勒索软件是许多公司都遇到的一个问题。根据《2023 年勒索软件趋势报告》,85% 的受访公司在过去 12 个月内经历过至少一次网络攻击。在受影响的公司中,只有 66% 的数据得以恢复。尽管勒索软件无疑是一种威胁,但通过采取防御策略,可以大大降低风险。
同样的统计数据显示,这些公司中有 16% 没有支付赎金。他们之所以能够恢复,是因为他们拥有强大的勒索软件预防系统。
勒索软件预防是一系列主动措施,可以降低攻击风险。为了使网络攻击更难得逞,您需要确保拥有强大的身份和访问管理(IAM)策略。为了完善您的 IAM,您应该拥有强大的安全工具,如 SIEM 和 XDR,以协助您的安全团队检测、监控、调查和应对威胁。最后,确保您拥有一组具有故障保护的备份,以便在攻击得逞时快速进行干净的恢复。这些措施可以包括:
可靠的身份和访问控制
电子邮件安全
网络分段
定期软件更新
持续的员工培训
网络浏览器安全
强化端点
第二个目标是确保您可以访问安全且不可变的备份和快照,以便在攻击得逞的情况下进行数据恢复。
了解勒索软件:快速入门
勒索软件是一种对受害者信息和数据进行加密的恶意软件。根据联邦调查局的说法,网络犯罪分子用来访问设备和应用程序的常见方法包括:
网络钓鱼:电子邮件、短信或社交媒体帖子中包含指向恶意软件托管网站的链接
偷渡式攻击:访问受感染的网站,将恶意软件下载到受害者的设备或系统
利用软件缺陷:通过端点和服务器的软件漏洞进入系统
受感染的移动硬盘:插入含有恶意病毒或恶意软件的移动硬盘(如 USB)来感染设备
社会工程攻击:这些攻击以企业的员工或承包商为目标,让受害者泄露敏感或机密信息,以造成伤害。
一旦网络犯罪分子访问了您的系统,他们就会下载勒索软件执行软件,搜索要加密的数据服务器。加密后,网络犯罪分子会要求受害者支付赎金以换取解密密钥。这些犯罪分子还经常外泄包含敏感数据的文件,并威胁说除非您支付赎金,否则他们就会发布或出售这些数据。
遗憾的是,支付赎金并不总是奏效。在每四种情况中,就有一种解密密钥是有缺陷的。即使密钥有效,平均也只有 55% 的加密数据可恢复。
勒索软件防护的关键作用
勒索软件攻击为网络犯罪分子带来了丰厚的利润。根据金融犯罪执法网络的数据,《银行保密法》(Bank Secrecy Act)文件显示,2021 年勒索软件事件造成的总损失约为 12 亿美元。同样发人深省的是,公司平均需要三周半的时间才能从勒索软件事件中恢复过来。事件发生后,公司可能会遭受巨大的经济损失和声誉损害,但客户也同样会受到影响,因为他们的个人身份信息 (PII),如地址、社会保险号、信用卡详细信息等,现在已经公开和/或在黑市上出售。
这凸显了预防勒索软件和确保制定缓解策略的重要作用。没有万无一失的方法可以防止企业受到攻击,但全面的网络弹性战略可以减少这些攻击的影响,并提高恢复敏感信息的可能性。
下文将介绍如何预防勒索软件攻击。
构建强大的勒索软件预防策略
防御勒索软件需要多层次的策略。您需要多个防御层,这样即使黑客攻破了其中一层,您仍然可以获得保护。没有单一的解决方案,只有一套全面的 预防和恢复策略。
多层防御可以在不同的点上防止勒索软件攻击,并抵御不同类型的攻击。这种策略包括员工培训、加固系统以抵御攻击和数据弹性。
强身份验证和授权:保护访问
第一道防线是没有密码的强大身份和访问管理策略。密码很容易被黑客入侵,难以记住和维护。我们强烈建议贵组织为员工和工作负载采用无密码方法或通行密钥。
通过确保多因素身份验证 (MFA) 的实施来访问企业信息、系统和设备,从而加强零信任方法。例如,利用 Windows Hello 等无密码解决方案,并辅以 PIN 和 Microsoft Authenticator 等身份验证形式,要求对授权位置进行物理验证。
安全解决方案:您最好的朋友
安全解决方案可以帮助网络安全团队快速有效地保护服务器和操作系统免受攻击。SIEM 和 XDR 解决方案可以监控网络流量,检测并标记异常网络活动和网络威胁。防火墙可防止网络和互联网之间以及 VPN 和网络分区之间出现未经授权的流量。防病毒软件专门查找和拦截计算机病毒和恶意软件,而端点安全则保护网络设备,如计算机、打印机、服务器和物联网设备。基于云的解决方案使用虚拟化安全来保护虚拟机、服务器和网络。选择信誉良好的安全解决方案,并及时更新安全软件。
访问控制和网络分段
采用强大的访问控制。隔离您的系统以遏制潜在的感染。确保易受攻击和高价值的系统无法从外部访问互联网。采用最小特权原则,限制用户仅访问其执行工作所需的资源。
