對於大小通吃的 勒索病毒 Ransomware (勒索軟體/綁架病毒)來說,任何企業都不會太大、也不會太小。2016 年,勒索病毒在全球所造成的損失總計超過 10 億美元 。勒索病毒災情有多慘重,看看前一陣子才大爆發的WannaCry(想哭)勒索蠕蟲 和 Petya 就知道:數以千計的企業因而停擺。受害的 醫療機構不是停止門診、就是 關閉急診室。而汽車製造商也 停止生產 ,此外電力輸送也因而 中斷。
其實,勒索病毒 一直在不斷演進,因此 IT 系統管理員和資安人員必須隨時嚴加戒備,部署一套縱深防禦策略來守護珍貴的企業資產,一般使用者也需主動養成良好習慣以保護自己。
以下將介紹八個企業防範勒索病毒的最佳實務原則與良好習慣。
1. 「3-2-1 備份原則」:定期備份您的檔案
勒索病毒利用的是受害者害怕電腦被鎖住或個人重要資料救不回來,或者企業營運關鍵資料無法存取而導致企業停擺的恐懼心理。因此,只要妥善備份好您的資料,勒索病毒就不構成威脅。請謹守「3-2-1 備份原則」:三份備份、二種不同儲存媒體、一份放在異地保存。當您在備份資料時,務必確認備份資料完整無誤。因為,萬一備份資料有問題,當您真正需時將派不上用場。因此請定期測試您的備份作業是否正常運作,備份資料是否能夠正常讀取。盡可能簡化您的備份程序並且留下書面記錄,這樣當有需要時您的人員才能輕鬆找到。
2. 隨時保持軟體與作業系統更新
許多檔案加密勒索病毒都是利用軟體的漏洞來進入系統,例如 WannaCry 就是利用 EternalBlue 漏洞攻擊工具來入侵系統,讓它能像蠕蟲一樣在網路內四處流竄。
因此,只要定期更新和修補軟體與作業系統的漏洞,就能有效防範這類攻擊。至於零時差漏洞 以及廠商還來不及釋出更新的漏洞,則可考慮採用虛擬修補技術來防範。
3. 養成安全的系統元件與管理工具使用習慣
網路犯罪集團越來越常利用一些正常的系統管理工具來安裝與執行惡意程式。這樣的手法不僅方便、有效率,而且不易被發現。
勒索病毒也是如此,例如 Petya 使用的是 PsExec 工具,而許多 無檔案式惡意程式則是利用 PowerShell 工具。此外,會修改主開機磁區 (MBR) 的 HDDCryptor 勒索病毒使用的是免費工具與商用軟體。
要防範這類勒索病毒,可以採取最低授權原則,能不開放的權限就不要開放。只要限制使用者的權限,不要讓使用者隨便執行一些危險的工具就可以降低風險。此外,停用一些不必要和過時的通訊協定和程式,也可以防止駭客利用這些入侵點來進入您的系統。
多層式 勒索病毒防禦
4. 妥善保護網路和伺服器安全
妥善保護網路安全以防範勒索病毒是一項絕對必要的工作,因為這類威脅會經由已感染的網路和其幕後操縱 (C&C) 伺服器通訊,並擴散至網路內的其他系統。防火牆和入侵防護系統能協助企業偵測、過濾、封鎖惡意的網路流量和活動。此外,也可提供一些鑑識分析資訊來協助偵測駭客試圖入侵與實際攻擊的跡象。
SAMSAM、 Crysis 和 Linux 版 Erebus 等勒索病毒清楚告訴我們, 伺服器必須受到妥善的防護。有時候,只要有一台電腦含有未修補的漏洞,就足以讓整個網路的電腦和伺服器遭到感染。請務必隨時修補伺服器並保持系統更新,此外也務必提高遠端桌面的密碼強度,以防範歹徒使用暴力方式破解。實施多重認證,並且在多次登入失敗之後就將帳號鎖定。採用加密連線來防止歹徒擷取您的遠端桌面連線資料。
除此之外,還有一些其他方法也可以考慮,例如:網路分割不僅能夠降低本地端網路塞車的情況,還可提高安全性,由於使用者只能存取自己會用到的資源,因此可大幅降低駭客在網路內四處遊走的可能性。
此外,資料分類也可達到同樣效果。資料一旦經過分類,不但存取起來更有效率,而且能清楚區別他們在企業中的價值。這類解決方案可在萬一不幸發生駭客入侵或攻擊時降低損害 。
5. 部署應用程式控管和行為監控
藉由應用程式白名單來保護端點裝置,可防範裝置執行一些不明的程式或惡意程式,例如勒索病毒。行為監控的作用也是一樣,可防止系統遭到不當修改或其他不正常行為。例如,當惡意程式試圖刪除系統備份檔案,行為監控機制就能加以偵測並標記為潛在勒索病毒。
6. 啟用您的沙盒模擬分析環境
IT 系統管理員可利用一套沙盒模擬分析或類似的虛擬環境來將勒索病毒隔離。沙盒模擬分析環境可仿照企業實際生產環境的系統組態設定,這樣就更能模擬當企業遭遇可疑檔案時的情況。
沙盒模擬分析環境的用途還不只用來隔離,還可用來分析惡意程式的多重 感染程序和行為,有助於發現歹徒所用的加密編碼方式或其他躲避偵測技巧。
7. 守護您的閘道
電子郵件閘道依然是勒索病毒最重要的必經之路,所以只要能夠防範其通過閘道的伎倆就能在途中加以攔截。部署多層式的安全機制來防範電子郵件散布勒索病毒,並且養成良好習慣來防範社交工程垃圾郵件。同樣的原則也適用於網站閘道,例如:網址分類、刪除未用到的瀏覽器外掛,確保第三方元件 (如 Java 和 Flash) 隨時保持更新。
勒索病毒攻擊管道與如何防範
8. 培養資安文化
對網路犯罪集團來說,他們只需要駭入企業最弱且無修補更新可用的環節即可得逞:那就是「人」。社交工程技巧是勒索病毒的慣用伎倆,因此企業務必培養員工的資安意識。企業應超越法規遵循的要求,制定並隨時調整自己的事件主動應變與矯正措施。對企業來說,資安文化與資安 技術 一樣重要。
趨勢科技勒索病毒解決方案
大型企業可循序漸進採用多層式的防禦來盡可能降低這類威脅的風險。趨勢科技 Deep Discovery™ Email Inspector 和 InterScan™ Web Security 這類電子郵件和網站閘道解決方案,可防止勒索病毒到達使用者端。在端點裝置方面,有趨勢科技Smart Protection Suites 提供的高準度機器學習、行為監控和應用程式控管,可防堵漏洞並降低這類威脅的衝擊。趨勢科技的Deep Discovery Inspector可偵測並攔截網路上的勒索病毒。至於 趨勢科技Deep Security則可防止勒索病毒進入企業伺服器,不論實體、虛擬或雲端伺服器皆適用。
對於中小企業, Worry-Free Pro 提供了 Hosted Email Security 雲端式電子郵件閘道防護。其內含的端點防護更提供了多種偵測並攔截勒索病毒的功能,例如:行為監控和即時網站信譽評等。
原文出處:Best Practices: Ransomware