勒索軟件攻擊可能會導致企業關閉數周，損害客戶和員工的聲譽，并為進一步的數據泄露打開大門。由于攻擊可能是毀滅性的，因此了解如何防止勒索軟件是任何網絡安全團隊的一項基本技能。本文介紹了如何防止勒索軟件感染您的企業。繼續閱讀以了解如何應對勒索軟件威脅并建立公司范圍內的意識文化，以阻止這些危險的違規企圖。

什么是勒索軟件？它是如何工作的？

勒索軟件是一種加密或鎖定受害者數據的惡意軟件。然后，攻擊者要求贖金以換取唯一密鑰來解密或解鎖文件。與所有惡意軟件一樣，勒索軟件攻擊在惡意負載進入系統時開始，通常通過以下方式發生：

• 損壞的鏈接或附件。
• 指向帶有漏洞利用工具包的網站的廣告。
• 利用系統弱點的蠕蟲。
• 路過下載。
• 受感染的硬件。

發起勒索軟件攻擊的最常見方法是使用網絡釣魚電子郵件。電子郵件通常依靠?社會工程學?來鼓勵收件人單擊鏈接或下載附件。如果用戶中了這個把戲，惡意軟件就會默默地安裝在設備上。

一旦惡意軟件進入網絡，程序就會傳播到連接的系統并搜索有價值的數據。如果程序對數據進行加密，受害者會收到一條要求以加密貨幣付款以換取解密密鑰的票據。否則，攻擊者威脅要破壞密鑰或泄露敏感信息。

如何防止勒索軟件攻擊：最佳實踐

勒索軟件對中小型企業和企業都是一種威脅??，因此各種規模的公司都應該知道如何防止這種網絡威脅。以下是確保您的企業不會成為勒索軟件受害者的最有效方法。

設置防火墻

防火墻是針對勒索軟件的第一道基于軟件的防線。防火墻掃描傳入和傳出流量的潛在風險，允許安全團隊監控惡意負載的跡象。

要支持您的防火墻活動，請考慮設置：

• 工作負載的主動標記。
• 威脅狩獵。
• 對關鍵任務應用程序、數據或服務的流量進行一致評估。

理想情況下，您的防火墻應該能夠運行深度數據包檢測 (DPI)?來檢查數據內容。此功能會自動識別帶有受感染軟件的軟件包。

使用不可變備份

不可?變備份的?操作與任何數據備份一樣，但它不允許任何人更改或刪除信息。這種類型的備份是防止數據損壞的理想保護，無論是惡意的還是意外的。如果您成為勒索軟件攻擊的受害者，不可變備份可確保：

• 您無需支付贖金即可取回您的數據。
• 您的業??務不會遭受長時間的中斷。
• 黑客即使到達備份存儲也無法加密數據。

您應該每天多次備份數據，至少使用兩次備份，并使一個實例保持離線狀態。如果您遭受勒索軟件感染，請擦除您的舊系統，并恢復您記錄在案的最后一次干凈備份。

請記住，即使您可以恢復數據，將私人客戶信息泄露給犯罪分子仍然是一個問題。黑客可以出售或泄露信息，因此除了不可變備份外，還要花時間設置其他預防措施。

細分您的網絡

一旦勒索軟件進入您的系統，惡意軟件就需要通過網絡橫向移動以到達目標數據。?網絡分段?可防止入侵者在系統和設備之間自由移動。確保網絡中的每個子系統具有：

• 個人安全控制。
• 嚴格而獨特的訪問策略。
• 單獨的防火墻和網關。

如果入侵者破壞了您網絡的一部分，分段會阻止他們到達目標數據。攻擊者需要時間來闖入每個部分，這讓安全團隊有更多時間來識別和隔離威脅。

建立員工意識

員工是勒索軟件攻擊最脆弱的攻擊面。定期組織?安全意識培訓?，解釋員工在防止勒索軟件方面的作用，并確保員工知道如何：

• 識別網絡釣魚攻擊的跡象。
• 安全下載和安裝應用程序。
• 識別可疑的可執行文件和鏈接。
• 保持他們的憑據安全。
• 選擇強密碼。
• 保持他們的系統是最新的。
• 驗證軟件和網站的合法性。

