勒索软件是一种恶意软件,可阻止用户访问计算机系统或其所保存的数据,直到受害者向攻击者支付指定款项。2022 年,全球共发生 4.9333 亿次勒索软件攻击,勒索软件已成为当今企业面临的最严重的网络威胁之一。在本指南中,我们将讨论常见的勒索软件攻击以及如何防御这些攻击。
如果您担心勒索软件,请立即使用 Veeam 勒索软件保护来保护您的数据安全。
勒索软件对现代企业的威胁与日俱增
勒索软件攻击现在已经随处可见,大多数人至少已经对勒索软件形成了一个基本概念,但他们可能并不完全了解勒索软件是如何运作的,也不理解为什么勒索软件如此严重。根据英国《犯罪的经济和社会成本》报告,仅在英国,网络犯罪的总体成本就高达“数十亿美元”。在全球范围内,勒索软件攻击的具体成本到 2031 年预计将达到 2650 亿美元。
虽然一些勒索软件的受害者足够幸运,能够解密 其数据,但事实上许多类型的勒索软件都没有适用的解密工具,这意味着组织必须还原备份才能从攻击中恢复。如果他们没有备份,或者他们的备份也遭到了攻击,那么企业在数据丢失和时间方面遭受的成本就会非常高。我们的《2023 年勒索软件趋势报告》强调了勒索软件攻击对某些组织的严重性。
理解勒索软件防御
勒索软件防御需要采取多种策略。它从基本的网络安全最佳实践开始,涉及使用更有针对性的策略和技术来检测和应对勒索软件攻击,包括正在进行的攻击。
传统的防火墙和杀毒软件可以防止某些攻击,而对所有员工进行如何识别网络钓鱼电子邮件、恶意网站和潜在危险可执行文件的培训,则可以在很大程度上防止攻击。然而,现代勒索软件防御工具可以更进一步,监控网络活动和文件系统活动,以识别攻击迹象,如不寻常的通信模式或文件访问/加密活动。
网络管理员可应用大量 安全和 IT 工具进行勒索软件防御。端点保护、入侵检测系统 (IDS) 和入侵防御系统 (IPS) 可与基于行为的分析技术相结合,以快速发现攻击,从而减轻任何损害。
这些策略中的任何一种都不足以单独确保企业 IT 系统免受勒索软件的攻击。通过将防御技术、被动扫描和主动防御措施结合起来,可以减少攻击面,并在攻击发生时提高补救措施成功的可能性。
勒索软件防御的关键组件
有效的勒索软件防御需要多管齐下。
网络安全和监控
防火墙和入侵检测系统 (IDS) 是抵御各种攻击(不仅仅是勒索软件)的第一道防线。防火墙会扫描传入和传出的网络活动,并阻止它认为未经授权的连接。
未经授权的活动可能是端口扫描,即攻击者尝试随机连接端口,试图找出服务器上正在运行的服务。另外,攻击者也可能试图通过暴力手段登录服务器,或通过快速连续发送大量请求对服务器进行拒绝服务攻击。
入侵检测系统与防火墙类似,也能检测恶意活动。然后,这些工具会根据一组预定义规则采取行动。例如,它们可能会触发其他工具运行或向系统管理员发出警报,以便分析问题并进行人工干预。
勒索软件防御是一场军备竞赛,不可能完全依赖静态规则和恶意软件定义。即使是启发式病毒扫描也不能保证识别所有恶意代码。因此,使用实时监控和行为分析来识别系统中的活动变化非常重要。使用这种形式的监控可以提高可疑活动被发现的可能性。
例如,实时监控可以在短时间内监测大量文件是否正在被访问或更改。它还能发现长时间未使用的文件突然被打开。即使发现这些活动不是勒索软件,也可能是其他安全问题,如内部威胁。
事故响应与恢复
安全工具只是等式的一部分。即使有了先进的工具,仍有发生安全漏洞的风险,因此制定明确有效的事件响应计划对于在发生攻击时最大限度减少损失至关重要。
勒索软件事件响应计划 包括几个步骤:
确定哪些系统受到影响。
尽可能断开设备与网络的连接。
必要时关闭受影响设备的电源。
查看系统日志,确定攻击是如何发生的。
识别勒索软件,并确定该系统上是否有任何其他恶意软件。
根据攻击的性质,采取的步骤可能有所不同。管理员必须做出取舍,权衡潜在的代价,是让受感染设备保持开机状态,允许攻击继续,还是关闭系统电源并丢失存储在易失性内存中的任何证据。
如果有最近的备份,并且已知受到保护/与勒索软件隔离,那么让受感染的系统保持开机状态,但断开与任何 Wi-Fi 或局域网的连接以对其进行分析可能是合理的。
数据恢复只是等式的一部分。理想情况下,攻击会被迅速控制住,以防止其扩散。在许多情况下,勒索软件通过 对员工笔记本电脑进行有针对性的网络钓鱼攻击 等方式进入网络,然后由此渗透到网络驱动器和其他系统,寻找其有权限访问和写入的任何位置。
快速识别攻击意味着 恶意软件 有更少的时间来传播和感染硬盘。根据最初感染的系统以及网络上文件访问权限的配置情况,破坏可能仅限于用户的机器和一些非关键任务的网络共享。
采用系统化方法进行遏制和恢复
系统管理员应始终牢记,勒索软件可能以多种不同方式运行。有些勒索软件只对文件进行加密;如不支付赎金,其他恶意脚本会在一段设定时间后删除受害者的数据。还有一些特别危险的勒索软件会扫描文件,寻找有潜在价值的数据,并将这些数据发送给攻击者,然后攻击者会威胁称,如不支付赎金,就泄露这些数据。
