对于攻击者来讲,勒索软件是非常盈利的一块市场。而对于受害者,即使是不支付赎金,代价也十分高昂,因为要面临很多间接成本,例如停机和系统恢复、事件分析和响应以及审计等。
目前勒索软件还在发展,犯罪软件编写者正不断改进其工具包来加密文件,例如他们会瞄准特定电子商务网站进行加密以及加密整个磁盘驱动器。企业应该考虑采用勒索软件防御工具以避免系统和数据为攻击者所窃取。
勒索软件防御说明
勒索软件是另一种类型的恶意软件,因此,针对恶意软件的常见建议同样适用:使用系统管理工具以保持系统更新,特别是风险较高的应用,例如Microsoft Office和Adobe Readre。卸载反复出现安全问题的应用,例如Flash和Java,除非有明确的业务需要。通过端点安全工具保护用户设备,并通过电子邮件安全网关发送邮件。
但提供相同的建议带来一个问题:如果我们已经在这样做,为什么仍然有这么多勒索软件?答案在于细节。很多这些勒索软件防御工具是在五年甚至十年前配置,并没有进行重新审视。供应商已经增加了功能,而企业没有利用它们。
为了更好地部署工具来抵御勒索软件,让我们先看看系统管理工具、端点安全和电子邮件安全,了解它们的工作原理,以学习如何抵御勒索软件。
勒索软件防御的工作原理
系统管理工具通过执行补丁修复来帮助避免勒索软件,因此,IT经理应该考虑修复问题并积极解决问题。企业只是依靠Windows Update中的组策略设置并不足够;而系统管理工具中自动化端点修复很有用,可确保获得良好的报告以及控制已安装的软件。目前市场上提供非常多这样的工具,总会有一款产品满足你企业的需求。
端点安全工具可阻止勒索软件下载或执行,但这只是开始。所有端点安全产品都有防火墙和反恶意软件工具,而且IT经理其实还可以利用它们来保护桌面(或移动设备)。由于这些产品本身就在桌面运行,它们比网络设备更适合发现恶意软件和不当行为,网络设备对端点活动有着视图限制。
勒索软件在员工桌面传播最常见的方法是通过电子邮件。这意味着电子邮件安全网关是阻止网络钓鱼攻击(最终演变为勒索软件攻击)以及过滤入站邮件中恶意附件的重要工具。
企业应获取哪些功能
系统管理工具不只是关于修复;它们还提供勒索软件防御功能来保护桌面,并可删除未使用或不需要的软件包。如果存在明显漏洞,例如应用内的内部脚本语言漏洞(这是攻击者最喜欢的工具),系统管理工具可通过额外的配置帮助修复必备应用中的漏洞。其中一个关键的功能是它可完全处理不可避免的异常情况:减少那些有明确业务需求用户使用的不安全配置或版本带来的攻击面。
端点安全套件功能已经远远超过防火墙和反恶意软件工具。应用白名单是保护传统系统免受勒索软件攻击的伟大策略,特别是在服务器或锁定工作站。很多端点安全套件同时提供白名单和黑名单作为基本功能。企业还可在桌面基本启用URL过滤来帮助阻止已知恶意软件站点,同时,新的行为分析功能可在勒索软件造成任何破坏之前阻止它。IT经理应该重新审视桌面控制(例如禁止执行已下载应用)功能,因为他们可能还不知道其当前端点安全供应商添加了新功能。
IT经理还应该了解Windows 10中的桌面端点安全功能。微软一直在努力加强该操作系统的安全性,让恶意软件更加难以进入桌面,他们新增了很多功能,例如代码完整性检查、设备防护以及基于虚拟化的安全等。Windows 10可更好地抵御攻击者,并保护自身操作系统。
以前的“反垃圾邮件”现在已经变成“电子邮件安全”,但这并不只是名字变更:阻止恶意软件的功能是新功能中的重要组成部分。简单的恶意软件扫描已经被更先进的基于政策的保护所取代,其中包括深度扫描附件以发现间谍软件和恶意软件、阻止密码保护的附件、基于信誉和文件特征的“零小时”检测,以及在基于签名扫描失败时使用沙箱系统和服务来检测恶意软件。
电子邮件安全网关和独立的补充电子邮件保护产品也增加了针对网络钓鱼攻击的保护--通过验证来自知名域名的入站邮件以及识别伪造电子邮件。有些保护是基于现有但很少使用的电子邮件保护协议,例如DMARC(基于域名的消息验证、报告和一致性)、DKIM(域密钥标识的邮件)以及SPF(发送人策略框架);其他则是基于对发送方模式的更先进的分析。
总结
McAfee宣布2016年为“勒索软件年”,并报告单名勒索软件编写者已经从全球攻击目标中获得超过1.21亿美元的比特币。
那些想要避免勒索软件问题的IT经理需要重新部署保护策略,并应涵盖完整的勒索软件防护工具。
其中关键部分是技术援助:减少攻击面、阻止桌面中恶意软件以及防止网络钓鱼攻击。同时,系统管理和修复工具、端点安全套件和电子邮件安全网关也可帮助抵御勒索软件攻击。
IT经理应该评估这三种工具以确保他们从中获得最大保护,如有必要,替换不能满足目前需求的工具。如果当前没有修复工作以及安装了多余的软件,则可使用系统管理工具进行修复。如果恶意软件仍然在最终用户桌面,请确定是否是因为你的勒索软件防护工具需要替换或者是否需要更新配置。另外,如果网络钓鱼攻击和不必要的附件可通过电子邮件安全网关,请查看可以对现有工具如何调整来提高保护以及阻止勒索软件进入企业,或者选购更好的工具。
本文转自d1net(转载)