信息化觀察網(wǎng)

勒索軟件攻擊已經(jīng)成為影響所有行業(yè)和組織的大問題，考慮到這些攻擊可能對(duì)各類組織造成的影響，安全專業(yè)人員需要以新的方式保護(hù)他們的系統(tǒng)、網(wǎng)絡(luò)和軟件。

勒索軟件是一種特定類型的惡意軟件，它通過破壞數(shù)據(jù)來要挾受害者。釣魚郵件就是一種常見的傳播方式，但勒索軟件也可以通過偷渡式下載下載傳播，即當(dāng)用戶訪問一個(gè)受感染的網(wǎng)站時(shí)，攻擊會(huì)在用戶不知情或未同意的情況下，在計(jì)算機(jī)上安裝有害應(yīng)用程序。高級(jí)攻擊需要幾秒鐘的時(shí)間來破壞終端，勒索軟件攻擊需要幾秒鐘的時(shí)間來破壞系統(tǒng)和基礎(chǔ)設(shè)施。隨著攻擊變得越來越復(fù)雜，勒索軟件的影響已經(jīng)超越了財(cái)務(wù)損失的范疇。

企圖攻擊和數(shù)據(jù)泄露是不可避免的，沒有組織愿意被迫在支付贖金和丟失重要數(shù)據(jù)之間做出選擇。幸運(yùn)的是，這并不是唯一的選擇。最好的選擇是從一開始就避免被迫做出這個(gè)決定。這種方法需要一個(gè)分層的安全模型，其中包括由主動(dòng)的全球威脅情報(bào)提供支持的網(wǎng)絡(luò)、終端、應(yīng)用程序和數(shù)據(jù)中心控制。考慮到這一點(diǎn)，有9件事要考慮，以便讓組織有最好的機(jī)會(huì)避免勒索軟件攻擊。

1.電子郵件網(wǎng)關(guān)安全和沙箱

電子郵件是攻擊者最常用的攻擊手段之一，一個(gè)安全的電子郵件網(wǎng)關(guān)解決方案應(yīng)該提供先進(jìn)的多層保護(hù)，可抵御各種電子郵件傳播的威脅。沙箱技術(shù)提供了額外的一層保護(hù)。任何通過電子郵件過濾器但仍然包含未知鏈接、發(fā)件人或文件類型的電子郵件，都可以在它到達(dá)網(wǎng)絡(luò)或郵件服務(wù)器之前進(jìn)行測(cè)試。

2.Web應(yīng)用安全/防火墻技術(shù)

web應(yīng)用防火墻(WAF)通過過濾和監(jiān)控進(jìn)出web服務(wù)的HTTP流量來幫助保護(hù)web應(yīng)用程序。它是一個(gè)關(guān)鍵的安全要素，因?yàn)樗蔷徑饩W(wǎng)絡(luò)攻擊的第一道防線。當(dāng)組織執(zhí)行新的數(shù)字計(jì)劃時(shí)，攻擊面也會(huì)隨著擴(kuò)大。由于web服務(wù)器漏洞、服務(wù)器插件或其他問題，新的web應(yīng)用程序和應(yīng)用程序編程接口(API)可能會(huì)暴露在危險(xiǎn)的流量中。WAF有助于確保這些應(yīng)用程序及其訪問內(nèi)容的安全性。

3.攻擊情報(bào)共享

組織必須擁有實(shí)時(shí)可操作的情報(bào)，以幫助緩解殺毒軟件等發(fā)現(xiàn)不了的威脅。必須在環(huán)境中的不同安全層和產(chǎn)品之間共享信息，以提供主動(dòng)防御。此外，這種信息共享應(yīng)擴(kuò)展到組織之外的更廣泛的網(wǎng)絡(luò)安全社區(qū)，例如計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)、信息共享和分析中心(ISAC)以及網(wǎng)絡(luò)威脅聯(lián)盟(Cyber Threat Alliance)等行業(yè)聯(lián)盟?？焖俟蚕硎窃诠舭l(fā)生變異或傳播到其他系統(tǒng)或組織之前快速響應(yīng)攻擊并打破網(wǎng)絡(luò)攻擊鏈的最佳方式。

4.保護(hù)終端設(shè)備

傳統(tǒng)的反病毒技術(shù)并不總是做得很好，而且隨著攻擊技術(shù)越來越復(fù)雜，防御技術(shù)通常無法跟上安全的需要，組織需要確保使用終端發(fā)現(xiàn)和響應(yīng)(EDR)解決方案和其他技術(shù)適當(dāng)?shù)乇Ｗo(hù)終端設(shè)備。

在當(dāng)前的威脅環(huán)境中，高級(jí)攻擊可能需要幾分鐘或幾秒鐘才能攻擊終端。第一代EDR工具根本跟不上，因?yàn)樗鼈冃枰斯し诸惡晚憫?yīng)。它們不僅應(yīng)對(duì)速度太慢，無法應(yīng)對(duì)今天迅速發(fā)展的攻擊技術(shù)，而且還會(huì)產(chǎn)生大量的警報(bào)，給已經(jīng)超負(fù)荷工作的網(wǎng)絡(luò)安全團(tuán)隊(duì)帶來大量負(fù)擔(dān)。此外，傳統(tǒng)的EDR安全工具可能會(huì)提高安全運(yùn)營的成本，減緩網(wǎng)絡(luò)處理和功能，這可能會(huì)對(duì)業(yè)務(wù)產(chǎn)生負(fù)面影響。

