企業如何防範勒索病毒?從預防,損害控制到復原的全方位指南

面對勒索病毒 Ransomware (勒索軟體/綁架病毒)的威脅,至今仍沒有一勞永逸或一體適用的解決方案。不過,勒索病毒從單純地造成使用者困擾蓬勃發展成一種犯罪事業的這十年間,資安產業也開發出更好的方法來阻止勒索病毒繼續囂張下去。

2016年,勒索病毒不僅突然崛起,其攻擊目標也開始從家庭使用者轉向各種產業。以下是一些有助您企業有效防範勒索病毒的重要原則。

Jigsaw 變種勒索訊息 (資料來源:BleepingComputer)
Jigsaw 變種勒索訊息 (資料來源:BleepingComputer)

架起護盾:防範勒索病毒進入系統
面對任何形態的網路威脅都一樣,防範入侵點絕對是一項關鍵,以下是一些有助於防範勒索病毒感染整個企業網路的資安措施:

  • 定期備份重要資料。網路犯罪集團善於利用人們害怕失去重要檔案及文件的心理來迫使受害者支付贖金。因此,只要定期備份重要檔案就能將傷害降至最低,歹徒就無從要脅。此外,良好的備份策略,還可確保所有重要資料都存放在安全的地點,萬一企業發生資料損毀,就能輕鬆復原。請遵守3-2-1 原則來備份檔案:3 份備份、2 種儲存媒體、1 個不同的存放地點。某些惡意程式變種會試圖搜尋網路共用磁碟上的備份資料,因此,將一份備份資料存放在另一個地點非常重要,例如某台未連上公司網路的電腦。
  • 在端點裝置上建立應用程式白名單來防止所有未知及不當的應用程式執行。藉由行為監控和應用程式控管,就算歹徒試圖入侵系統,企業依然能夠維持安全。行為監控有助於掌握系統是否出現「異常」或不尋常的行為,而應用程式控管則能限制系統上只可執行一些非惡意的檔案和執行程序。IT 系統管理員可藉此控管企業網路內可執行的應用程式。
  • 擬定一套以資安為考量的網路分割方案。將資產和資源做策略性的分組,好讓 IT 系統管理員清楚掌握資料的流向,以及可允許存取的對象。適當地切割網路,可避免駭客癱瘓整個網路。確切掌握網路上有哪些使用者,以及他們所存取的資源,並適當加以分類。若能進一步切割使用者權限,並且適當讓網路流量分流,就能為企業最重要的資料帶來多一分的保障。依據各個部門或各個團隊的需求來分割網路,能限縮駭客可存取的資源,有效限制感染範圍。僅開放最低必要的存取權限給使用者,這樣一來歹徒就更難取得系統管理員權限。
  • 教育使用者有關社交工程(social engineering )攻擊的跡象和危險性。教導使用者養成安全的電子郵件與網路使用習慣,例如,唯有來自信任對象的附件檔案、網址或程式才能打開或執行。此外,鼓勵使用者在遇到可疑的電子郵件和檔案時務必向資安團隊通報,這也同樣重要。
  • 隨時套用作業系統和應用程式廠商釋出的軟體修補。應用程式和伺服器若含有未修補的漏洞,就經常會成為駭客的入侵點,讓歹徒有機可乘,將勒索病毒植入系統。要避免這種情況,軟體就必須定期更新和修補。仔細檢視一下您現有的修補流程,將所有可能妨礙軟體適時修補與更新的障礙排除。此外,虛擬修補技術可以保護含有漏洞的伺服器,就算必要的軟體修補尚且無法套用至所有伺服器和端點也能防範勒索病毒入侵。
  • 確定您的資安產品隨時保持更新,並定期執行掃瞄。不論您的企業網路建置了多少安全防護,駭客只需要找到一個缺口就能入侵。務必確定您所建置的資安解決方案都隨時保持更新,因為,久未更新的軟體等於是為駭客敞開大門。

止血:損害控制

從使用者不小心點選到某個惡意連結或下載某個有毒的檔案,到電腦畫面上出現勒索訊息,過程可能只有幾分鐘。然而,這段時間卻發現並防止勒索病毒疫情爆發以盡可能降低損害的黃金時期。以下是您該注意的一些資安要點:

  • 找出被感染的電腦並將它與網路隔離。儘管勒索病毒的實際行為隨其家族和變種而異,但要完成整個感染程序,勒索病毒通常都必須與其幕後操縱 (C&C) 伺服器通訊。除了少數不需這道步驟的變種之外,其他大多必須經由網路連線接收到伺服器的指令才算感染完成。當 IT 系統管理員收到任何有關系統異常行為的通知時,必須迅速採取行動,盡可能將感染隔離以降低損害。一旦找出被感染的電腦,不論是預先發現早期跡象或者電腦上已經出現勒索訊息,皆應該將受感染的電腦與網路斷線,以防止病毒擴散至其他電腦。必要時,甚至得關閉整個網路,直到情況獲得控制為止。
  • 成立一個事件即時應變團隊。即時應變團隊必須監控系統的活動,隨時接收網路內使用者所觸發的異常通知。雖然,當使用者觸發警訊時,病毒的加密程序很可能已經開始執行,但 IT 應變團隊仍可讓情況獲得控制,防止感染進一步擴散。
  • 鼓勵使用者向資安團隊通報任何不尋常的系統行為。IT 系統管理員應主動教導企業內網路使用者要提高警覺,隨時留意任何可能遭到入侵的跡象。當勒索病毒在背後暗中執行並且尚未完成感染動作時,通常會出現一些明顯的跡象。一個明顯的跡象就是系統變慢,因為病毒的程序正在背後執行。及早發現這些徵兆,資安應變團隊就可能有充分的時間來掌控情況。

預防後續效應:從感染中復原

有別於以往的印象,其實感染勒索病毒並非萬劫不復。不過,關鍵在於及早發現、及早回應、及早復原,這樣就能盡可能降低損害,避免落到非支付贖金不可的地步。以下是一些感染後應有的應變步驟:

  • 尋找是否有可用的解密工具。網路及各家資安廠商都提供了各種解密工具來偵測並清除專門鎖定螢幕的勒索病毒以及某些加密勒索病毒變種。有了這些工具,您就不必為了取得解密金鑰而支付贖金。
  • 實行一套完善的資料備份復原計畫。建立一套完善的備份復原計畫,可確保當災難發生時 (不侷限於勒索病毒感染),企業資料仍安然無恙,如此,企業就能迅速恢復正常營運。
  • 事件結束之後的感染分析。一旦感染情況獲得控制,接著該做的就是仔細調查事件的影響範圍與層面。更重要的是,調查感染的源頭,找出系統的漏洞和弱點,然後加以解決以防止事件再次發生。在許多不同案例中,針對當下的勒索病毒進行沙盒模擬分析可有助於判斷勒索病毒的行為。這樣就能歸納出一些入侵指標 (Indicators of Compromise),包括病毒的功能、行為及手法,進而改善偵測率,找出防範之道,防止未來再次發生同樣事件。

勒索病毒的快速發展 (幾乎每天都有新的變種和新的家族出現),正顯示這類攻擊已成了網路犯罪集團的搖錢樹。所以,為了確保勒索病毒所有可能的入侵點都受到嚴密防守,採用一套多層式的資安方法有其必要。

 

趨勢科技的勒索病毒解決方案

從中小企業到大型企業的網路設備都是Crysis這類勒索病毒的攻擊目標,業務持續性、財務損失和公司聲譽都受到了威脅。當網路犯罪分子汲汲營營地想要將關鍵資料做為人質,重要的是能夠具備主動式、多層次的安全防護:從閘道端點網路伺服器

 

 

電子郵件和閘道防護

趨勢科技Cloud App Security趨勢科技Deep Discovery™ Email InspectorInterScan™ Web Security 可以防禦常被用來散播勒索病毒的管道,如電子郵件和網頁。

  • 魚叉式網路釣魚防護
  • 惡意軟體沙箱
  • IP/網頁信譽評比技術
  • 檔案漏洞攻擊偵測
端點防護

趨勢科技 Smart Protection Suites 在端點層級偵測和阻止與勒索病毒相關的可疑行為和漏洞攻擊。

  • 勒索病毒行為監控
  • 應用程式控管
  • 漏洞防護
  • 網頁安全
網路保護

趨勢科技Deep Discovery Inspector偵測與勒索病毒進入網路相關的惡意流量、連線和其他活動。

  • 網路流量掃描
  • 惡意軟體沙箱
  • 防止橫向移動
伺服器防護

趨勢科技Deep Security可以偵測和阻止可疑網路活動和保護伺服器和應用程式免於漏洞攻擊。

  • 保護網頁伺服器
  • 漏洞防護
  • 防止橫向移動

 

保護中小企業家庭用戶

保護中小型企業

Worry-Free Pro透過Hosted Email Security來提供雲端電子郵件閘道防護,偵測和封鎖勒索病毒。

  • 勒索病毒行為監控
  • IP/網頁信譽評比技術
保護家庭用戶

趨勢科技PC-cillin雲端版可以封鎖勒索病毒威脅相關的惡意網站、電子郵件與檔案來提供強大的防護。

  • IP/網頁信譽評比技術
  • 勒索病毒防護

 

原文出處:Ransomware All-in-One Solutions Guide

 

AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

 

Windows10Banner-540x90v5

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數