如何防范勒索软件

备份数据、定期更新软件和使用零信任安全方法都是防止勒索软件感染破坏网络的方法。

学习目标

阅读本文后,您将能够:

  • 确定阻止勒索软件的主要策略
  • 了解如何防止潜在的勒索软件攻击
  • 说明最适合阻止勒索软件感染的网络安全模型

复制文章链接

如何防范勒索软件

勒索软件是一种不断增长的威胁,但良好的安全做法(如定期软件更新、频繁的数据备份和用户电子邮件安全培训)可以降低它影响组织的几率。

勒索软件是一种恶意软件,它会锁定文件和数据并持有它们以获取赎金。它通常通过加密文件和数据来做到这一点,攻击者保留加密密钥。勒索软件可以通过多种不同方式进入网络,包括恶意电子邮件、漏洞利用以及捎带其他恶意软件感染。

没有 100% 万无一失的方法可以防止勒索软件进入网络,但采取以下步骤可以大大降低受到攻击的风险。

如何防止勒索软件:6 项最佳实践列表

定期更新软件

勒索软件进入网络并在网络中传播的一种常见方式是利用过时软件中的漏洞。“漏洞”是可以用于恶意目的的软件缺陷。随着漏洞的发现,软件供应商会定期以软件更新的形式为它们发布修复程序。不定期更新操作系统和应用程序就像不给房子的前门上锁,让窃贼溜进来。

例如,2017 年 5 月,著名的 WannaCry 勒索软件利用“EternalBlue”漏洞传播到超过 200,000 台计算机,尽管 Microsoft 之前已针对该漏洞发布了补丁。

勒索软件攻击还利用漏洞在网络内部传播。例如,一旦 Maze 勒索软件已经进入网络,它就会扫描可利用的漏洞,然后使用这些漏洞来感染尽可能多的机器。

为了帮助防止勒索软件以及许多其他类型的攻击,请尽可能频繁地更新软件。这将修补漏洞,实质上是重新锁定前门,使犯罪分子(或勒索软件攻击者)无法进入。

使用双因素身份验证 (2FA)

许多勒索软件攻击始于网络钓鱼活动:他们获取用户凭据(用户名和密码),然后使用这些凭据进入网络并在网络内移动。在其他情况下,勒索软件攻击者会尝试使用已知的默认凭据,直到他们找到使用这些凭据的服务器或网络,从而获得访问权限。(Maze 攻击使用了这种技术。)

双因素身份验证 (2FA) 是一种更安全的用户身份验证方法。2FA 包括校验一个额外的因素,如只有真实用户拥有的硬件令牌。这样,即使攻击者设法窃取了用户名和密码的组合,他们仍然无法获得对网络的访问。

保持内部电子邮件的安全

勒索软件攻击使用多种方法来入侵设备和网络,但电子邮件仍然是最常用的方法之一。许多勒索软件攻击始于网络钓鱼攻击、鱼叉式网络钓鱼攻击或隐藏在恶意电子邮件附件中的特洛伊木马。

电子邮件安全涉及两个关键领域:

  1. 过滤掉来自不受信任来源的电子邮件和电子邮件附件
  2. 培训用户避免点击潜在危险电子邮件中的链接以及下载或打开潜在危险电子邮件的附件

实施端点安全

端点安全是保护笔记本电脑、台式电脑、平板电脑和智能手机等设备免受攻击的过程。端点安全涉及以下方面:

  • 反恶意软件可以检测设备上的勒索软件,然后隔离受感染的设备以防止恶意软件传播。此外,一些勒索软件攻击通过预先存在的恶意软件感染传播——例如,Ryuk 勒索软件通常通过已经感染 TrickBot 恶意软件的设备进入网络。反恶意软件可以帮助在导致勒索软件之前消除这些感染。(然而,一旦勒索软件被激活并且已经加密了文件和数据,反恶意软件就没有什么帮助了。)
  • 应用程序控制有助于阻止用户安装包含勒索软件的虚假应用程序或攻击者已入侵的应用程序。
  • 硬盘加密并不能帮助阻止勒索软件,但它仍然是端点安全的一个重要部分,因为它可以防止未经授权的各方窃取数据。

阅读有关端点安全的更多信息。

备份文件和数据

定期备份文件和数据是众所周知的最佳做法,以便为潜在的勒索软件攻击做好准备。在许多情况下,组织可以从备份中恢复数据,而不是支付赎金来解密或从头开始重建所有 IT 基础设施。

尽管备份数据并不能阻止勒索软件,但它可以帮助组织更快地从勒索软件攻击中恢复。但是,备份也可能被感染,除非它与网络的其余部分分开。

使用零信任模型

许多组织认为他们的网络就像被护城河包围的城堡。保护网络边界的防御措施(如防火墙和入侵防御系统 (IPS)),将攻击者拒之门外——就像护城河将入侵部队挡在中世纪的城堡外一样。

然而,采取这种城堡加护城河的安全方法的组织,非常容易受到勒索软件的攻击。事实是,攻击者经常能够通过各种方法突破"护城河" ,一旦他们进入,他们实际上可以自由地感染和加密整个网络。

一个更好的网络安全方法是假定“城堡”内外都存在威胁。这种理念被称为零信任

零信任安全模型维持严格的访问控制,默认情况下不信任任何人或机器,即使是网络边界内的用户和设备也是如此。由于零信任会持续监控并定期重新验证用户和设备,因此一旦检测到感染,它就可以通过撤销网络和应用程序访问来阻止勒索软件感染的传播。零信任还遵循访问控制的“最低权限”原则,使勒索软件难以提升其权限并获得对网络的控制权。

Cloudflare One 是一个零信任网络即服务 (NaaS) 平台。它结合了安全和网络服务,以安全地连接远程用户、办公室和数据中心(这种模式被称为 SASE,或安全访问服务边缘)。

想了解有关勒索软件的更多信息?阅读以下文章更深入地了解这个主题: