勒索軟件攻擊已經(jīng)成為影響所有行業(yè)和組織的大問題，考慮到這些攻擊可能對各類組織造成的影響，安全專業(yè)人員需要以新的方式保護(hù)他們的系統(tǒng)、網(wǎng)絡(luò)和軟件。

勒索軟件是一種特定類型的惡意軟件，它通過破壞數(shù)據(jù)來要挾受害者。釣魚郵件就是一種常見的傳播方式，但勒索軟件也可以通過偷渡式下載下載傳播，即當(dāng)用戶訪問一個受感染的網(wǎng)站時，攻擊會在用戶不知情或未同意的情況下，在計算機(jī)上安裝有害應(yīng)用程序。高級攻擊需要幾秒鐘的時間來破壞終端，勒索軟件攻擊需要幾秒鐘的時間來破壞系統(tǒng)和基礎(chǔ)設(shè)施。隨著攻擊變得越來越復(fù)雜，勒索軟件的影響已經(jīng)超越了財務(wù)損失的范疇。

[[422347]]

企圖攻擊和數(shù)據(jù)泄露是不可避免的，沒有組織愿意被迫在支付贖金和丟失重要數(shù)據(jù)之間做出選擇。幸運的是，這并不是唯一的選擇。最好的選擇是從一開始就避免被迫做出這個決定。這種方法需要一個分層的安全模型，其中包括由主動的全球威脅情報提供支持的網(wǎng)絡(luò)、終端、應(yīng)用程序和數(shù)據(jù)中心控制。考慮到這一點，有9件事要考慮，以便讓組織有最好的機(jī)會避免勒索軟件攻擊。

1. 電子郵件網(wǎng)關(guān)安全和沙箱

電子郵件是攻擊者最常用的攻擊手段之一，一個安全的電子郵件網(wǎng)關(guān)解決方案應(yīng)該提供先進(jìn)的多層保護(hù)，可抵御各種電子郵件傳播的威脅。沙箱技術(shù)提供了額外的一層保護(hù)。任何通過電子郵件過濾器但仍然包含未知鏈接、發(fā)件人或文件類型的電子郵件，都可以在它到達(dá)網(wǎng)絡(luò)或郵件服務(wù)器之前進(jìn)行測試。

2. Web應(yīng)用安全/防火墻技術(shù)

web應(yīng)用防火墻(WAF)通過過濾和監(jiān)控進(jìn)出web服務(wù)的HTTP流量來幫助保護(hù)web應(yīng)用程序。它是一個關(guān)鍵的安全要素，因為它是緩解網(wǎng)絡(luò)攻擊的第一道防線。當(dāng)組織執(zhí)行新的數(shù)字計劃時，攻擊面也會隨著擴(kuò)大。由于web服務(wù)器漏洞、服務(wù)器插件或其他問題，新的web應(yīng)用程序和應(yīng)用程序編程接口(API) 可能會暴露在危險的流量中。WAF有助于確保這些應(yīng)用程序及其訪問內(nèi)容的安全性。

3. 攻擊情報共享

組織必須擁有實時可操作的情報，以幫助緩解殺毒軟件等發(fā)現(xiàn)不了的威脅。必須在環(huán)境中的不同安全層和產(chǎn)品之間共享信息，以提供主動防御。此外，這種信息共享應(yīng)擴(kuò)展到組織之外的更廣泛的網(wǎng)絡(luò)安全社區(qū)，例如計算機(jī)應(yīng)急響應(yīng)小組(CERT)、信息共享和分析中心(ISAC)以及網(wǎng)絡(luò)威脅聯(lián)盟(Cyber Threat Alliance)等行業(yè)聯(lián)盟?？焖俟蚕硎窃诠舭l(fā)生變異或傳播到其他系統(tǒng)或組織之前快速響應(yīng)攻擊并打破網(wǎng)絡(luò)攻擊鏈的最佳方式。

4. 保護(hù)終端設(shè)備

傳統(tǒng)的反病毒技術(shù)并不總是做得很好，而且隨著攻擊技術(shù)越來越復(fù)雜，防御技術(shù)通常無法跟上安全的需要，組織需要確保使用終端發(fā)現(xiàn)和響應(yīng)(EDR)解決方案和其他技術(shù)適當(dāng)?shù)乇Ｗo(hù)終端設(shè)備。

在當(dāng)前的威脅環(huán)境中，高級攻擊可能需要幾分鐘或幾秒鐘才能攻擊終端。第一代EDR工具根本跟不上，因為它們需要人工分類和響應(yīng)。它們不僅應(yīng)對速度太慢，無法應(yīng)對今天迅速發(fā)展的攻擊技術(shù)，而且還會產(chǎn)生大量的警報，給已經(jīng)超負(fù)荷工作的網(wǎng)絡(luò)安全團(tuán)隊帶來大量負(fù)擔(dān)。此外，傳統(tǒng)的EDR安全工具可能會提高安全運營的成本，減緩網(wǎng)絡(luò)處理和功能，這可能會對業(yè)務(wù)產(chǎn)生負(fù)面影響。

