9招教你企業(yè)應如何防范勒索軟件

責任編輯:editor006

作者:Alfred.N

2017-01-07 21:11:41

摘自:安全牛

賽門鐵克等安全廠商的安全分析師們一致認為,2016年受到勒索軟件影響的企業(yè)增長了35%。勒索軟件的方式是:通過鎖定系統(tǒng)的屏幕或加密用戶的文檔,來實現(xiàn)阻止或限制用戶訪問他們的系統(tǒng),并向用戶索要贖金。

賽門鐵克等安全廠商的安全分析師們一致認為,2016年受到勒索軟件影響的企業(yè)增長了35%。但更令人擔憂的是這些攻擊最近在復雜程度和分布廣度上的提升。

 

勒索軟件的方式是:通過鎖定系統(tǒng)的屏幕或加密用戶的文檔,來實現(xiàn)阻止或限制用戶訪問他們的系統(tǒng),并向用戶索要贖金。它能讓你的業(yè)務停滯,并導致重大的經(jīng)濟損失。

與可以在網(wǎng)絡潛伏幾個月的APT攻擊不同,勒索軟件的效果是更加直接且具有侵犯性的。

勒索軟件對攻擊者的金錢、資源或技術(shù)復雜性成本需求不多。因而企業(yè)越來越關(guān)心勒索軟件導致的經(jīng)濟損失、業(yè)務宕機時間等影響。

企業(yè)安全服務商Landesk就企業(yè)應該如何防止遭受惡意軟件攻擊,提出了九個重要措施。

1. 修補關(guān)鍵性的操作系統(tǒng)和應用

對于大多數(shù)企業(yè)而言,打補丁都是防范勒索軟件等攻擊時首當其沖的工作。

只要保證操作系統(tǒng)和和一些關(guān)鍵性第三方應用(如Adobe Flash、Java、Web瀏覽器等)都已經(jīng)及時更新,并且依據(jù)企業(yè)需求和策略,優(yōu)先修復那些對企業(yè)運用影響不大的安全補丁,你就能在很大程度上減少此類惡意攻擊的發(fā)生。

許多企業(yè)擔心全面、及時、持續(xù)性的的修補實行和維護起來太繁瑣,有時這些工作也可能會破壞關(guān)鍵的業(yè)務應用。然而,如果使用最新的補丁管理工具,即使在最復雜的環(huán)境中,掃描缺失的補丁并將其安裝到工作站或服務器上,都將是一個簡單的任務。

2. 確保殺毒軟件處于最新狀態(tài),配置定期掃描計劃

若果說補丁是第一道防線,那么殺毒軟件就是下一道防線。雖然大多數(shù)勒索攻擊都不會被傳統(tǒng)的基于特征的殺毒手段所阻止,但是,你肯定不想成為哪些殺毒軟件已能辨別的惡意威脅的受害者。

有效的殺毒防護策略中的最重要的部分是:確保你所有工作站的病毒庫保持更新。好的安全管理軟件可以自動執(zhí)行這一進程。好的解決方案可以為任何規(guī)模的環(huán)境下所有端點提供病毒辨識文件。

3. 對特權(quán)賬戶的慎重管理

盡可能地限制特權(quán)賬戶是防止勒索軟件等各類惡意攻擊的重要策略之一。例如,近期出現(xiàn)的一種叫“Petya”的勒索攻擊需要管理員權(quán)限才能運行,而如果用戶不授予權(quán)限它就無法運作。

刪除管理員權(quán)限很容易,但是保持訪問權(quán)限、用戶工作效率和企業(yè)安全之間平衡就不那么簡單了。因此企業(yè)需要特權(quán)賬戶管理解決方案的支持。

然而,在防止勒索時必須意識到的是,很多用戶被勒索是因為被騙著運行了某些可執(zhí)行文件。一旦勒索軟在當前用戶權(quán)限下被執(zhí)行,便不需要任何管理員權(quán)限就可以完成攻擊。例如,Petya勒索軟件的一個新版本已經(jīng)具有了備用機制,允許它在無管理員特權(quán)的情況下加密文件。

4. 實施以數(shù)據(jù)為重點的訪問控制

一個有效的訪問控制方案可以幫助你防止被勒索軟件攻擊。然而,如果方案仍然以用戶訪問權(quán)限為管理重點,它的防護效果將會非常有限。

訪問控制在保護共享設備上的文件時很有效。原因在于總是有部分用戶有合法權(quán)限來訪問和修改每個共享設備上的部分甚至全部文件。畢竟,這些文件大部分是合法用戶創(chuàng)建的文檔。這意味著利用合法訪問權(quán)限實行的勒索攻擊可以加密和保管所有已連接、共享的設備和文件夾。

相比傳統(tǒng)訪問控制,新的聚焦數(shù)據(jù)的安全解決方案依賴于對勒索軟件攻擊行為的理解,而不再需要為特定用戶創(chuàng)建和管理的規(guī)則。因此這也比基于用戶權(quán)限的訪問控制管理更容易實現(xiàn)和維護。

5. 定義、實施和執(zhí)行軟件規(guī)則

好的企業(yè)軟件很容易定義、實施和執(zhí)行監(jiān)管其他軟件行為的規(guī)則。規(guī)則可以限制指定軟件運行、創(chuàng)建、修改、讀取任何單個文件或位于特定列表(包括瀏覽器和其他軟件所使用的臨時文件夾)下的所有文件的能力。

這些規(guī)則可以在全球范圍內(nèi)或特定用戶/組中廣泛應用。然而,在實施這些規(guī)則之前,必須考慮其可能導致的用戶體驗惡化。例如,當安裝或更新軟件時,合法用戶有時需要直接從瀏覽器上解壓或執(zhí)行文件。用戶也可能需要這一方式來創(chuàng)建或調(diào)用宏來完成他們的工作。

而軟件限制規(guī)則可能會阻斷這些原本合法的活動。

6. 禁用微軟 Office軟件的宏指令

禁用Microsoft Office軟件的宏指令將阻止勒索軟件等惡意攻擊。例如,Locky是一種相對較新的加密勒索軟件,其傳播方式主要是垃圾郵件的附件。它引誘用戶啟用Word文檔的宏指令將惡意軟件下載到電腦。

7. 應用白名單

這個方案能有效地消除任何勒索軟件運行的能力,因為沒有勒索軟件是可信的。它確保只有受信任的應用程序才可以在任何端點運行。成功的白名單的最大挑戰(zhàn),就是創(chuàng)建初始的受信任應用程序列表,以及保持列表的準確、完整、實時性。

8. 要求用戶使用虛擬或封閉的容器環(huán)境

在大多數(shù)情況下,勒索軟件被安置在電子郵件的附件中。要求用戶使用虛擬或封閉的容器環(huán)境將確保任何獲得系統(tǒng)訪問途徑的勒索軟件無法對用戶的主要工作環(huán)境造成損害。

9. 經(jīng)常性備份重要文件

美國聯(lián)邦調(diào)查局的報告推薦:企業(yè)可以通過及時且頻繁的對重要文檔的備份,以確保業(yè)務連續(xù)性。備份將在遭遇勒索軟件襲擊救你一命。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號