复。但是,备份也可能被感染,除非它与网络的其余部分分开。
6. 使用 Zero Trust 模型
许多组织认为他们的网络就像被护城河包围的城堡。保护网络边界的防御措施(如防火墙和入侵防御系统 (IPS)),将攻击者拒之门外——就像护城河将入侵部队挡在中世纪的城堡外一样。
然而,采取这种城堡加护城河的安全方法的组织,非常容易受到勒索软件的攻击。事实是,攻击者经常能够通过各种方法突破"护城河" ,一旦他们进入,他们实际上可以自由地感染和加密整个网络。
一种实现网络安全的更优方法是假定“城堡”内外都存在威胁。这种理念称之为 Zero Trust。
Zero Trust 安全模型维持严格的访问控制,并且默认情况下不信任任何人员或计算机,即使是网络边界内的用户和设备也是如此。由于 Zero Trust 会持续监控并定期重新验证用户和设备,因此,一旦检测到感染,它可以通过撤销网络和应用程序访问权限来阻止勒索软件感染的进一步传播。Zero Trust 还遵循访问控制的“最低权限”原则,使勒索软件难以提升其权限并获得对网络的控制权。
Cloudflare One 是一个 Zero Trust 网络即服务 (NaaS) 平台。它结合了安全和网络服务,以安全地连接远程用户、办公室和数据中心(这种模式被称为 SASE,或安全访问服务边缘)。
想了解有关勒索软件的更多信息?阅读以下文章更深入地了解这个主题:
什么是勒索软件?
什么是 Maze 勒索软件?
什么是 WannaCry 勒索软件攻击?
什么是 Ryuk 勒索软件?