相比之下，下一代EDR解決方案為終端提供先進(jìn)的、實(shí)時(shí)的威脅情報(bào)、可見性、分析、管理和保護(hù)，在感染前和感染后均可防御勒索軟件。這些EDR解決方案可以實(shí)時(shí)檢測(cè)和化解潛在威脅，主動(dòng)減少攻擊面，幫助防止惡意軟件感染，并使用可定制的劇本自動(dòng)化響應(yīng)和修復(fù)程序。

5.數(shù)據(jù)備份和事件響應(yīng)

組織應(yīng)該能夠執(zhí)行所有系統(tǒng)和數(shù)據(jù)的備份，并將其存儲(chǔ)在網(wǎng)絡(luò)之外，還應(yīng)該測(cè)試這些備份，以確保能夠正確地恢復(fù)。

每個(gè)組織都應(yīng)該有一個(gè)適當(dāng)?shù)氖录憫?yīng)計(jì)劃，以確保企業(yè)在遭受成功的勒索軟件攻擊時(shí)做好準(zhǔn)備。人們應(yīng)該提前分配具體的任務(wù)。例如，企業(yè)會(huì)向誰尋求安全分析方面的幫助?企業(yè)有現(xiàn)成的專家來幫助你恢復(fù)系統(tǒng)嗎?企業(yè)還應(yīng)該定期進(jìn)行練習(xí)，重點(diǎn)是如何從勒索軟件攻擊中恢復(fù)過來。

6.實(shí)現(xiàn)零信任

零信任安全模型假定試圖連接到網(wǎng)絡(luò)的任何人或任何事務(wù)都是潛在的威脅。這種網(wǎng)絡(luò)安全理念指出，網(wǎng)絡(luò)內(nèi)外的任何人都不應(yīng)該被信任，除非他們的身份被徹底檢查過。“零信任”默認(rèn)網(wǎng)絡(luò)外部和內(nèi)部的威脅是一個(gè)無處不在的因素。這些假設(shè)為網(wǎng)絡(luò)管理員提供了思路，迫使他們?cè)O(shè)計(jì)嚴(yán)格的、不信任任何人的安全措施。

使用零信任方法，每個(gè)試圖訪問網(wǎng)絡(luò)或應(yīng)用程序的個(gè)人或設(shè)備都必須經(jīng)過嚴(yán)格的身份驗(yàn)證，然后才授予訪問權(quán)限。這種驗(yàn)證使用多因素身份驗(yàn)證(MFA)，要求用戶在被授予訪問權(quán)限之前提供多個(gè)憑據(jù)。零信任還包括網(wǎng)絡(luò)訪問控制(NAC)，用于限制未經(jīng)授權(quán)的用戶和設(shè)備訪問公司或私人網(wǎng)絡(luò)。它保證只有通過認(rèn)證的用戶和通過授權(quán)且符合安全策略的設(shè)備才能進(jìn)入網(wǎng)絡(luò)。

7.防火墻和網(wǎng)絡(luò)分段

隨著云應(yīng)用的增加，網(wǎng)絡(luò)分段變得越來越重要，尤其是在多云和混合云環(huán)境中。通過網(wǎng)絡(luò)分段，組織可以根據(jù)業(yè)務(wù)需求對(duì)網(wǎng)絡(luò)進(jìn)行分區(qū)，并根據(jù)角色和當(dāng)前信任狀態(tài)授予訪問權(quán)限。根據(jù)請(qǐng)求者當(dāng)前的信任狀態(tài)檢查每個(gè)網(wǎng)絡(luò)請(qǐng)求，如果它們確實(shí)進(jìn)入了網(wǎng)絡(luò)，則對(duì)于防止在網(wǎng)絡(luò)內(nèi)橫向移動(dòng)非常有益。

8.用戶培訓(xùn)和良好的網(wǎng)絡(luò)安全習(xí)慣是關(guān)鍵

具體的操作人員才是網(wǎng)絡(luò)安全戰(zhàn)略的核心，根據(jù)《2021年Verizon數(shù)據(jù)泄露調(diào)查報(bào)告》，85%的數(shù)據(jù)泄露都與操作習(xí)慣有關(guān)。理論上，你可以有世界上所有的安全解決方案，但如果組織忽視了培訓(xùn)員工的網(wǎng)絡(luò)意識(shí)，你永遠(yuǎn)不會(huì)得到真正的安全。確保所有員工都接受了關(guān)于發(fā)現(xiàn)和報(bào)告可疑網(wǎng)絡(luò)活動(dòng)、保持良好的上網(wǎng)習(xí)慣以及保護(hù)個(gè)人設(shè)備和家庭網(wǎng)絡(luò)安全的實(shí)質(zhì)性培訓(xùn)。員工在被聘用時(shí)應(yīng)該接受培訓(xùn)，在他們的任期內(nèi)也應(yīng)該定期接受培訓(xùn)。

9.使用欺騙技術(shù)

組織還應(yīng)該了解欺騙技術(shù)，盡管它不是主要的網(wǎng)絡(luò)安全策略，但欺騙解決方案有時(shí)是可以幫助保護(hù)系統(tǒng)的。

欺騙技術(shù)可以模擬實(shí)際的服務(wù)器、應(yīng)用程序和數(shù)據(jù)，從而欺騙攻擊者，讓他們相信他們已經(jīng)滲透并獲得了企業(yè)最重要資產(chǎn)的訪問權(quán)。這種方法可以用來最小化損失并保護(hù)組織的真實(shí)資產(chǎn)。

本文翻譯自：https://www.fortinet.com/blog/industry-trends/how-to-prevent-ransomware-attacks-top-nine-things-to-keep-in-mind