大型組織防止勒索軟件攻擊需要做的九件事
勒索軟件攻擊已經成為影響所有行業和組織的大問題,考慮到這些攻擊可能對各類組織造成的影響,安全專業人員需要以新的方式保護他們的系統、網絡和軟件。
勒索軟件是一種特定類型的惡意軟件,它通過破壞數據來要挾受害者。釣魚郵件就是一種常見的傳播方式,但勒索軟件也可以通過偷渡式下載下載傳播,即當用戶訪問一個受感染的網站時,攻擊會在用戶不知情或未同意的情況下,在計算機上安裝有害應用程序。高級攻擊需要幾秒鐘的時間來破壞終端,勒索軟件攻擊需要幾秒鐘的時間來破壞系統和基礎設施。隨著攻擊變得越來越復雜,勒索軟件的影響已經超越了財務損失的范疇。
企圖攻擊和數據泄露是不可避免的,沒有組織愿意被迫在支付贖金和丟失重要數據之間做出選擇。幸運的是,這并不是唯一的選擇。最好的選擇是從一開始就避免被迫做出這個決定。這種方法需要一個分層的安全模型,其中包括由主動的全球威脅情報提供支持的網絡、終端、應用程序和數據中心控制。考慮到這一點,有9件事要考慮,以便讓組織有最好的機會避免勒索軟件攻擊。
1. 電子郵件網關安全和沙箱
電子郵件是攻擊者最常用的攻擊手段之一,一個安全的電子郵件網關解決方案應該提供先進的多層保護,可抵御各種電子郵件傳播的威脅。沙箱技術提供了額外的一層保護。任何通過電子郵件過濾器但仍然包含未知鏈接、發件人或文件類型的電子郵件,都可以在它到達網絡或郵件服務器之前進行測試。
2. Web應用安全/防火墻技術
web應用防火墻(WAF)通過過濾和監控進出web服務的HTTP流量來幫助保護web應用程序。它是一個關鍵的安全要素,因為它是緩解網絡攻擊的第一道防線。當組織執行新的數字計劃時,攻擊面也會隨著擴大。由于web服務器漏洞、服務器插件或其他問題,新的web應用程序和應用程序編程接口(API) 可能會暴露在危險的流量中。WAF有助于確保這些應用程序及其訪問內容的安全性。
3. 攻擊情報共享
組織必須擁有實時可操作的情報,以幫助緩解殺毒軟件等發現不了的威脅。必須在環境中的不同安全層和產品之間共享信息,以提供主動防御。此外,這種信息共享應擴展到組織之外的更廣泛的網絡安全社區,例如計算機應急響應小組(CERT)、信息共享和分析中心(ISAC)以及網絡威脅聯盟(Cyber Threat Alliance)等行業聯盟。快速共享是在攻擊發生變異或傳播到其他系統或組織之前快速響應攻擊并打破網絡攻擊鏈的最佳方式。
4. 保護終端設備
傳統的反病毒技術并不總是做得很好,而且隨著攻擊技術越來越復雜,防御技術通常無法跟上安全的需要,組織需要確保使用終端發現和響應(EDR)解決方案和其他技術適當地保護終端設備。
在當前的威脅環境中,高級攻擊可能需要幾分鐘或幾秒鐘才能攻擊終端。第一代EDR工具根本跟不上,因為它們需要人工分類和響應。它們不僅應對速度太慢,無法應對今天迅速發展的攻擊技術,而且還會產生大量的警報,給已經超負荷工作的網絡安全團隊帶來大量負擔。此外,傳統的EDR安全工具可能會提高安全運營的成本,減緩網絡處理和功能,這可能會對業務產生負面影響。
相比之下,下一代EDR解決方案為終端提供先進的、實時的威脅情報、可見性、分析、管理和保護,在感染前和感染后均可防御勒索軟件。這些EDR解決方案可以實時檢測和化解潛在威脅,主動減少攻擊面,幫助防止惡意軟件感染,并使用可定制的劇本自動化響應和修復程序。
5. 數據備份和事件響應
組織應該能夠執行所有系統和數據的備份,并將其存儲在網絡之外,還應該測試這些備份,以確保能夠正確地恢復。
每個組織都應該有一個適當的事件響應計劃,以確保企業在遭受成功的勒索軟件攻擊時做好準備。人們應該提前分配具體的任務。例如,企業會向誰尋求安全分析方面的幫助? 企業有現成的專家來幫助你恢復系統嗎? 企業還應該定期進行練習,重點是如何從勒索軟件攻擊中恢復過來。
6. 實現零信任
零信任安全模型假定試圖連接到網絡的任何人或任何事務都是潛在的威脅。這種網絡安全理念指出,網絡內外的任何人都不應該被信任,除非他們的身份被徹底檢查過。“零信任”默認網絡外部和內部的威脅是一個無處不在的因素。這些假設為網絡管理員提供了思路,迫使他們設計嚴格的、不信任任何人的安全措施。
使用零信任方法,每個試圖訪問網絡或應用程序的個人或設備都必須經過嚴格的身份驗證,然后才授予訪問權限。這種驗證使用多因素身份驗證(MFA),要求用戶在被授予訪問權限之前提供多個憑據。零信任還包括網絡訪問控制(NAC),用于限制未經授權的用戶和設備訪問公司或私人網絡。它保證只有通過認證的用戶和通過授權且符合安全策略的設備才能進入網絡。
7. 防火墻和網絡分段
隨著云應用的增加,網絡分段變得越來越重要,尤其是在多云和混合云環境中。通過網絡分段,組織可以根據業務需求對網絡進行分區,并根據角色和當前信任狀態授予訪問權限。根據請求者當前的信任狀態檢查每個網絡請求,如果它們確實進入了網絡,則對于防止在網絡內橫向移動非常有益。
8. 用戶培訓和良好的網絡安全習慣是關鍵
具體的操作人員才是網絡安全戰略的核心,根據《2021年Verizon數據泄露調查報告》,85%的數據泄露都與操作習慣有關。理論上,你可以有世界上所有的安全解決方案,但如果組織忽視了培訓員工的網絡意識,你永遠不會得到真正的安全。確保所有員工都接受了關于發現和報告可疑網絡活動、保持良好的上網習慣以及保護個人設備和家庭網絡安全的實質性培訓。員工在被聘用時應該接受培訓,在他們的任期內也應該定期接受培訓。
9. 使用欺騙技術
組織還應該了解欺騙技術,盡管它不是主要的網絡安全策略,但欺騙解決方案有時是可以幫助保護系統的。
欺騙技術可以模擬實際的服務器、應用程序和數據,從而欺騙攻擊者,讓他們相信他們已經滲透并獲得了企業最重要資產的訪問權。這種方法可以用來最小化損失并保護組織的真實資產。
本文翻譯自:
https://www.fortinet.com/blog/industry-trends/how-to-prevent-ransomware-attacks-top-nine-things-to-keep-in-mind
