勒索软件是一种特定类型的恶意软件,它通过破坏数据来要挟受害者。钓鱼邮件就是一种常见的传播方式,但勒索软件也可以通过偷渡式下载下载传播,即当用户访问一个受感染的网站时,攻击会在用户不知情或未同意的情况下,在计算机上安装有害应用程序。高级攻击需要几秒钟的时间来破坏终端,勒索软件攻击需要几秒钟的时间来破坏系统和基础设施。随着攻击变得越来越复杂,勒索软件的影响已经超越了财务损失的范畴。
企图攻击和数据泄露是不可避免的,没有组织愿意被迫在支付赎金和丢失重要数据之间做出选择。幸运的是,这并不是唯一的选择。最好的选择是从一开始就避免被迫做出这个决定。这种方法需要一个分层的安全模型,其中包括由主动的全球威胁情报提供支持的网络、终端、应用程序和数据中心控制。考虑到这一点,有9件事要考虑,以便让组织有最好的机会避免勒索软件攻击。
1. 电子邮件网关安全和沙箱
电子邮件是攻击者最常用的攻击手段之一,一个安全的电子邮件网关解决方案应该提供先进的多层保护,可抵御各种电子邮件传播的威胁。沙箱技术提供了额外的一层保护。任何通过电子邮件过滤器但仍然包含未知链接、发件人或文件类型的电子邮件,都可以在它到达网络或邮件服务器之前进行测试。
2. Web应用安全/防火墙技术
web应用防火墙(WAF)通过过滤和监控进出web服务的HTTP流量来帮助保护web应用程序。它是一个关键的安全要素,因为它是缓解网络攻击的第一道防线。当组织执行新的数字计划时,攻击面也会随着扩大。由于web服务器漏洞、服务器插件或其他问题,新的web应用程序和应用程序编程接口(API) 可能会暴露在危险的流量中。WAF有助于确保这些应用程序及其访问内容的安全性。
3. 攻击情报共享
组织必须拥有实时可操作的情报,以帮助缓解杀毒软件等发现不了的威胁。必须在环境中的不同安全层和产品之间共享信息,以提供主动防御。此外,这种信息共享应扩展到组织之外的更广泛的网络安全社区,例如计算机应急响应小组(CERT)、信息共享和分析中心(ISAC)以及网络威胁联盟(Cyber Threat Alliance)等行业联盟。快速共享是在攻击发生变异或传播到其他系统或组织之前快速响应攻击并打破网络攻击链的最佳方式。
4. 保护终端设备
传统的反病毒技术并不总是做得很好,而且随着攻击技术越来越复杂,防御技术通常无法跟上安全的需要,组织需要确保使用终端发现和响应(EDR)解决方案和其他技术适当地保护终端设备。
在当前的威胁环境中,高级攻击可能需要几分钟或几秒钟才能攻击终端。第一代EDR工具根本跟不上,因为它们需要人工分类和响应。它们不仅应对速度太慢,无法应对今天迅速发展的攻击技术,而且还会产生大量的警报,给已经超负荷工作的网络安全团队带来大量负担。此外,传统的EDR安全工具可能会提高安全运营的成本,减缓网络处理和功能,这可能会对业务产生负面影响。
相比之下,下一代EDR解决方案为终端提供先进的、实时的威胁情报、可见性、分析、管理和保护,在感染前和感染后均可防御勒索软件。这些EDR解决方案可以实时检测和化解潜在威胁,主动减少攻击面,帮助防止恶意软件感染,并使用可定制的剧本自动化响应和修复程序。
5. 数据备份和事件响应
组织应该能够执行所有系统和数据的备份,并将其存储在网络之外,还应该测试这些备份,以确保能够正确地恢复。
每个组织都应该有一个适当的事件响应计划,以确保企业在遭受成功的勒索软件攻击时做好准备。人们应该提前分配具体的任务。例如,企业会向谁寻求安全分析方面的帮助? 企业有现成的专家来帮助你恢复系统吗? 企业还应该定期进行练习,重点是如何从勒索软件攻击中恢复过来。
6. 实现零信任
零信任安全模型假定试图连接到网络的任何人或任何事务都是潜在的威胁。这种网络安全理念指出,网络内外的任何人都不应该被信任,除非他们的身份被彻底检查过。“零信任”默认网络外部和内部的威胁是一个无处不在的因素。这些假设为网络管理员提供了思路,迫使他们设计严格的、不信任任何人的安全措施。
使用零信任方法,每个试图访问网络或应用程序的个人或设备都必须经过严格的身份验证,然后才授予访问权限。这种验证使用多因素身份验证(MFA),要求用户在被授予访问权限之前提供多个凭据。零信任还包括网络访问控制(NAC),用于限制未经授权的用户和设备访问公司或私人网络。它保证只有通过认证的用户和通过授权且符合安全策略的设备才能进入网络。
7. 防火墙和网络分段
随着云应用的增加,网络分段变得越来越重要,尤其是在多云和混合云环境中。通过网络分段,组织可以根据业务需求对网络进行分区,并根据角色和当前信任状态授予访问权限。根据请求者当前的信任状态检查每个网络请求,如果它们确实进入了网络,则对于防止在网络内横向移动非常有益。
8. 用户培训和良好的网络安全习惯是关键
具体的操作人员才是网络安全战略的核心,根据《2021年Verizon数据泄露调查报告》,85%的数据泄露都与操作习惯有关。理论上,你可以有世界上所有的安全解决方案,但如果组织忽视了培训员工的网络意识,你永远不会得到真正的安全。确保所有员工都接受了关于发现和报告可疑网络活动、保持良好的上网习惯以及保护个人设备和家庭网络安全的实质性培训。员工在被聘用时应该接受培训,在他们的任期内也应该定期接受培训。
9. 使用欺骗技术
组织还应该了解欺骗技术,尽管它不是主要的网络安全策略,但欺骗解决方案有时是可以帮助保护系统的。
欺骗技术可以模拟实际的服务器、应用程序和数据,从而欺骗攻击者,让他们相信他们已经渗透并获得了企业最重要资产的访问权。这种方法可以用来最小化损失并保护组织的真实资产。
本文翻译自:
https://www.fortinet.com/blog/industry-trends/how-to-prevent-ransomware-attacks-top-nine-things-to-keep-in-mind