检测和防御勒索软件– 2020年最佳实践

 
几个月前，全球最大的铝生产商之一Norsk Hydro感染了该恶意软件，该恶意软件在40个国家/地区的170个不同站点上攻击了22,000台计算机。这是检测和防御勒索软件以及2020年最佳实践的方法。
恶意软件已证明对许多企业和公司构成威胁。
大多数组织都尝试了各种方法来对抗恶意软件，但都无济于事。弄清楚如何保护自己免受恶意软件的侵害，可以帮助最大程度地减少已知造成的损害。
恶意软件攻击的后果不仅限于不必要的费用。
公司浪费宝贵的时间，并且每次攻击结束时其声誉最终都会受到损害。大多数遭到勒索软件攻击的公司都会恢复其数据，支付赎金或尝试从备份中恢复其数据。
有效检测和防御勒索软件对于保护公司至关重要。在公司中，还需要通过电子邮件保护您的消息传递。已经发现电子邮件是许多勒索软件通过的媒介，您的系统也受到了攻击。
什么是勒索软件?
勒索软件是一种恶意软件，可以入侵受害者的计算机并对其可用的所有文件进行加密。
简而言之，该软件通过密码对您的所有数据进行编码，并且在赎金支付之前，黑客无法访问您的文件。
多数情况下，勒索软件是通过看起来无关紧要的电子邮件进入的，诱使用户单击恶意链接或打开被感染的附件。一旦系统受到威胁，勒索软件便会访问其受害者的所有文件。如果赎金没有按要求支付，黑客甚至威胁要发布敏感信息。
检测和识别勒索软件。
请务必注意，勒索软件病毒并非旨在显示其创建者的能力。勒索软件的目的是获得不实收益，用于损害用户。勒索软件所针对的大多数用户和企业通常知之甚少，并且感到恐惧。
当勒索软件完全感染计算机或其他设备时，该设备将无法使用。
勒索软件通常隐藏在目标计算机或系统上的某个文件中。勒索软件以文档形式存储，并附加在视频，电子邮件，图像，程序安装程序或黑客发现其破坏系统的任何其他位置。
一旦被感染的文件渗透到计算机中，它就会阻止对所有数据的访问，有时甚至阻止操作系统本身的访问。然后，它将带有付款信息的警告消息发送给所有者。
犯罪黑客通常会分配一个时间，确定何时将加密文件永久删除。
这些网络罪犯采取的策略是提出一个可负担的数字作为要支付的赎金，然后承诺将计算机和文件恢复到其原始状态。不幸的是，许多用户和公司都没有时间来备份其最关键和最敏感的数据。备份数据应成为企业中的标准操作过程。
知名度最高的勒索软件
WannaCry(Wana解密器)
密码锁
雷夫顿
佩蒂亚
坏兔子
拼图
学习将攻击的可能性降至最低。
勒索软件攻击仍然是当今Internet上最大的威胁之一。只需单击错误的链接，黑客就可以轻松获取您的文件和有价值的信息。
然后，黑客对信息进行加密，并且仅在以比特币或其他加密货币支付的强大赎金的情况下才进行解锁-使其难以追踪。
这些赎金中有许多已用比特币支付。参与勒索软件攻击的犯罪分子获得了足够的资金，并不断改进其策略。
低级黑客通常只对单独加密PC感兴趣。犯罪集团对探索公司网络中的后门更为感兴趣。在公司网络中，黑客可以通过一次加密尽可能多的设备来最大程度地破坏它们。
在这种级别的威胁下，目前无法保护自己或您的企业免受勒索软件或任何其他类型的恶意软件的侵害。
通过十个步骤保护您免受勒索软件攻击。
保护您的公司免受勒索软件攻击。
应用补丁程序以使系统保持最新。
修复软件缺陷可能真是费力又费时，但是值得付出努力，而且对于您的安全而言更为重要。黑客将尝试发现您软件的脆弱性，并在您的公司可以测试和部署补丁进行防御之前利用它。
WannaCry是一个典型的勒索软件示例，如果未及早或快速地对其进行修补，就会攻击您的软件。
WannaCry在2017年夏天造成了严重破坏。黑客利用了Windows Server消息块协议，该协议使WannaCry能够自我传播。实际上，在勒索软件成功实施之前的几个月中已经发布了一个补丁。
但是没有足够的组织修补其基础架构，并且感染了30万多台PC。立即学习本课程-许多组织尚未学习。
三分之一的IT专业人员承认其组织由于未纠正的漏洞而受到破坏。在安全公司Tripwire进行的一项调查中，该统计信息已得到验证。
更改所有接入点的默认密码。
感染恶意软件的常见方法是单击电子邮件中的错误链接。但是，如果我告诉您那不是唯一的方法，该怎么办。根据F-secure的一项研究，多达三分之一的勒索软件通过暴力破解和远程桌面协议(RDP)攻击进行分发。
蛮力攻击倾向于通过在僵尸程序的帮助下尝试尽可能多的密码来访问服务器和任何其他设备，直到它们最终达到困境为止。
许多公司不会更改其默认密码或使用组合密码。另一个问题是，企业使用的密码非常容易预测。众所周知，蛮力攻击是持续有效的。
一些企业询问了远程桌面支持(RDP)。 RDP可以实现对PC的远程控制，并且是另一个可以感染勒索软件攻击的渠道。
您可以采用某些方法来防止通过RDP遭受攻击的风险。确保使用强密码-并更改RDP端口。因此，通过更改RDP端口，可以将其访问权限限制为仅必需的设备。
使您在网络上行走更加困难。
黑客正在竭尽所能地获取越来越多的利润。这就解释了为什么与黑客攻击一台PC相比，它们会攻击大型公司和拥有公司网络的公司。黑客喜欢对网络进行广泛分析，以便在最终对整个事物进行加密之前传播其恶意软件。
考虑到黑客的目标，至关重要的是使网络犯罪分子更难进行黑客攻击。细分您的网络会受到更多限制。使用无限访问权限来保护管理帐户的数量。
大多数网络钓鱼攻击通常是针对开发人员的，通常是因为开发人员或开发团队拥有对多个系统的完全访问权限。
了解什么连接到您的网络。
尽管PC和服务器可能是您存储数据的地方，但它们并不是您唯一需要关注的设备。随着物联网的出现，现在有许多设备可以连接到任何公司网络。
这些网络大多数都不具备您通常在企业中期望的那种安全性。设备应使用由ISD(基础设施服务部)保护的设备。
您连接的设备数量越多，给黑客提供后门便可以进行探索的风险就越大。黑客想要比您的打印机或智能售票机更有利可图的目标。考虑还有谁有权访问您的系统，并根据需要采取行动限制它们。
了解最重要的数据是什么，并创建有效的备份策略。
通过对所有重要业务数据进行安全和更新的备份，您的信息被勒索软件感染的可能性较小。万一勒索软件破坏了某些设备，此举可以节省您的时间，从而使您可以还原数据并几乎立即重新启动并运行。
但是确定这些业务数据的位置至关重要。难道您的客户的私人数据是存储在桌面电子表格中而不是存储在云中的CFO数据?