电子邮件过滤和 Web 安全
电子邮件是勒索软件恶意软件最常见的发送方式之一。黑客会伪装这些电子邮件,使其看起来是真实的。设置强大的电子邮件过滤器,以检测 网络钓鱼 企图并激活强大的垃圾邮件过滤器。协作应用(如 Microsoft 365)具有高级内置的反网络钓鱼功能。其他形式的网络钓鱼包括移动设备上的短信和语音钓鱼。
软件和系统更新:防范漏洞隐患
没有软件是完美无缺的。即使经过全面测试,也难免存在漏洞。网络犯罪分子会寻找这些漏洞,一旦发现,就会利用漏洞插入恶意软件、窃取数据或加密文件。尽早安装安全 补丁 以防止黑客利用这些漏洞至关重要。过时和不受支持的软件特别容易受到攻击。
持续的员工培训和认识
员工在加强安全海报和保护数字资产方面发挥着至关重要的作用。投资于他们的培训和意识,以便他们能够保护自己和您的组织。使用教育工具,如 KnowBe4 和 Gophish 来培训员工,让他们了解不同形式的网络钓鱼攻击以及应该如何应对。免费 Wi-Fi 是黑客最好的朋友,应避免在个人和公司设备上使用。展示网络犯罪分子如何使用误导性 URL,并提高人们对访问盗版网站的危险性的认识,这些网站通常会提供隐藏在广告中的恶意软件。
安全下载实践
采用安全下载做法至关重要,因为黑客可以很容易地将恶意软件附加到文件、应用程序、消息或浏览器上。仅从受信任的站点下载文件或软件,并确保这些站点在浏览器地址栏中有“https”。避免使用“http”站点,因为这些站点不安全。此外,在网站 URL 之前的地址栏左侧,通常会有一个盾牌标志或挂锁符号。如果您怀疑某个网站的凭据,请查看“关于”页面和其他信息,例如实际地址和固定电话号码。不要从可疑网站或电子邮件或信息应用程序中的未知链接下载文件。报告可疑电子邮件。良好的做法是在打开附件前用安全软件进行扫描。
备份的强大功能:数据弹性
备份是抵御勒索软件攻击的最重要和最后一道防线。第一步是保护您的备份和复制控制台,因为没有这些,您就会丢失数据。除了加固您的数字资产并确保您拥有强大的身份识别和安全措施外,您还必须备份您的配置设置,以便快速恢复您和您企业的数据。这样,您就可以在控制台损坏或加密时对其进行还原。遵守以下准则保护您的 备份存储免受勒索软件攻击 也很重要:
进行定期备份:最后一个备份是最重要的备份,因为该备份包含您最近的交易。定期备份,以便在勒索软件攻击时尽量减少数据丢失。选择一个与交易量、交易价值和多次备份成本相符的频率。
确保不可变性:确保备份不可变。这意味着它们不能被覆盖、更改或修改。不可变性可防范勒索软件攻击和意外删除。
加密备份:始终对备份进行加密。加密意味着,如果黑客访问或拦截了您的备份,他们将无法读取或窃取备份。它为您的备份增加了一层额外的安全保护。
验证备份:您必须验证备份。根据您使用的备份软件,备份很可能会损坏、不完整或不可用。检查备份的最佳方法是建立虚拟机并进行测试还原。或者,使用自动备份验证器解决方案在文件级别检查备份。此外,扫描备份中的恶意软件痕迹,这些恶意软件可能会在还原过程中加密数据。
限制备份访问:将访问权限限制为尽可能少的关键人员,并使用高级身份验证过程来控制访问。将备份服务器与在线系统分开。
采用 3-2-1-0 备份规则:除在线数据集外,保留三组冗余备份。使用至少两种不同类型的介质来存储数据。这可以存储在硬盘、安全云存储库或磁带上。在公司系统中保留一份备份,以方便访问,但要确保一份备份是异地、离线且安全的。这可以防止勒索软件和自然灾害或其他灾难。规则中的最后一位数“0”表明了测试备份以确保零错误的重要性。
结论:加强对勒索软件的防御
勒索软件仍然是一种威胁。
与此同时,那些能够访问网络犯罪分子无法访问的不可变备份的公司可以恢复系统,并以最小的中断恢复业务。
他们的成功得益于强大的勒索软件预防策略,该策略包括多层防御,其中包括:
强大的身份和访问管理方法
专门从事威胁检测、监控、调查和响应的安全解决方案供应商
严格的访问控制和网络分段
电子邮件过滤和 Web 安全
频繁的软件更新和补丁,以防止漏洞
持续的员工培训和提高认识计划
安全下载实践
最后一层保护是有效的备份策略,该策略依赖于存储在不同地点、不同介质和离线的多个冗余备份。这需要不可变性、备份加密和备份验证的支持。当所有其他方法都失效时,安全的勒索软件恢复解决方案是抵御勒索软件的最佳保护措施。
勒索软件对所有企业的威胁与日俱增。统计数据显示,大多数公司都经历过勒索软件攻击。许多公司因为备份被加密而被迫支付赎金。大多数公司在尝试从攻击中恢复时平均会停机三周或更长时间。