防範勒索軟體的最佳實踐
勒索軟體是對資料最具威脅性的風險之一,且此類惡意軟體持續演變,變得愈發複雜。然而,我們仍可大幅降低遭勒索軟體感染的風險,並減輕此類攻擊可能造成的損害。請透過這篇部落格文章了解防範勒索軟體的最佳實踐,以最高效率保護您的資料。
防範勒索軟體的十大最佳實踐
勒索軟體是一種惡意軟體,簡稱惡意程式,它會透過加密用戶的檔案或其他資料來破壞這些檔案,並要求支付贖金(通常以加密貨幣形式)才能恢復存取權限。要防範勒索軟體,必須採取多層次的策略,結合良好的網路安全習慣、技術管控措施以及使用者教育。請遵循以下建議來防範勒索軟體。
定期備份
備份是 防範勒索軟體攻擊. 備份的主要目的是建立重要資料和檔案的副本,以便在發生資料遺失、損毀或刪除時能夠還原,包括遭遇勒索軟體攻擊等安全事件的情況。
請定期備份您的資料(尤其是關鍵資料),並確保這些備份無法從資料所在的系統進行修改。根據您的 RPO. 建議將備份存放在不同位置或雲端儲存空間,並啟用版本控制功能,以便還原先前未受損的檔案版本。請依照 3-2-1 備份法則. 請至少備有一份離線或不可變更的備份。備份測試至關重要,以確保在遭受勒索軟體攻擊後,若資料遭到損毀或刪除,您仍能成功還原資料。
備份是減輕勒索軟體攻擊所造成損害的最關鍵防禦措施之一,具備資料還原能力,但不應被視為唯一或最重要的方法。它應是全面且分層的網路安全策略中的一部分。 首要目標始終應是從源頭阻止勒索軟體得逞。制定全面的安全策略是降低勒索軟體攻擊風險的最有效方式。請將備份視為一份關鍵的保險單:擁有它固然必要,但若因預防措施奏效而無需動用,自然是最好的結果。若其他措施無法有效防止勒索軟體感染,備份便是最後一道防線。
防毒軟體與防火牆
安裝信譽良好的防毒軟體 以及防勒索軟體解決方案,包括基於行為的偵測技術,該技術能識別勒索軟體特有的潛在惡意活動,並防止勒索軟體感染。請定期更新防毒軟體。 防毒軟體解決方案擁有已知病毒/惡意軟體簽名的資料庫,透過將檔案資料與這些簽名進行比對來掃描檔案,藉此識別並移除惡意軟體。然而,對於從未出現過的"零日威脅",其防禦效果可能較低。
較先進的防毒程式具備啟發式分析功能,能觀察軟體的行為及系統內的運作狀況,以偵測先前未知的病毒或已知病毒的新變種。 防毒軟體可在背景運行,並即時掃描下載的檔案,同時在檔案執行或修改時進行掃描。這能於勒索軟體加密檔案前即攔截並阻止其運作。對終端使用者電腦提供防毒保護至關重要。
現代防毒軟體通常包含更全面的安全特點,能監控系統變更以偵測惡意軟體活動的跡象。這可能包括意外的檔案修改、未經授權的加密活動,或企圖修改關鍵系統檔案的行為。
安裝並設定防火牆 在您的網路中。防火牆和防毒軟體是兩項基礎的安全工具,作為抵禦外部威脅的第一道防線,在防止勒索軟體攻擊方面發揮著重要作用。它們有助於保護系統免於感染惡意軟體(包括勒索軟體),並能在發生感染時將影響降至最低。
防火牆是一種根據設定規則監控網路進出流量的系統,能夠阻止未經授權或不受歡迎的網路存取行為。 它們有助於阻擋可能將勒索軟體有效載荷傳送至系統的惡意流量。關閉從網際網路存取不必要服務的通道。諸如 RDP、SSH 和 SMB 等服務不應對外公開。透過關閉未使用之連接埠,防火牆有助於限制勒索軟體及其他惡意軟體的潛在入侵點。進階防火牆可限制高風險或未經批准的應用程式使用,從而減少潛在的攻擊途徑 勒索軟體感染.
