行业新闻与博客

网络犯罪分子越来越依赖勒索软件对全球组织进行破坏活动，而且似乎不会很快停止。以下是有关如何防止勒索软件和保护您的数据免受攻击时的知识

网络犯罪分子喜欢使用勒索软件已不是什么秘密。他们可以使用这种恶意软件访问组织的数据并将其锁定在自己的系统之外，并提供密钥以换取大量付款。在某些情况下，攻击者甚至会更进一步，提取数据以便他们可以使用它来犯下其他罪行或在线发布它以在你的伤口上撒盐。这是尽快为您的组织实施勒索软件预防和保护方法的关键所在。

不用说，知道如何防止勒索软件对每个现代企业都至关重要。这不仅从声誉的角度来看很重要，从合规性的角度来看也很重要。本文探讨了如何从一开始就防止勒索软件影响您，以及当您面临攻击时，您可以采取哪些措施来保护勒索软件。

让我们把它算出来。

在您的组织内实施勒索软件预防和保护的 11 个步骤

现在，我们不只是报道最新的勒索软件攻击新闻或最新的勒索软件统计数据。相反，我们的目标是通过为您提供正确的信息来帮助您做好准备，以形成强大的勒索软件预防策略。这就是本文要重点介绍的内容。考虑到这一点，您可以在组织内实施以下 11 种勒索软件预防和保护措施。   

1. 使用安全工具和流程保护您的网络边界

实施强大的网络安全是您可以做的最重要的事情之一，以保护您的业务。您的网络是所有服务器、应用程序和端点设备之间的连接。如果这受到损害，您将面临以不合规问题、处罚和名誉损害形式出现的痛苦世界。

现在的问题是如何保护您的网络以获得更强大的勒索软件预防和保护功能。有多种方法可以做到这一点：

• 利用网络和端点安全工具，如防火墙、防病毒和反恶意软件
• 监控您网络的事件日志以发现异常访问和活动
• 定期进行风险分析、安全审计和渗透测试
• 使用加密来保护您的数据，无论是在静态还是在传输中
• 将敏感数据和关键基础设施保存在自己的内部网络上（即与访客网络分开）
• 对 Wi-Fi 网络至少使用 WPA2（并使用强密码来保护它）并禁用无线保护设置 (WPS)
• 要求用户通过虚拟专用网络 (VPN) 进行连接
• 实施强大的密码安全措施
• 通过身份和访问管理措施限制仅授权用户的访问
• 使用强身份验证措施（如基于 PKI 的证书身份验证）
• 培训您的员工如何安全地访问和使用您的网络（和连接的资源）
• 培训您的 IT 安全员工了解如何预防和阻止勒索软件攻击
• 创建文档，概述您的网络安全操作、管理和维护流程和程序

2.通过定期修补（或使用自动化）使您的系统保持最新

定期修补您的设备是网络安全的一个被忽视的方面。如果您手动推出更新，这项重要的活动可能会有点乏味。我们明白了 — 一方面，修补是一个耗时、单调的过程，并且会让您远离其他需要您注意的关键任务。但是，另一方面，不应用补丁会使您的应用程序、设备和数据面临网络犯罪分子攻击的风险。

这就是自动化可以提供帮助的地方。实施自动更新和修补使您不再需要放弃您正在做的所有其他事情来处理这个令人不快的任务。但是，请谨慎使用此选项；在某些情况下，最好手动实施一些更新，以避免我们最近在去年微软的 Windows 10 更新中看到的问题。    

3. 实施访问控制以限制对敏感数据和系统的访问

设置严格的访问管理流程可以通过限制对您最敏感的系统和基础设施的访问来帮助减轻勒索软件风险。这样，只有选定的用户可以访问（提醒：每个人都不需要访问所有内容！）

您可以通过以下方式做到这一点：

• 使用 Active Directory 全面实施访问控制和设置用户权限
• 遵循数字身份和访问管理最佳实践
• 遵循 PKI 管理和 SSH 密钥管理最佳实践
• 使用安全的身份验证方法

