防止勒索軟件破壞您的業務的10種方法
?
通常通過電子郵件或網站傳播的勒索軟件是一種惡意代碼,它使用非常強大的加密密鑰(例如2048位RSA)對盡可能多的數據進行加密。然後它要求支付贖金來解密數據。
?
於是我整理了下網上的一些合理性建議與我自己的一些建議,整合了這篇文章,在這篇文章中,我們看看10種不同的技術(沒有特定的順序),這有助於防止你的組織受到勒索軟件的攻擊。
?
1.定期備份您的數據
定期備份您的數據,將使您能夠在最快的時間內重新獲得加密文件的訪問權限。為避免備份受到感染,備份集應保存在安全的脫機位置(或基於雲的解決方案)中,並設置為只讀。應對備份的數據進行定期完整性檢查,以確保備份完好無損。
?
註意:這應該不用說,但沒有經過驗證的恢復過程的備份計劃意味著什麽。備份集無法恢復有什麽好處?
?
2.使用電子郵件安全解決方案掃描並阻止電子郵件附件
使用該掃描電子郵件附件或阻止某些電子郵件附件的文件類型的電子郵件安全解決方案之前,他們擊中了用戶的郵箱是從犧牲品勒索保護用戶的極佳方式。
?
此外,具有“實時保護”或“按訪問掃描”功能的防病毒軟件將在後臺監視可疑活動,並在用戶點擊惡意文件時立即采取措施。
?
3.阻止從某些用戶配置文件文件夾啟動的可執行文件
在端點上使用Windows軟件限制策略或入侵防禦軟件時,不應允許可執行文件從以下位置運行。已知這些文件夾和子文件夾被勒索軟件用來托管惡意進程。
?
%USERPROFILE%\ AppData的
%應用程序數據%
%LOCALAPPDATA%
%ProgramData%
%TEMP%
規則應該配置為“阻止所有,允許一些”,這樣默認行為是阻止所有的可執行文件,除非你將某些應用程序列入白名單。
?
4.定期和一致地更新補丁
惡意軟件最常見的感染媒介之一是軟件漏洞。通過保持您的操作系統,瀏覽器,生產力套件(例如Microsoft Office),防火墻,網絡設備等的補丁均是最新的,這樣可以提供一定的安全性。
?
5.監視並阻止可疑的出站流量
入侵檢測和防禦系統(IDPS)可以監視可疑的出站流量並提醒您采取行動(例如,終止連接或重新配置防火墻)。使用這些信息以及來自威脅情報共享組的信息,可以微調您的安全基礎架構,並使勒索軟件難以進入或離開您的網絡(阻止它與指揮與控制(C&C)中心通信)。
?
6.采用最小特權的概念
如果一個勒索軟件要在管理安全環境下執行,這可能會導致更多的損害,並在更遠的地方傳播(例如賦予其加密網絡驅動器,共享和可移動媒體上的數據的能力)。
?
通過采用最小權限的概念,用戶只需以最低限度的特權進行登錄,就可以限制受損的影響,並降低惡意軟件傳播的風險。某些惡意軟件會嘗試提升其權限級別,但在大多數情況下依賴於在其下執行的安全上下文。
?
具有最小特權的想法是,如果用戶想要在管理上下文中執行命令或安裝/卸載應用程序,則他們將物理上需要輸入一組證書,僅在時間上將其提升到更高級別的特權需要進行操作。
?
7.禁用“隱藏已知文件類型的擴展名”
勒索軟件試圖隱藏其真實身份的方式之一是通過偽裝成無辜的文件格式。例如,偽裝成PDF文檔的文件可能被稱為“Invoice.pdf.exe”。如果啟用“隱藏已知文件類型的擴展名”選項,則該文件將顯示為“Invoice.pdf”。通過禁用此選項,您可以更輕松地找到磁盤上的可疑文件。
?
8.增強Microsoft Office應用程序的安全設置
最近一個名為“Locky”的勒索軟件變種使用惡意宏來下載並啟動其有效載荷。通過使用組策略強制禁用宏或設置“禁用除數字簽名宏之外的所有宏”選項,限制發生這種情況的可能性。同樣,將ActiveX和外部內容設置設置為“提示”或“禁用”(取決於組織的業務要求)。
?
9.教育你的用戶
用戶是對抗勒索軟件的最後一道防線。勒索軟件如果不是讓不知情的用戶下載並執行一個惡意軟件(例如打開電子郵件附件,點擊惡意鏈接等),就不會成功。
?
教育用戶什麽是良好的做法和如何發現威脅將減少他們成為社會工程攻擊的受害者的機會。有些要強調的是:
?
不要打開您不知道的發件人的電子郵件附件
不要點擊您不知道的發件人的電子郵件鏈接
檢查電子郵件中的拼寫錯誤的域名(例如rn com而不是m icrosoft.com)
檢查電子郵件主題和/或正文中的拼寫錯誤和格式不正確
向IT幫助臺或信息安全團隊報告任何可疑文件或電子郵件
?
10.掃描所有的互聯網下載
使用Web監視和掃描解決方案掃描所有Internet下載。這將阻止用戶訪問已知的惡意網站,並允許您掃描或阻止某些文件類型。有了這樣的解決方案,即使釣魚電子郵件通過,用戶點擊惡意鏈接,像GFI WebMonitor的網絡監控和掃描解決方案可以阻止訪問該惡意網站或文件下載。
?
TL; DR?
這聽起來有些陳詞濫調,但是預防勒索軟件的多層次方法將為您提供避免感染的最佳機會。如果我們不得不把它分解,並提供一個預防方法學的簡要總結來開始,建議將是:
- 首先確保您有一個可靠的備份和恢復計劃。這樣可以確保即使您感染了病毒,您也可以重新獲得未加密數據的最新副本。
- 通過重新執行兩個最常見的攻擊媒介 - 電子郵件和互聯網下載(像GFI MailEssentials和GFI WebMonitor這樣的解決方案可以幫助您實現這一目標)來限制您對勒索軟件的暴露。
- 全面實施設置和策略,提高網絡中勒索軟件的可視性,使您能夠檢測到可疑文件或活動,並降低在您的某臺計算機上成功執行惡意軟件的幾率。
- 最後,可以說是最重要的,教育你的用戶如何發現任何可疑的東西,以及如果他們這樣做要采取什麽步驟。
防止勒索軟件破壞您的業務的10種方法