防火牆可用於在網路內部建立區隔(網路區隔),使系統與網路區段彼此隔離。
將防火牆與防毒軟體結合使用. 為了最大限度地防範勒索軟體,您應將防火牆與防毒軟體結合使用,作為安全策略的一部分。
- 防火牆在您的內部網路(或單一電腦)與外部網路(例如網際網路)之間充當屏障,在潛在威脅抵達您的系統之前便將其過濾掉。
- 防毒軟體提供第二道防線,能攔截透過其他途徑滲透,或以非網路方式(例如透過 USB 隨身碟)引入的惡意軟體。
安全性修補程式
請保持作業系統、韌體及軟體(包括防毒軟體)的版本最新,並確保已安裝最新的安全性修補程式。軟體開發商經常發布更新,其中包含針對安全性漏洞的修補程式。許多勒索軟體攻擊會利用作業系統、應用程式和韌體中的已知漏洞,以取得系統存取權限並在網路中擴散。透過及時套用這些更新,組織便能封堵這些漏洞,使勒索軟體更難突破其防禦。
更新之所以有用,是因為軟體供應商會在更新中發布改進或新增的安全特點,從而增強軟體抵禦各種形式網路攻擊(包括勒索軟體)的整體韌性。 舉例來說,作業系統的新版本可能會具備更完善的加密功能,或更強健的預設安全設定。
零日攻擊是指駭客在供應商發布修補程式之前,利用先前未知的漏洞進行攻擊。雖然在漏洞被發現之前無法修補零日漏洞,但定期更新能確保一旦此類漏洞被發現並修補,相關防護措施便已就緒且能迅速部署。
軟體更新還能支援更先進、更安全的技術,以更有效地防範惡意軟體。這可能包含增強的監控功能、與更先進的威脅偵測系統整合,或對硬體級安全特點的支持。將及時進行軟體更新作為多層次安全策略的一部分,能顯著降低遭受勒索軟體攻擊的風險,並強化組織的整體網路安全策略。
網路分段
在您的環境中採用網路分段技術,以限制勒索軟體的擴散。網路分段是一種網路安全策略,其原理是將大型網路劃分為多個較小且相互隔離的子網路或區段。每個區段運作如同一個獨立的小型網路,可擁有自身的一套規則與安全控制措施。若其中一個區段遭到感染,病毒便難以輕易傳播至網路的其他部分。
這意味著若某個區段發生勒索軟體感染,區隔機制將發揮屏障作用,從而限制勒索軟體的橫向擴散。這種封鎖措施能顯著降低攻擊的整體影響。
區隔機制可將網路內任何單一點所能存取的系統與服務數量降至最低。攻擊者在突破初始防禦後,可轉移的目標較少,從而縮小網路的攻擊面。 較小的網路區段更易於監控與管理。當各區段相互隔離且具備明確的流量模式時,便更容易偵測到可能預示勒索軟體攻擊的異常網路流量。
若發生勒索軟體感染,分段式網路有助於實現更精準且高效的事件應變,因為您可以專注於受影響的區段,而無需讓整個網路停擺。這種選擇性處理方式也有助於加快未受影響之關鍵服務的還原時間。
Email Security
請謹慎對待email附件和連結。切勿開啟來自未知或可疑來源的email,或點擊其中的連結。email是勒索軟體攻擊最常見的傳播途徑之一,通常透過精心策劃的釣魚攻擊來實施。攻擊者會利用各種手法誘騙使用者,使其下載惡意email附件,或點擊導向受惡意軟體感染網站的有害連結。實施強大的email防護措施,對於預防和抵禦勒索軟體至關重要。