如果攻击者无法直接访问您的系统，那么他们将不得不依靠其他方法来访问您的关键资源。在这种情况下，他们通常会利用其他安全漏洞，理想情况下，您可以通过实施本文中概述的其他勒索软件预防和保护步骤来修复这些漏洞。

4. 锁定并监控您的远程桌面协议 (RDP)

自 COVID-19 大流行开始以来，我们已经看到远程劳动力显着增加。这在很多方面都很好，但如果实施不当，远程访问也会对组织构成安全威胁。特别是在使用远程桌面协议时可以看到这种风险。

对于需要远程访问员工设备以解决问题或执行其他重要任务的 IT 管理员来说，RDP 是一个有用的工具。但是，如果未经授权的用户可以访问此工具，事情可能会迅速走下坡路。这就是为什么保护和监控这种访问形式至关重要的原因。您通常可以使用防火墙和第三方监控工具来监控使用情况、用户或两者兼而有之。此外，您可以设置防火墙规则：

• 限制来自特定设备和 / 或用户的访问或连接
• 设置为只允许安全连接（或完全阻止连接）

一般来说，如果要在组织内使用 RDP，一个好主意是要求用户在启动远程桌面连接之前打开 VPN。

5. 保护您的物联网设备免受未经授权的访问

不幸的是，许多物联网 (IoT) 设备都以存在漏洞而闻名。当被利用时，这些漏洞可以让攻击者访问设备的数据和整个更大的网络。这就是为什么任何使用智能设备的企业都必须拥有强大的物联网安全性。

虽然它在电影和电视节目中创造了令人兴奋的情节，但花费数天、数周或数小时试图破解防火墙通常不是网络犯罪分子获取公司系统访问权限的方式。这太麻烦、太费时了，而且需要比他们愿意投入到这项任务上更多的努力。相反，他们通常通过利用已知漏洞来使用阻力最小的路径。考虑到物联网设备经常充满不同的安全漏洞，它们成为网络犯罪分子的完美目标。  

查看我们的另一篇文章，了解有关如何保护企业内的 IoT 设备的更多信息。

6. 制定业务连续性和应急计划（并进行测试！）

试图弄清楚在面临勒索软件攻击时应该做什么的最糟糕的时间是当你处于其中的时候。不幸的是，许多组织要么懒得制定这些计划，要么即使他们这样做了，他们也没有提前测试它们以确保它们有效。

测试您的数据备份势在必行；毕竟，如果您不费心检查以确保它们正常工作，为什么还要首先进行备份呢？

确保有数据备份（我们将在本文后面讨论）并定期测试它们的恢复能力。通过这种方式，您将知道您的备份是否有效，并能满足您在现实世界中的需求。

7. 培训员工识别网络钓鱼诈骗和网站

这不是我们第一次谈论对员工的网络安全培训，也不会是最后一次。事实是，员工代表了组织的巨大风险面。无论是故意的恶意行为、严重的错误还是纯粹的疏忽，您的员工的行为都可能导致或破坏您组织的安全防御。这就是为什么他们知道如何识别诈骗以及在收到可疑消息时应该做什么如此重要的原因。

网络安全培训应包含许多关注点和主题：

• 网络钓鱼诈骗和网站的常见元素
• 网络钓鱼电子邮件和网站的真实示例（因此他们知道要注意什么）
• 当他们收到网络钓鱼消息和电话时该怎么办
• 向谁报告可疑行为和消息以及流程是什么

我们整理了一份资源清单，在教育和培训员工时您可能会发现这些资源特别有用：

• 10 种网络钓鱼攻击和网络钓鱼诈骗
• 12 天的网络钓鱼：对网络钓鱼示例的节日式审视
• 什么是 Smishing？定义、示例和保护提示
• 确定网站是假的、欺诈的还是诈骗的 5 种方法
• 如何发现和防范商业电子邮件泄露 (BEC) 攻击
• 如何处理可疑电子邮件：如何举报诈骗电子邮件

