8 項經實證有效的防範勒索軟體措施
如今,勒索軟體是各行各業、各規模組織所面臨的最普遍威脅。事實上,據估計,其造成的損失 勒索軟體攻擊造成的損失超過 200 億美元 2021年全球勒索軟體市場規模達2,650億美元,預計到2031年將達到2,650億美元。
勒索軟體感染可能導致資料遺失、財務損失與聲譽受損,甚至造成組織全面停擺。然而,情況未必如表面般嚴峻。 我們有方法能將攻擊成功的機率降至最低,更重要的是,當勒索軟體確實侵襲您的系統時,也能順利進行災後復原。
本文列舉並說明 8 項經實證有效的最佳實踐,協助您確保防禦勒索軟體感染,並降低網路安全漏洞的風險。
什麼是勒索軟體防護?
勒索軟體防護通常涵蓋組織為防止勒索軟體對其 IT 基礎架構及營運利潤造成長期損害所採取的所有措施。一套全面的防勒索軟體計畫應包含防護措施、監控活動及還原策略。
- 防範勒索軟體的措施
防禦勒索軟體應是組織的首要重點。與其試圖減輕勒索軟體攻擊的影響,或設法恢復受感染的資料,不如預先遏止攻擊發生。透過實施必要的防護措施並使用適當的工具,您可以將勒索軟體入侵系統的機率降至最低,並減輕此類入侵事件所造成的後果。
- 勒索軟體偵測措施
監控環境以防範惡意軟體和勒索軟體,對於及早發現威脅至關重要。越早發現入侵跡象,阻止攻擊的機會就越大。有幾種 偵測工具與最佳實踐 您可以採取以下措施來防範勒索軟體。
- 勒索軟體還原措施
倘若勒索軟體攻擊突破您的防禦系統,它可能會加密或鎖定您的資料,進而中斷正常的業務運作。眾多 勒索軟體還原措施 讓您能夠透過快速還原工作負載,將資料損失和停機時間降至最低。請注意,此過程可能相當困難且耗時,因此您應採取以下列出的預防措施。
勒索軟體防護的最佳實踐
勒索軟體防護的最佳方法在於採取多層次策略。此模式包含員工培訓、端點防護、部署必要技術、制定完整的事件應變計畫等。
-
培訓您的員工
今天, 95% 的網路安全問題可歸因於人為疏失 而且,43% 的資料外洩事件源自組織內部,無論是惡意或意外所致。 單一裝置就可能成為全公司範圍攻擊的起點。
因此,建議您在僱用員工時,立即對其進行網路安全意識教育。此外,您應定期舉辦培訓課程,確保使用者持續掌握最新威脅動態,並落實相關規範。
以下做法對於防範勒索軟體及減少因人為疏失導致的事件至關重要:
- 請勿開啟來自可疑來源的email,也請勿點擊可疑的附件。
- 請勿點擊未知網站上的廣告橫幅或不安全的連結。
- 請使用強密碼,並定期更換,切勿在不同帳戶中使用相同的密碼。
- 啟用雙重驗證。
- 請勿分享您的個人資訊,亦請勿將其儲存於易於存取的位置。
- 請勿插入來路不明的 USB 隨身碟。
- 請避免使用公共 Wi-Fi 網路。
- 請遵循貴組織的安全政策,並立即通報惡意活動。
- 提供 更多資訊 向您的員工介紹可協助清除惡意軟體的手動解決方案與軟體。
-
實施網路分段
保護網路並防禦勒索軟體的最佳方式,就是實施網路分段。這在雲和混合環境中尤為重要。若能妥善連接多個子網和路由器,即使其中一台裝置遭到入侵,也能限制惡意軟體感染在整個組織內的擴散。
建議考慮使用 IEEE 802.1X 標準 透過支援的驗證方法,並設定網路存取控制。如此一來,連線至網路時必須具備已簽署的憑證及有效的憑證資料,才能通過驗證並建立加密連線。此架構主要包含三個元件:客戶端、驗證器及驗證伺服器。 若要透過有線乙太網路連線識別使用者,需配備 RADIUS 伺服器及支援 802.1X 的交換器。802.1X 可用於有線及 Wi-Fi 網路。
此外,若條件允許,應執行網路滲透測試,此舉有助於偵測可能被利用來入侵您網路的漏洞。修正發現的問題,以防範勒索軟體並阻止潛在攻擊。
-
設定路由器與埠設定
設定不當的路由器可能成為攻擊途徑,因為網路犯罪分子會持續掃描網路,尋找可供利用的開放埠。封鎖未使用埠口的存取權限,並將標準埠號變更為自訂埠號,有助於防範勒索軟體的攻擊。
您也可以在為組織內使用者提供網際網路存取的路路由器上,設定網址過濾與廣告攔截功能。現代軟體能夠自動將已知的惡意網站加入內容過濾器,以確保網址過濾系統保持最新狀態。
-
採用基礎與進階的防護技術
大多數勒索軟體變種都已廣為人知,可透過基本的安全工具加以偵測。然而,新型態的惡意軟體不斷被發現,現有變種也日益精進,因此您也應採用進階的安全軟體。
以下清單列出了多項防護技術,可供您用於抵禦勒索軟體攻擊。
- 防火牆保護。 這是您抵禦網路入侵的第一道防線。Web 應用程式防火牆會監控並過濾往返於 Web 服務之間的 HTTP 流量。您也可以在路由器上設定防火牆,以降低勒索軟體入侵的風險。