請採用進階email過濾解決方案,對收發email進行掃描,以偵測垃圾郵件、釣魚攻擊及惡意軟體。過濾器可依據已知惡意網址、可疑附件或異常寄件者資訊等特徵,在惡意email抵達用戶收件匣前予以攔截。針對email中的連結實施網頁過濾政策,阻擋對已知惡意網站的存取。 部分解決方案可重寫連結;因此,當使用者點擊連結時,系統會先進行威脅分析檢查。
部署包含反釣魚技術的email安全解決方案。這些工具能識別並阻擋含有釣魚指標(例如偽造網域或欺騙性地址)的email。使用可掃描附件中的惡意軟體,並能在沙箱環境中執行附件的工具。沙箱工具會在封閉的虛擬環境中開啟檔案,以檢查可疑行為,同時避免對實際網路造成風險。 停用透過 email 傳輸的 Office 檔案(例如 Microsoft Office 檔案)中的巨集(巨集腳本)。大多數防護平台都能自動化此流程。停用 Java 和 VBS 腳本的自動執行功能。
持續教育使用者了解釣魚攻擊的風險、如何辨識可疑電子郵件,以及切勿開啟來自未知或不可信來源的附件或點擊連結的重要性。 停用電子郵件平台的自動轉寄特點,以防止攻擊者在取得使用者電子郵件帳戶存取權限後,設定規則來竊取資料。此外,務必保持電子郵件系統更新、套用電子郵件解決方案供應商發布的修補程式,並持續監控電子郵件環境中的異常活動。
存取控制
採用最小權限原則,確保使用者僅擁有執行工作所需之存取權限。此外,應嚴格管理管理員權限,並監控此類帳戶的使用狀況。實施嚴格的存取與權限政策,是防範勒索軟體及其他形式惡意軟體的重要防禦措施。這些政策可確保使用者僅擁有執行工作所需的最低權限,若使用者帳戶遭入侵且勒索軟體滲入系統,此舉有助於限制勒索軟體的擴散範圍與影響。
應定期檢視與稽核權限設定,確保其仍符合當前工作需求,並視需要進行調整。使用者的存取權限通常需隨其職務變動而調整,且前員工離職後應撤銷其存取權限。
應執行嚴格的密碼政策,要求使用複雜且獨特的密碼,並定期更換。此舉可降低因密碼過弱或遭竊而導致未經授權存取的風險。僅應讓少數使用者擁有管理員權限,因為這些帳戶可對系統進行全域性變更。 應將此類帳戶數量減至最低,並進行嚴密監控。使用強效且唯一的密碼,並在可行情況下實施多因素驗證 (MFA)。
針對使用者會話設定閒置超時機制,因為這能降低無人看管的機器遭未經授權存取的風險。實施政策,在登入失敗達到一定次數後鎖定使用者帳戶,此舉有助於防止暴力破解攻擊。
僅限授權人員實體接觸關鍵基礎設施。伺服器、路由器及交換器等設備應受到保護,防止未經授權的存取。應對敏感資料提供額外保護。僅限因工作需要而必須存取敏感資訊的個人,方可進行此類存取。
事件應變計畫
制定一份詳細的 事件應變計畫 並定期測試此計畫。確保該計畫詳列了遭遇勒索軟體攻擊時應採取的步驟,包括通訊規範、隔離措施及還原程序。此計畫應定期更新,並透過桌面演習與實地演練進行測試。
撰寫一份 災難還原計畫 該計畫必須著重於在遭遇勒索軟體攻擊等事件後,如何恢復關鍵系統與資料。其中應詳述備份程序、資料還原流程,以及如何在將停機時間降至最低的情況下恢復服務。別忘了 災難還原測試.
