它变得非常复杂,攻击者甚至知道目标公司拥有什么级别的网络保险,有时会与内部人员合作交付有效载荷。暗网甚至被用来购买勒索软件即服务。考虑到上述因素,攻击者现在可以在没有任何编程知识的情况下部署利润丰厚的攻击网络。
因此,随着勒索软件促成的攻击不断升级,应考虑结合防御机制来帮助降低风险。
勒索软件防御机制
1. 拥有可恢复的离线备份
确保防御勒索软件的最重要和最简单的方法是通过可恢复备份的可用性,该备份可用于完全恢复。一个经常不被重视的明显一点是,备份只有在可用于恢复时才有效。如果备份不能用于还原,则备份毫无意义。因此,经常测试备份是必不可少的。
此外,备份不应该是数字可达的,这意味着一旦备份完成,它就需要与数字连接的环境隔离。这样做可确保内部人员和外部人员无法访问它,从而保护备份随时被修改并确保仅在需要时才可访问。不幸的是,很多时候,在响应事件时,在勒索软件负载通过攻击者建立的远程访问传送之前,备份已被删除。
因此,优先勒索软件防御应首先确保可恢复的、不可访问的备份在需要时可用并发挥作用。一旦实现了这一点,就可以考虑其他防御选项来进行组合勒索软件防御。不要落入陷阱,在事件发生时,人们会意识到被认为具有功能的备份不可恢复或易受攻击。测试制度是确保这种情况不会发生的关键。
2. 确保端点和服务器是隔离的
如果您有一个扁平网络,这意味着所有机器都可以相互通信,那么从机器到设备的横向移动是可能的。为了限制这种配置可能造成的损害,应该创建一个“防火墙”。防火墙是将每台机器保持在单独网络中的网段。该网络由一组规则控制,这些规则决定了允许的交通流量。从而可以控制流量的横向移动,不仅可以控制用户,还可以控制勒索软件等恶意软件。
此策略适用于多种类型的网络,包括本地内部部署网络、远程工作者的家庭网络和云网络,并帮助组织检测恶意软件和勒索软件。
无线网络的防御尤其具有挑战性,通过使用这种技术,您会发现您有一种有效的方法来管理所有网络中的横向移动。
3. 扫描您的电子邮件
大多数勒索软件感染通过电子邮件媒介进入组织。在撰写本文时,Microsoft 365 电子邮件扫描无法有效阻止勒索软件。因此,许多使用 Microsoft 365 的公司仍然受到感染并且仍然容易受到攻击。需要改进的解决方案来限制通过电子邮件发送给用户的任何链接的执行,以减少威胁。有几种系统可用于从电子邮件中删除链接,并且只允许白名单链接获得访问权限。这些类型的系统还在机器上安装了一个可以沙箱链接的代理。当每个链接都有潜在的危害,每个附件都可能提供有效载荷时,您可能认为这是一项不可能完成的任务,但仍有希望。
目前,大多数勒索软件(目前)还不能轻易脱离沙箱,并且可以在不错的扫描产品的帮助下被检测到和中和。任何主流技术都更加无效,因为想要伤害的攻击者也可以访问它们。像 Microsoft 365 这样的解决方案是基本的,此时如果不与防御者或更高级的反恶意软件结合使用,将使组织容易受到攻击。重写链接和将用户可以访问的 URL 列入白名单的技术以及强大的附件扫描是一种有效的勒索软件防御选项。将使组织变得脆弱。重写链接和将用户可以访问的 URL 列入白名单的技术以及强大的附件扫描是一种有效的勒索软件防御选项。将使组织变得脆弱。重写链接和将用户可以访问的 URL 列入白名单的技术以及强大的附件扫描是一种有效的勒索软件防御选项。
4. 清理您的网络流量
当用户收到有针对性的电子邮件并单击链接时,他们会被定向到一个网页,该网页下载恶意软件或说服用户这样做。允许未经审查地访问整个互联网就像允许一个孩子在晚上独自在城市里跑来跑去。最好通过将与业务相关的站点列入白名单来引导用户,并且只有在经过审查后才允许访问这些站点。
5. 管理员帐户
在网络安全中,删除所有管理员权限并使用具有最低权限的计算机始终是一个好主意。这是对抗勒索软件的又一障碍,会延迟活动并有助于检测事件。
6. 快速修补一切
勒索软件最常见的传播方式之一是蠕虫利用漏洞。大多数蠕虫都在利用旧漏洞。通常,由于补丁没有定期部署。由于攻击者拥有与商业软件公司一样好的开发框架,攻击者可以迅速采取行动。因此,一旦他们发现漏洞,他们就可以调整他们的代码,以一定的速度利用最新的漏洞。
修补可能仍然是最具威胁性的攻击途径之一,因为大多数公司修补的速度非常缓慢,并且需要数天甚至数周的时间来修补。攻击者不断地寻找缺口,当他们这样做时,他们就会找到一个立足点,当他们准备好交付有效载荷时,他们可以利用这个立足点。或者,他们将暗网上的访问权换成加密货币或“坐享其成”,直到他们确定了危害目标的最佳方式,而目标却一无所知。
勒索软件是一项有利可图的业务
据估计,勒索软件现在是一个价值超过 5 亿美元的产业;对于攻击者来说,这是一个简单的选择,对他们来说非常有利可图。通过其不断增长的成功,更大的团体正在开发强大的攻击套件,人们可以订阅或作为服务出售。
加密货币的兴起也使得“工作”更容易获得报酬,追踪也更具挑战性(因此,攻击者不会经常被抓住)。因此,在不断增长的勒索软件市场中有许多专业攻击者。
该行业正在组建一个工作组来应对这一日益严重的问题。然而,这有点像“猫捉老鼠”的游戏,不幸的是,组织正在不断填补老鼠的空白。