8. 实施 DMARC 以防止电子邮件域假冒

美国网络安全和基础设施安全局 (CISA) 建议组织使用域消息身份验证、报告和一致性 (DMARC) 作为其勒索软件预防策略的一部分。这里的想法是 DMARC，它建立在发件人策略框架 (SPF) 和域密钥识别邮件 (DKIM) 协议之上，可防止未经授权的用户从您的域发送电子邮件。

如果您启用 DMARC，您基本上是在创建 DNS 记录，以限制授权哪些服务器代表您的域发送电子邮件。如果有人试图冒充您公司的高管，向您的 HR 团队的 Derek 发送电子邮件，该电子邮件将被自动拒绝，因为攻击者不会从授权的邮件服务器发送邮件。

9. 购买网络责任保险来保护您的组织

网络保险是每个企业都拥有的绝佳工具。虽然它并不能阻止您首先受到勒索软件的攻击，但它确实在事件发生时至少提供了一些保护。例如，由于这些攻击和其他问题，某些类型的网络责任保险涵盖了勒索软件成本和系统恢复成本。

查看这篇文章，其中讨论了网络责任保险会有所帮助的五种情况。

10. 保持当前备份的多个副本随时可用

一个好的经验法则是维护数据备份的多个当前安全副本。这通常涉及将副本存储在本地、第二个地理位置，甚至可能在云环境中。当然，拥有数据备份并不能阻止您受到攻击（即，它不是一种勒索软件预防方法）。但是这样一来，当出现问题时，您就可以依靠备份，这样您就不会从头开始。

当然，数据备份不会提供您在所有勒索软件案例中所需的恢复保护。在过去两年左右的时间里，我们看到针对数据备份的勒索软件的使用有所增加。这里的目标是让攻击者获得对云备份的访问权限，以便他们可以加密或彻底销毁它们，从而阻止您从备份中恢复数据。这将我们带到了最后一点……

11. 将您最敏感的数据和备份存储在离线服务器中

在这种情况下，拥有气隙数据备份或存储服务器会有所帮助。气隙计算机是不连接到任何网络的独立设备，这意味着即使您的网络受到威胁，这些离线数据也不会受到影响。基本上，它是一种隔离资源，可用于存放您最敏感的数据，而不必担心攻击者通过传统方式获得访问权限。

通过在这个孤立的环境中保留至少一份数据副本，这意味着您至少会拥有一些数据，而这些数据是坏人在没有物理访问其存储的磁带或设备的情况下无法获得的。基本上，在大多数情况下，他们必须实际访问您的安全服务器机房或您存储数据的任何地方。

需要注意的是，即使使用气隙系统，仍然存在很小的安全风险。攻击者可能会利用漏洞将您的气隙设备的 RAM 卡转换为 Wi-Fi 信号发射器。但这里的好消息是，您可以采取一些措施来减轻这些风险。（查看上面的链接文章以获取更多信息。）  

为什么勒索软件预防很重要（以及为什么您需要领导力支持勒索软件保护计划）

FBI 互联网犯罪投诉中心的最新互联网犯罪报告（2021 年）显示，勒索软件是 2021 年收到的最大网络犯罪投诉之一。有 3,729 起与勒索软件相关的投诉，调整后的损失超过 4900 万美元。（注意：此数字仅代表已报告的事件；它不包括任何未报告的勒索软件事件。）与 IC3 在其 2020 年报告中分享的相比，报告的事件增加了 1,255 起，调整后损失超过 2000 万美元。

尤其令人不安的是有关勒索软件攻击者所针对的关键基础设施的统计数据。例如，IC3 在 2021 年收到的与勒索软件相关的投诉中有 649 起来自关键基础设施领域的组织。报告最多的行业是医疗保健和公共卫生（148），其次是金融服务（89）和信息技术（74）。