相比之下，下一代EDR解決方案為終端提供先進(jìn)的、實時的威脅情報、可見性、分析、管理和保護(hù)，在感染前和感染后均可防御勒索軟件。這些EDR解決方案可以實時檢測和化解潛在威脅，主動減少攻擊面，幫助防止惡意軟件感染，并使用可定制的劇本自動化響應(yīng)和修復(fù)程序。

5. 數(shù)據(jù)備份和事件響應(yīng)

組織應(yīng)該能夠執(zhí)行所有系統(tǒng)和數(shù)據(jù)的備份，并將其存儲在網(wǎng)絡(luò)之外，還應(yīng)該測試這些備份，以確保能夠正確地恢復(fù)。

每個組織都應(yīng)該有一個適當(dāng)?shù)氖录憫?yīng)計劃，以確保企業(yè)在遭受成功的勒索軟件攻擊時做好準(zhǔn)備。人們應(yīng)該提前分配具體的任務(wù)。例如，企業(yè)會向誰尋求安全分析方面的幫助? 企業(yè)有現(xiàn)成的專家來幫助你恢復(fù)系統(tǒng)嗎? 企業(yè)還應(yīng)該定期進(jìn)行練習(xí)，重點是如何從勒索軟件攻擊中恢復(fù)過來。

6. 實現(xiàn)零信任

零信任安全模型假定試圖連接到網(wǎng)絡(luò)的任何人或任何事務(wù)都是潛在的威脅。這種網(wǎng)絡(luò)安全理念指出，網(wǎng)絡(luò)內(nèi)外的任何人都不應(yīng)該被信任，除非他們的身份被徹底檢查過。“零信任”默認(rèn)網(wǎng)絡(luò)外部和內(nèi)部的威脅是一個無處不在的因素。這些假設(shè)為網(wǎng)絡(luò)管理員提供了思路，迫使他們設(shè)計嚴(yán)格的、不信任任何人的安全措施。

使用零信任方法，每個試圖訪問網(wǎng)絡(luò)或應(yīng)用程序的個人或設(shè)備都必須經(jīng)過嚴(yán)格的身份驗證，然后才授予訪問權(quán)限。這種驗證使用多因素身份驗證(MFA)，要求用戶在被授予訪問權(quán)限之前提供多個憑據(jù)。零信任還包括網(wǎng)絡(luò)訪問控制(NAC)，用于限制未經(jīng)授權(quán)的用戶和設(shè)備訪問公司或私人網(wǎng)絡(luò)。它保證只有通過認(rèn)證的用戶和通過授權(quán)且符合安全策略的設(shè)備才能進(jìn)入網(wǎng)絡(luò)。

7. 防火墻和網(wǎng)絡(luò)分段

隨著云應(yīng)用的增加，網(wǎng)絡(luò)分段變得越來越重要，尤其是在多云和混合云環(huán)境中。通過網(wǎng)絡(luò)分段，組織可以根據(jù)業(yè)務(wù)需求對網(wǎng)絡(luò)進(jìn)行分區(qū)，并根據(jù)角色和當(dāng)前信任狀態(tài)授予訪問權(quán)限。根據(jù)請求者當(dāng)前的信任狀態(tài)檢查每個網(wǎng)絡(luò)請求，如果它們確實進(jìn)入了網(wǎng)絡(luò)，則對于防止在網(wǎng)絡(luò)內(nèi)橫向移動非常有益。

8. 用戶培訓(xùn)和良好的網(wǎng)絡(luò)安全習(xí)慣是關(guān)鍵

具體的操作人員才是網(wǎng)絡(luò)安全戰(zhàn)略的核心，根據(jù)《2021年Verizon數(shù)據(jù)泄露調(diào)查報告》，85%的數(shù)據(jù)泄露都與操作習(xí)慣有關(guān)。理論上，你可以有世界上所有的安全解決方案，但如果組織忽視了培訓(xùn)員工的網(wǎng)絡(luò)意識，你永遠(yuǎn)不會得到真正的安全。確保所有員工都接受了關(guān)于發(fā)現(xiàn)和報告可疑網(wǎng)絡(luò)活動、保持良好的上網(wǎng)習(xí)慣以及保護(hù)個人設(shè)備和家庭網(wǎng)絡(luò)安全的實質(zhì)性培訓(xùn)。員工在被聘用時應(yīng)該接受培訓(xùn)，在他們的任期內(nèi)也應(yīng)該定期接受培訓(xùn)。

9. 使用欺騙技術(shù)

組織還應(yīng)該了解欺騙技術(shù)，盡管它不是主要的網(wǎng)絡(luò)安全策略，但欺騙解決方案有時是可以幫助保護(hù)系統(tǒng)的。

欺騙技術(shù)可以模擬實際的服務(wù)器、應(yīng)用程序和數(shù)據(jù)，從而欺騙攻擊者，讓他們相信他們已經(jīng)滲透并獲得了企業(yè)最重要資產(chǎn)的訪問權(quán)。這種方法可以用來最小化損失并保護(hù)組織的真實資產(chǎn)。

本文翻譯自：

https://www.fortinet.com/blog/industry-trends/how-to-prevent-ransomware-attacks-top-nine-things-to-keep-in-mind