定期安全稽核
請定期對您的 IT 基礎架構進行安全稽核,以偵測系統中的漏洞與弱點。應立即處理任何問題,以提升整體安全等級。要測試您的環境是否能抵禦勒索軟體,需要採取全面性的方法,包括評估、模擬、滲透測試,以及檢視備份與還原流程。
首先進行漏洞評估,以識別環境中可能被勒索軟體利用的潛在安全弱點。使用自動化掃描工具,尋找未修補的軟體、設定錯誤的安全設定,以及弱密碼。
進行滲透測試,由經授權的安全專家(白帽駭客)主動嘗試利用您網路中的漏洞,就像攻擊者會做的那樣。他們可以使用針對勒索軟體的攻擊向量,來測試是否能滲透您的系統並加密檔案。
執行釣魚模擬活動,模擬現實生活中常見的釣魚攻擊——這正是勒索軟體常用的傳播途徑。這有助於您檢查使用者是否能夠識別並妥善處理可疑email。 測試您的安全培訓計畫成效。評估使用者遵循安全規範的程度,例如不點擊未知連結或不使用受感染的 USB 裝置。
執行社會工程測試,以評估使用者是否容易受到可能導致勒索軟體感染的策略影響。這可能涉及電話通話、實體安全測試及其他技術,以檢視攻擊者能否誘騙使用者授予對受保護系統的存取權限。
執行事件應變演練,模擬勒索軟體攻擊情境並逐步執行事件應變計畫,以檢視組織在偵測、遏制及應對威脅方面的能力。此舉有助於驗證安全團隊的效能,並確保在實際事件發生時,每位成員皆清楚自身職責。
定期測試負責備份與還原的資料保護解決方案,以確保其運作正常,並能依照預先定義的流程及時恢復系統與資料。 RTO 若遭遇勒索軟體攻擊,請確認備份作業是否如預期進行、是否能避免遭勒索軟體存取,以及資料完整性是否得以維持。 基礎設施監控 防禦勒索軟體同樣至關重要。
請確保您的安全政策能與當前的威脅情勢保持同步,並反映防範勒索軟體的最新最佳實踐,包括存取控制、加密以及安全工具的運用。 請透過確保系統保持最新狀態,並確認已安裝最新的安全修補程式和軟體更新,來驗證您的修補程式管理流程是否有效。
及時配置勒索軟體偵測機制,旨在建立防禦體系,以便在潛在的勒索軟體活動造成重大損害之前迅速識別其跡象。及時偵測有助於保護您的資料,讓您能在威脅加密大量檔案或擴散至其他系統之前,及時應對並消除威脅。
使用者培訓
對組織內的用戶和員工進行防範勒索軟體的培訓至關重要。人為失誤或安全意識不足是導致安全漏洞(包括勒索軟體攻擊)的最常見原因之一。透過教育用戶團隊,組織能夠顯著強化其抵禦此類威脅的第一道防線。
應向員工宣導釣魚郵件及社會工程學攻擊的危險性。培訓應強調切勿點擊電子郵件和網站中的可疑連結,或下載來源不明的電子郵件附件。 某些網站會在網頁上顯示偽造的防毒警示,點擊後可能導致下載勒索軟體。請僅從可信賴的網站下載檔案。
培訓的主要目標是提升對勒索軟體的認知,包括其影響以及網路犯罪分子常用的手段,例如釣魚email、惡意附件和詐騙網站。當個人知道該注意哪些跡象時,就更有可能識別並避開潛在威脅。
培訓計畫通常著重於教導使用者如何辨識釣魚攻擊,此類攻擊常被用來將勒索軟體植入系統。這包括對未經請求的email保持警惕、檢查寄件者的email地址、辨識制式化的問候語,以及留意拼寫錯誤的網址或網域名稱。
應培訓使用者養成安全的電腦使用習慣,例如忽略未知連結並避免點擊、不下載未經核實的附件、使用強效且獨特的密碼,以及避免使用不安全的網路(例如公共 Wi-Fi 網路)。 將密碼儲存在電腦的純文字檔案中並不安全。
使用者應了解如何有效運用組織提供的安全工具。這包括如何手動執行防毒掃描、啟用防火牆,以及設定 VPN 以實現安全的遠端存取。