除了涵蓋?網絡安全最佳實踐外，員工培訓還應強調在出現問題時報告可疑活動的重要性。

運行定期安全測試

漏洞評估?使您能夠檢查系統的弱點。這些測試檢查 IT 環境是否存在潛在漏洞，例如：

• 系統配置錯誤。
• 員工行為問題。
• 允許設置后門程序的弱點。
• 帳戶權限的缺陷。
• 身份驗證機制的問題。
• 未打補丁的防火墻、應用程序和操作系統。
• 弱密碼。
• 允許?SQL 注入的數據庫錯誤。

要進行更真實的分析，請考慮組織一次全面的滲透測試。?滲透測試?模擬現實生活中的系統入侵嘗試，因此偶爾運行勒索軟件模擬，看看您的系統和員工對威脅的反應如何。

白名單應用程序

黑名單和白名單是控制員工可以在其設備上安裝哪些軟件的兩種標準方法：

• 黑名單?是阻止安裝特定軟件的做法。
• 白名單?允許安裝特定程序并阻止安裝所有其他軟件。

雖然黑名單在特定場景下是有效的，但白名單是一種更有效的防止勒索軟件的方法。員工可以在他們的計算機上安裝白名單應用程序，以防止有人意外安裝受感染的程序。您還可以將網站列入白名單以進行進一步的安全控制。

設置沙盒

沙箱是可以運行程序和執行文件而不影響主機設備或網絡的隔離環境。雖然通常是軟件測試的一部分，但沙盒還可以幫助網絡安全團隊測試潛在的惡意軟件。使用沙箱進行惡意軟件檢測增加了針對不同網絡攻擊類型（包括勒索軟件）的另一層保護?。

加強密碼安全

您的員工必須知道強密碼的重要性。不幸的是，一般的密碼實踐留下了很大的改進空間：

• 平均而言，四分之三的人將同一個密碼用于多種用途。
• 大約 1/3 的互聯網用戶依賴非常弱的密碼，例如?abc123?或?123456。

請記住，勒索軟件攻擊通常始于利用松散的員工行為。確保所有員工都有??定期更新的強密碼。否則，攻擊者可以通過簡單?的暴力攻擊破壞您的系統。此外，考慮使用要求用戶和員工在訪問系統之前以多種方式驗證身份的多因素身份驗證。

改善端點保護

端點安全強調對網絡端點的保護，包括：

• 筆記本電腦。
• 平板電腦。
• 手機。
• 物聯網設備。

所有使用您的網絡的無線設備都是勒索軟件的潛在入口點。通過以下方式保護這些設備免受黑客攻擊：

• 阻止容易受到網絡威脅的流量和應用程序。
• 在員工訪問有風險的網站時發出警告。
• 檢查設備是否有最新的補丁。

良好的端點保護還可以在入侵者破壞設備時為管理員提供實時可見性，從而使他們能夠快速對潛在的違規行為做出反應。

及時的軟件補丁

勒索軟件經常利用公司軟件中的安全漏洞和漏洞，無論是初始感染還是橫向移動。使用最新的更新和補丁使軟件保持最新狀態，以確保最佳保護：

• 應用。
• 反惡意軟件程序。
• 端點保護。
• 入侵檢測和預防系統（IDPS）。
• 固件。
• 操作系統。
• 防火墻。
• 第三方軟件。

請記住，勒索軟件的演變與任何其他惡意軟件一樣。攻擊者根據最新漏洞調整策略，因此即使等待幾天更新系統也是相當大的風險。

提高您的電子郵件安全性

電子郵件安全最佳實踐?對于打擊網絡釣魚和其他社會工程陷阱至關重要。您的郵件服務器應該：

• 過濾掉帶有可疑擴展名的文件的傳入電子郵件，例如?.vbs?和?.scr。
• 自動拒絕已知垃圾郵件發送者和惡意軟件的地址。

可用于保護公司電子郵件的技術包括：

• 發件人策略框架 (SPF)。
• 域消息驗證報告和一致性 (DMARC)。
• 域密鑰識別郵件 (DKIM)。

還可以考慮部署第三方電子郵件掃描工具以提供額外保護。該工具有助于在文件到達員工之前發現并隔離勒索軟件企圖。

采用最小特權原則

您的所有用戶和員工都應該只具有執行其角色所需的訪問級別。例如，營銷團隊中的平面設計師不應有權訪問銷售團隊可用的帳戶詳細信息。受限訪問限制了潛在勒索軟件攻擊的損害。如果入侵者破壞了您的一名員工，被盜的憑據將不允許攻擊者在系統之間移動。

