國際安全與技術研究所(IST)日前發布了“勒索軟件防御藍圖”。該指南包括針對中小型企業(SMB)的防御措施的建議，以防范和應對勒索軟件和其他常見網絡攻擊。它側重于與國際標準與技術研究所(NIST)網絡安全框架一致的識別、保護、響應和恢復格式。其指南并不包括國際標準與技術研究所(NIST)框架中的一項：檢測功能。報告建議中小型企業應與網絡安全服務提供商合作，以實現這一功能。

這些建議是圍繞保障措施制定的，包括14項基礎保障措施和26項可操作的保障措施。

識別網絡上內容的安全措施

國際安全與技術研究所推薦以下基本保護措施，以幫助確定中小型企業網絡上需要保護的內容：

• 建立并維護一份詳細的企業資產清單。
• 建立和維護軟件清單。
• 建立和維護數據管理流程。
• 建立和維護賬戶清單。

中小型企業可能需要更多指導來了解其計算機和軟件帶來的風險。許多人使用較舊的技術，因為它是關鍵業務線應用程序所需要的。中小型企業只是清點自己的資產是不夠的;需要評估所面臨的風險，因為仍在使用舊資產和舊軟件。

可操作的保障措施是確保支持授權軟件。

保護網絡基礎設施的保障措施

接下來的建議包括如何保護這些資產：

• 建立和維護安全的配置過程。
• 建立和維護網絡基礎設施的安全配置過程。
• 建立訪問授權流程。
• 建立訪問撤銷流程。
• 建立和維護漏洞管理流程。
• 建立和維護補救過程。
• 建立和維護安全意識計劃。

中小型企業中的工作站使用不安全的密碼，或者沒有為內部部署訪問和遠程訪問提供適當的保護。網絡攻擊者通常通過遠程桌面訪問或破解網絡上相同的本地管理員密碼進入。更糟糕的是，當用戶沒有使用適當的網絡訪問權限時。中小型企業通常設置有域管理員權限，并查看如何部署密碼，無論是否擁有傳統的域和工作站設置或云計算和Web應用程序，需要查看多因素身份驗證選項。

接下來，查看如何管理和修補計算資源。僅依靠Windows Update來管理計算機系統上的更新是不夠的。需要查看維護和部署更新的選項。

培訓員工不要點擊不明來源的鏈接是保護網絡的最佳方法之一。無論采取何種保護措施，最好的防御措施是受過安全教育的最終用戶不會點擊鏈接并詢問是否合法。即使企業沒有正式的網絡釣魚培訓計劃，也要確保用戶了解欺詐和攻擊。

正如白皮書所指出的：“勒索軟件具有多種初始感染媒介，有三種媒介造成了大部分入侵嘗試：一是使用遠程桌面協議(RDP)，這是一種用于遠程管理Windows設備的協議。二是網絡釣魚(通常是來自信譽良好的惡意電子郵件源，但旨在竊取憑據或敏感信息)，三是利用軟件漏洞。強化資產、軟件和網絡設備可以抵御這些頂級攻擊媒介，并彌補可能因不安全的默認配置而存在的安全漏洞。如果無法禁用/刪除默認帳戶、更改默認密碼和/或更改其他易受攻擊的設置，則會增加被網絡攻擊利用的風險。本節中的保障措施要求中小型企業在服務器上實施和管理防火墻，并管理企業網絡和系統上的默認帳戶?！?/p>

推薦的可行保護措施是：

• 管理企業資產和軟件的默認帳戶。
• 使用唯一的密碼。
• 禁用休眠帳戶。
• 將管理員權限限制為專用管理員帳戶。
• 對于外部公開的應用程序需要多因素身份驗證。
• 需要多因素身份驗證才能進行遠程網絡訪問。
• 需要多因素身份驗證才能進行管理訪問。
• 執行自動化的操作系統補丁管理。
• 執行自動化的應用程序補丁管理。
• 僅使用完全支持的瀏覽器和電子郵件客戶端。
• 使用DNS過濾服務。
• 確保網絡基礎設施是最新的。
• 部署和維護反惡意軟件。
• 配置自動反惡意軟件簽名更新。
• 禁用可移動媒體的自動運行和自動播放。
• 培訓員工識別社交工程攻擊。
• 培訓員工識別和報告安全事件。

事件響應的保障措施

中小型企業經常忽略有關事件響應的下一組建議：

• 建立和維護報告事件的企業流程。
• 建立和維護審計日志管理流程。

企業通常希望他們的系統在安全事件發生后盡快恢復到正常水平，因此不確定一些中小型企業是否會建立一個報告事件的流程。在此給出的建議是調查一種云計算服務，該服務會累積并提醒網絡上的異常事件。如果不了解日志記錄試圖告訴的內容，那么只是進行日志記錄是不夠的。最好提供一種服務，能夠關聯這些事件并提醒潛在的問題。

事件響應的可行保障措施包括：

• 指定人員來管理事件處理。
• 建立和維護用于報告安全事件的聯系信息。
• 收集審計日志。
• 確保足夠的審計日志存儲。

在遭遇網絡攻擊后恢復的保障措施

勒索軟件可以采用備份很容易地克服這個過程。該框架建議的基本保障是建立和維護一個數據恢復過程。以下是建議的恢復保障措施:

• 執行自動備份。
• 保護恢復數據。
• 建立和維護獨立的恢復數據實例。

中小型企業可能沒有考慮或測試他們的恢復流程。備份可能無法正常工作，或者在勒索軟件的情況下，沒有從網絡對重建的立場進行測試。

藍圖文檔包括推薦工具和資源的鏈接。對于沒有IT經驗的中小型企業來說，制定這些工具清單可能會令人生畏，所以也建議使用這些工具來檢查顧問使用的工具。討論他們使用什么流程，看看他們是否有可比較的資源。

可采取行動的恢復保障措施包括：

• 執行自動備份。
• 保護恢復數據。
• 建立和維護隔離的恢復數據實例。