此类数据泄露对任何企业都别具破坏力,因此在应对勒索软件攻击时必须谨慎处理。与其匆忙进入数据恢复阶段,不如花些时间彻底对所有受感染的系统进行杀毒。根据攻击的严重程度,简单擦除或重新映像这些系统可能更有效。
为降低攻击再次发生的风险,可更改所有系统的密码,并检查现有的防火墙规则、阻止列表和恶意软件检测系统,以确保它们得到适当更新并正常运行。为员工提供有关网络钓鱼和社交工程攻击的培训。
确信恶意软件已完全从网络中删除后,方可开始从备份中还原关键数据。在还原备份之前,务必要扫描备份本身,以确保它们未被感染。如果感染很快就能够被发现,这种情况就不太可能发生。但如果您经常执行备份,则最近的备份可能被感染,为此您需要还原更早的“冷”备份或“异地”备份。
避免支付赎金
尽管勒索软件攻击者以大型组织为目标并向其索要巨额资金的例子引发大量关注,但大多数勒索软件攻击都是机会主义的。攻击者通常索要的金额较小,在 700 美元到 1,500 美元之间,他们的假设是,如果赎金相对较低,受害者就更有可能支付赎金,因为他们只是想尽快恢复文件。
最常见的勒索软件支付方式是比特币、莱特币甚至狗狗币等加密货币。之所以选择这些代币,是因为它们在主流交易所中广泛存在,因此受害者应该很容易就能获得。攻击者还可以使用“不倒翁”来混淆他们所收到的代币的历史记录,从而更容易在日后将这些代币兑换成真钱。
对于时间紧迫的企业主来说,面对勒索软件攻击,破财消灾可能是一个诱人的选择,因为他们要面对电脑上可怕的屏幕锁定。然而,在决定数据恢复还是直接付款之前,考虑每个选择的影响非常重要。支付赎金就能恢复数据的唯一保证就是勒索软件开发者的承诺,而选择通过这种方式赚钱的人并没有什么道德可言。此外,即使您拿回了数据,如果您没有对系统进行消毒,也不能保证剩余的恶意软件将来不会被用来感染其他病毒。
另一个需要考虑的问题是为勒索软件付款的道德问题。加密货币经常用于为毒品、洗钱、人口贩运和恐怖活动提供资金。当您购买加密货币时,您就是在间接支持此类活动,而支付赎金也是在奖励网络犯罪。
在世界的某些地区,为勒索软件支付赎金实际上可能是非法的,因为这样做可能涉及向受到金融制裁的实体支付赎金。这并非在每个国家/地区都是如此,但仍需要注意。如果您是勒索软件攻击的受害者,并正在考虑支付赎金,请在付款之前寻求法律建议。
持续改进和学习
如果贵组织成为勒索软件攻击的受害者,很容易感觉名声扫地。您可能想知道攻击是如何发生的,以及您是否能够采取一些措施防范攻击。请务必记住,即使是拥有专业 IT 团队和巨额预算的大型组织也可能成为网络犯罪的受害者。尝试从攻击事件中吸取教训,并制定新的策略来战胜勒索软件。
您可以在不违反保密协议或分享公司数据的情况下,公开探讨攻击事件,并帮助其他人从中汲取教训。分享有关出错原因的信息,并就如何更好地保护自己(和他人)展开讨论。
另一个可行的方法是进行勒索软件模拟演习,以测试您的准备情况,并确定哪些方面的人员可能需要额外培训,或者您的 IDS 或其他系统存在哪些不足。
与其他勒索软件方面的相互联系
本文聚焦于勒索软件防御,但其他一些相关问题也值得关注:
首先防止攻击发生
发现攻击后的应对措施
攻击后恢复数据
所有这些措施结合在一起才能形成有效的反勒索软件策略。它们之间有很多重叠之处。出色的勒索软件防御策略可能会使用与勒索软件预防类似的工具,而勒索软件防御策略的一部分将包括在空间中制定快速反应计划。不过,单独制定每种策略都是值得的,这样您就能拥有强大的安全和备份系统,让您安心无忧。
加强企业的勒索软件防御
如果贵组织担心勒索软件的潜在影响,请借此机会审查您的防御策略。
创建全面策略
审查现有的网络安全措施,并进行全面的安全审计。考虑进行事件模拟,找出潜在的安全漏洞。
审查之后,起草一份集预防、保护、防御和响应于一体的计划,以涵盖您能想到的所有可能发生的情况。不要简单地照搬别人的计划,一定要根据贵组织的具体需求量身定制计划。
充分利用技术和协作
如今,勒索软件是一个普遍存在的问题,因此有许多工具可用于监控和入侵检测以及威胁情报。不要试图自行创建工具。利用已有的丰富专业知识,并与业内其他企业合作。团结起来,我们就能战胜勒索软件。
勒索软件只会一视同仁
勒索软件是一种无处不在的机会主义威胁。它感染单个家庭用户的概率同感染一家跨国公司的概率相差无几。因此,对于那些关心保护数据的人来说,积极主动地防御勒索软件非常重要。
通过建立多方面的勒索软件防御策略,将预防、保护、响应和恢复结合起来,就有可能建立一个弹性网络安全框架,从而有效应对不断变化的勒索软件攻击威胁。
如果您想进一步了解我们如何帮助保护贵组织的数据,请下载我们的《构建网络弹性数据恢复策略》白皮书。
您还可以了解有关如何与 Veeam 合作的更多信息。