設置廣告攔截器

確保所有員工設備和瀏覽器都具有自動阻止彈出廣告的插件和擴展程序。惡意營銷是常見的勒索軟件來源，屏蔽廣告是限制攻擊面的簡單方法。

阻止腳本執行

勒索軟件黑客使用的一種常見策略是發送??帶有惡意 JavaScript 代碼的.zip文件。另一種流行的策略是將?.vbs??(VBScript) 文件打包到?.zip?存檔中。通過禁用 Windows 腳本主機并刪除設備執行腳本的能力來防止此漏洞。

顯示文件擴展名

勒索軟件黑客經常將惡意負載偽裝成?Paychecks.xlsx等文件名，希望誘騙用戶點擊附件。如果員工將他們的設備設置為顯示文件擴展名，他們會看到文件的真實名稱是?Paychecks.xlsx.exe。確保所有員工都能看到文件擴展名可以減少意外打開損壞的有效負載并引發攻擊的機會。

使用 CASB

如果您的團隊使用云服務，?云訪問安全代理?(CASB) 是抵御勒索軟件的絕佳工具。CASB 是本地或基于云的軟件，充當云用戶和數據之間的中介。該工具對云安全至關重要??，具有多種用途，包括：

• 保護內部設置和云環境之間的數據流。
• 監控所有云活動。
• 執行安全策略。
• 確保合規。

自帶設備 (BYOD) 限制

不受監管地使用員工的設備會給網絡帶來不必要的風險。您可以編寫?BYOD 策略?，概述員工使用私人設備的目的。此外，確保員工和訪客 BYOD 設備（例如手機）在公司網絡之外有單獨的 Wi-Fi。

確保設備在遇到威脅時自動脫機

即使是頂級勒索軟件，在感染設備和連接黑客的命令和控制 (C&C) 服務器之間也需要至少幾分鐘的時間。如果發生可疑過程，安全團隊可以將設備設置為自動將其與網絡和 Internet 斷開連接。如果無法訪問 Internet，勒索軟件在受感染的設備上保持空閑狀態，安全團隊可以在不危及其他系統的情況下消除威脅。

如果您的計算機感染了勒索軟件怎么辦？

如果盡管采取了所有預防措施，您的公司還是成為勒索軟件的受害者，您需要一個?災難恢復計劃。一個典型的反應是通過以下步驟：

• 隔離：?將受感染的系統與網絡的其余部分隔離。關閉設備，拔出網線，關閉Wi-Fi定位問題。
• 惡意軟件識別：?接下來，確定是什么類型的惡意軟件感染了系統。IT 團隊或外部顧問都應該分析和識別威脅。
• 報告違規行為：?即使某些法規沒有強制您報告攻擊，當局也可以提供內部團隊可能缺乏的專業知識和見解。
• 刪除惡意軟件：?通過卸載受感染設備上的所有內容并重新安裝操作系統來刪除惡意軟件。
• 分析數據丟失：?確定攻擊者設法加密了哪些數據。此外，搜索數據泄露的跡象。
• 恢復數據：?控制攻擊后，從可用的最新備份中恢復數據。
• IT 取證：?大多數黑客試圖在他們感染的每個系統中留下一個后門。確保團隊掃描所有 IT 環境以尋找潛在的切入點。
• 改進系統： 確定入侵者如何破壞系統并進行改進以確保不會再次發生相同的攻擊。

你應該支付贖金嗎？

在大多數情況下，您不應該支付贖金來取回您的數據。如果發生攻擊，強大的預防措施和備份應該可以防止數據丟失。即使您沒有數據備份，支付贖金仍然存在風險。您無法保證會收到解密密鑰，也無法保證在您發送付款后黑客不會出售數據。此外，您的支付意愿也會將您描繪成未來攻擊的目標。與其支付贖金，不如確保您永遠不會處于從攻擊中恢復過來的唯一方法就是滿足犯罪分子的要求的境地。

知道如何預防勒索軟件并領先于黑客

主動阻止勒索軟件是確保您的業務安全的最佳方法。實施上述建議并制定災難恢復計劃，以領先于黑客并避免不必要的金錢損失和聲譽損害。