最可怕的目标类型之一涉及能源、农业和水系统。去年，当一名黑客入侵佛罗里达州的一家水处理厂时，我们曾报道过一次此类攻击。

2020 年平均勒索软件支出

Sophos 在其 2021 年威胁报告中指出，平均勒索软件付款从 2019 年第四季度的 84,116.00 美元跃升至 2020 年第三季度的 244,817.30 美元：

但是有多少组织实际上选择支付勒索软件的要求？这个答案因来源而异，因为许多组织不会费心报告勒索软件付款。例如，国际数据公司 (IDC) 的数据显示，在遭受勒索软件攻击的组织中，有 87% 选择支付赎金。

但是，支付这些款项真的有利于您吗？不必要。Sophos 的报告 The State of Ransomware 2021 显示，选择支付攻击者勒索软件要求的组织只取回了不到三分之二 (65%) 的加密数据。在他们观察到的近 30% 的案例中，只有不到一半的受影响组织的文件得到了恢复。因此，就勒索软件预防或保护而言，向攻击者付费可能不会使您受益。

但是处理勒索软件攻击（直接和间接）的成本呢？在同一份 2021 年勒索软件报告中，Sophos 给出的 2021 年价格高达 185 万美元。这是组织在 2020 年报告的金额的两倍多。

当坏人认为勒索软件本身已经不够了……

就在您认为仅靠勒索软件就足以应对的时候——勒索软件团伙也越来越多地将 DDoS 攻击整合到他们的策略中。NETSCOUT 的 2H 2021 威胁情报报告显示，自 2019 年以来，勒索软件攻击总体增长了 232%。但更糟糕的是，攻击者现在正在采取涉及勒索软件和数据盗窃或泄漏的两管齐下的攻击，并在其下纵火将分布式拒绝服务 (DDoS) 添加到组合中。

NETSCOUT 的报告显示，涉及 DDoS 的勒索软件攻击一直在上升，北美、欧洲和英国的 VoIP 服务提供商在 2021 年成为此类三管齐下的攻击目标。尤其是一家未具名的 VoIP 公司报告的收入损失高达由于这些类型的 DDoS 勒索攻击，损失了 1200 万美元。  

关于如何有效实施勒索软件保护和预防的最终想法

正如您所了解的，您的组织可以采取一些勒索软件预防措施来防止它成为下一个勒索软件受害者。但是，如果您发现自己的系统和数据被攻击者加密的情况令人不快，那么就勒索软件保护而言，您应该（也不应该）做一些额外的事情：

• 向专业的事件响应专家寻求帮助。这将帮助您减轻漏洞并防止进一步的损害。
• 向执法部门报告任何与勒索软件相关的事件。您需要向 FBI 或互联网犯罪投诉中心 (IC3)、联邦贸易委员会 (FTC) 或您所在地理区域的其他执法机构报告任何与勒索软件相关的事件。
• 不要支付赎金。这里的担忧是，支付赎金要求可能会鼓励威胁行为者再次攻击你，因为他们知道你会支付赎金，而且还会鼓励他们攻击他人。最后，即使您确实选择付款，也不意味着您会取回您的数据（正如我们之前从 Sophos 的研究数据中了解到的）

在勒索软件支付方面，过去几年出现了一些有趣的发展：

• 一名 FBI 官员警告美国参议院司法委员会不要禁止勒索软件付款。令人担忧的是，通过使支付非法，它将导致选择向攻击者付款的组织进一步勒索情况。
• 美国财政部警告说，在某些情况下，您个人可能会因支付勒索软件而面临民事处罚。

当然，选择是否向攻击者付费是每个组织都必须为自己做出的决定，因为在这种情况下需要考虑许多变量。这就是为什么组织最好提前制定应急响应和业务连续性计划。