如果您保存了错误的内容或与应在何处保存有价值的信息和数据不一致，那么进行备份将毫无用处。
支付赎金前请仔细考虑。
让我们看看业务中的场景。想一想，黑客现在已经破坏了您的所有防御，现在公司中的每台PC都已加密。
您有两种选择：要么支付几千美元的赎金，要么拒绝支付备份并从备份中还原-这可能需要几天的时间才能完成备份。你会去哪儿?您支付赎金吗?
对于许多公司来说，支付赎金可能是最好的举动。
如果黑客只要求负担得起的金额，那么解决它们，并让您的业务尽快开始运营是明智的。
可能不建议付款的一些原因。
首先，您不能确定犯罪分子在付款后最终会给您加密密钥。毕竟，他们是海盗。贵公司支付赎金的结果最终将鼓励更多攻击，这些攻击可能或不一定来自同一组，而是另一组。
考虑一下它将产生的更大影响。无论您以何种方式支付赎金，无论是用您的资金还是用加密货币，两种方法都会为这种犯罪团伙提供奖励。
支付给犯罪组织或犯罪组织的任何款项意味着它们将有更好的资金来执行针对您或其他公司的更多操作。
但是，付款可以为您省去麻烦，但是支付赎金只会助长流行病。
有计划知道如何对勒索软件做出反应并进行测试。
业务计划的基本部分之一是制定一个灾难恢复计划，该计划应考虑所有可能的技术灾难以及对赎金要求的响应。
不仅是清洁PC和重新安装备份数据的技术答案，而且还可能需要更广泛的业务响应。
您可能要考虑的其他事情是如何向员工，客户甚至新闻界解释此事。决定是应该通知监管者还是应联系警察或保险公司。
不只是方丈拥有一个文档，还可以对您所制定的条件进行测试，充分了解其中的某些条件将会失败。
在电子邮件到达用户之前进行分析和过滤。
您如何轻松地阻止员工单击任何链接?首先，不要让受感染的电子邮件到达其收件箱。
这将意味着筛选内容并过滤电子邮件，这有助于防止在到达工作人员之前进行潜在的网络钓鱼欺诈和赎金要求。
了解网络中正在发生的事情。
有大量相关的安全工具可以概述网络流量。从入侵防御和检测系统到安全信息管理和事件管理(SIEM)软件包。
这些产品提供了网络的更新视图，并可以帮助您监视可能要用勒索软件渗透到您的软件的流量异常的类型。一旦看不到网络上正在发生的事情，您将无法阻止以您的方式进行的任何攻击。
确保您的防病毒软件是最新的。
考虑到这是每个公司都应确保要做的第一件事，这似乎很荒谬，但是您会感到惊讶的是，许多公司仍未使用防病毒软件，尤其是小型软件。
许多反病毒软件提供了附件，可以检测与所有勒索软件有关的任何恶意行为，即文件加密。这些应用程序有助于监视文件，甚至可以复制可能受到勒索软件威胁的文件副本。
勒索软件并不是什么新鲜事物。
新变化是攻击的数量越来越多，更复杂的策略可以加快开发利用个人和企业的新方法和出乎意料的方式。今天，安全已成为业务流程不可或缺的一部分，这一点比以往任何时候都更为重要。
企业应该确保与安全专家合作，他们知道他们需要复杂的安全解决方案来保护自己。
所需要的是高度集成和协作的技术系统，该系统仅以提供，保护，检测，响应和学习的形式与有效的策略和生命周期策略结合使用。
安全解决方案必须共享其信息，以检测整个分布式环境中的威胁并对其做出有效响应。
您需要将这些解决方案编织到网络中，以提供并发保护和增长并动态适应新威胁。
结论
网络犯罪产生数十亿美元的销售额。像公司一样，网络犯罪分子也极有动力寻找新的收入来源。他们依靠欺骗，勒索，攻击，威胁和诱饵来访问关键数据和资源。