使用者應了解若發生勒索軟體攻擊時,自己在組織事件應變計畫中的角色,包括應聯絡對象以及如何採取行動以將感染範圍降至最低。他們應知悉通報可疑活動或潛在安全事件的正確程序。迅速通報可顯著減輕勒索軟體攻擊的影響。
網路威脅發展迅速;因此,培訓應為持續進行的過程,並定期更新以涵蓋新的勒索軟體戰術、威脅及防護措施。 透過反覆且引人入勝的培訓,結合釣魚攻擊模擬等實務演練,可確保使用者對勒索軟體的威脅保持警覺。組織也應為 IT 團隊提供額外的、針對特定職務的培訓,以確保他們能夠有效部署、管理並應對勒索軟體威脅。
勒索軟體偵測系統
建議部署複雜的入侵偵測系統(IDS)與入侵防禦系統(IPS)——這些是網路安全不可或缺的組成部分,有助於抵禦各類網路威脅,包括勒索軟體。
入侵偵測系統會監控網路流量與系統活動,以偵測可能預示潛在勒索軟體攻擊的可疑行為。若 IDS 偵測到與已知勒索軟體簽名相符的模式,或可能暗示勒索軟體攻擊企圖的異常行為(例如檔案快速加密),便會向管理員發出警報以進行進一步調查。
這些系統亦可採用基於異常的偵測技術,藉此建立正常網路活動的基準線。 任何與此基準線的顯著偏差,都可能表示存在勒索軟體等安全威脅。此方法有助於偵測零日勒索軟體攻擊,這類攻擊尚未被發現,因此沒有相應的簽名。
入侵防禦系統 (IPS) 可設定為根據通訊協定、IP 位址及其他屬性,過濾掉潛在有害的網路流量。此類過濾規則可頻繁更新,以適應不斷演變的威脅情勢,包括新識別出的勒索軟體入侵指標。
如何使用 NAKIVO 從勒索軟體攻擊中恢復
NAKIVO Backup & Replication 透過提供可靠的数据保護,可協助您防禦勒索軟體。NAKIVO 解決方案能將數據備份至多種備份儲存庫類型,包括磁帶及具備不可變性的儲存裝置。該解決方案支援多種 實用特點:
- 備份的不可變性. 可在 Linux 機器及雲端環境中設定具備不可變動備份儲存庫。Amazon S3 及相容於 S3 的物件儲存服務皆配備採用 WORM(寫入一次、多次讀取)技術的 S3 物件鎖定功能。藉此,您只需將資料備份寫入一次,即使環境中的機器遭到感染,勒索軟體也無法修改或刪除這份受保護的資料。
- 備份惡意軟體掃描. 在將備份還原至生產環境之前,請先執行惡意軟體掃描,以確保備份中不含勒索軟體。若解決方案偵測到受感染的資料,您可以選擇中止還原工作,或將受感染的機器移至隔離網路進行進一步調查。
- 離線備份. NAKIVO 解決方案亦支援備份儲存庫分離特點。將備份媒體分離,或將備份存放於空間隔離的儲存裝置中,亦可防止勒索軟體篡改資料。將備份複製儲存於磁帶上,可使備份完全不受勒索軟體的威脅。
- 備份複製. 此解決方案可讓您有效建立並將備份複製傳送至不同類型的儲存庫,以符合"3-2-1 備份法則"——這正是備份領域中預防勒索軟體攻擊的主要措施之一。
- 加密備份. 加密備份有助於防止資料外洩,即使勒索軟體能夠存取備份資料。
- 備份測試. 該 備份驗證 此特點會在虛擬機器備份工作完成後檢查備份資料,以確保資料的一致性。災難還原測試則用於驗證已制定的災難還原計畫是否有效。
- 保護多元資訊來源. 該產品支援對實體與虛擬機器、Amazon EC2 執行個體、Microsoft 365 及其他來源的保護。無論是本地端、實體、虛擬、雲或混合環境,皆可受到保護。
- 快速還原. 若在遭受勒索軟體攻擊後成功還原系統, NAKIVO Backup & Replication 有助於減少停機時間,並能在短時間內恢復資料。該 站點還原 此特點適用於可自動化的複雜災難還原情境。