- 防毒軟體。 若在 Windows 或 macOS 系統中偵測到惡意行為,防毒軟體會立即封鎖可疑檔案並通知您。請記住,您應保持防毒軟體更新,以便其能識別新版本的勒索軟體。某些防毒解決方案可與 vShield 和 vSphere 整合以 保護 VMware 虛擬機器 在 ESXi 主機上運行的虛擬機器 (VM)。
- 端點偵測與回應(EDR)。 現代的 EDR 解決方案會執行即時威脅情報與分析,在資料外洩發生前及發生期間,提供防禦勒索軟體攻擊的保護。您可以自動化應對與緩解流程,以盡可能將損害降至最低。
- Email安全。 在電子郵件伺服器上正確設定反垃圾郵件和反惡意軟體過濾器,可防止使用者收到含有惡意連結或檔案附件的電子郵件(或至少能大幅降低此類情況發生的機率)。攻擊者通常會分享惡意網站的連結,或附加含有巨集的 Word 和 Excel 文件,藉此散布勒索軟體。
應定期透過 Google 和 Microsoft 等可信賴供應商提供的資料庫來更新過濾設定。根據您的安全政策,您可以設定防惡意軟體和防垃圾郵件過濾器,使其在郵件送達使用者之前顯示警告訊息或直接刪除該郵件。
- 沙箱技術。 沙箱技術能提供額外的安全防護層,因為它允許您在平行網路上的隔離環境中分析程式碼或連結。若可疑訊息成功通過email過濾器,在進入您的網路之前,即可對其進行檢查與測試。
- 入侵偵測系統 (IDS)。 入侵偵測系統(IDS)是一套先進的工具,用於監控您的網路和系統,以偵測惡意活動或政策違規行為。一旦偵測到威脅,入侵偵測系統便會自動向安全管理員發送報告,以便他們採取必要措施,抵禦勒索軟體的攻擊。
- 欺騙技術。 當其他方法都行不通時,欺騙技術能協助您防止資料遭竊或加密。透過這項技術,您可以建立一個模擬實際資料與伺服器的誘餌,讓網路犯罪分子誤以為攻擊已成功。這也讓您能在威脅造成任何損害或資料遺失之前,迅速偵測到威脅。
- IT 監控工具。 即時 IT 基礎架構監控 可讓您根據網路效能迅速識別安全漏洞。可疑的處理器負載、異常的磁碟活動以及龐大的儲存空間消耗,都是勒索軟體感染的明顯徵兆。
若在網路中偵測到異常行為,建議考慮設定蜜罐(或陷阱)。蜜罐(或陷阱)是一種用於捕捉異常活動的技術,它是一組儲存於伺服器非標準位置的特殊檔案。一旦有人存取這些檔案,系統管理員便會收到通知,因為這在正常的生產運作中是不應該發生的。
-
透過零信任安全機制限制權限
顧名思義,零信任模型意味著您應假定任何試圖連線至網路的用戶(無論內部或外部)均不可信,且構成潛在威脅。 只有在經過徹底的驗證與認證流程後,才會授予存取權限。這種做法透過杜絕未經授權的存取,有效防範勒索軟體攻擊與資料外洩。
為了進一步強化您的安全政策,您應基於"最小權限原則",僅授予使用者完成工作所需的特定權限。例如,一般使用者絕不應擁有管理員的憑證。值得注意的是,您必須建立專用帳戶,才能存取包含敏感資料的備份儲存庫。
-
安裝安全性修補程式並保持系統更新
及時為作業系統和應用程式安裝安全性修補程式,可減少可能被攻擊者利用的安全漏洞與弱點。建議您實施修補程式管理計畫,並在可行情況下開啟自動更新功能。
-
制定應變計畫
每家組織都必須預先擬定應變計畫,以防萬一遭遇勒索軟體攻擊。A 業務連續性與災難還原(BCDR)計畫 此方案雖無法防範勒索軟體,但能協助您減少系統停機時間,並快速恢復遺失的資料。
請務必擬定一套措施,供您的團隊在發生資料外洩事件後執行。這些任務可包含:
- 將受感染的裝置從網路中斷開
- 刪除勒索軟體及受感染的檔案
- 使用備份還原資料
- 若可行,請使用解密工具
必須特別注意,無論如何都絕不要支付贖金!每次付款都會鼓勵犯罪分子發動更多攻擊,而且也無法保證您能取回資料。
-
定期執行備份
如果您的網路確實遭到勒索軟體攻擊,您仍可透過備份將損害和停機時間降至最低並還原系統。透過備份進行還原,是修復受損或遭加密的資料及工作負載最有效的方法。
以下是一些可遵循的最佳實踐,以確保還原過程順利:
- 請按照 3-2-1 備份法則 以消除單點故障,並確保資料可恢復性。
- 將備份儲存於不可變儲存裝置中 以防範勒索軟體的加密與篡改。
- 請將"空間隔離"的備份複製儲存於磁帶及其他未連接到網路的裝置上。
- 執行備份驗證,以確保所有資料均可恢復。
- 請使用專用的管理員帳戶來存取及管理備份。
結論
勒索軟體是全球各組織面臨的最危險威脅之一。所幸,本文提及的最佳實踐能協助您降低感染風險、減少資料損失,並提供針對勒索軟體的最佳防護。
請記住,若您的網路不幸遭到感染,您可以依靠備份來還原遭加密的資料。 NAKIVO Backup & Replication 提供全面的 勒索軟體資料保護 適用於各種環境。此解決方案包含多種先進工具,例如增量備份、細粒度還原以及 災難還原編排.
