众所周知,勒索软件是目前最具破坏性的恶意软件变体之一。您指的是单击错误的链接,让您的组织数据消失在成堆的加密垃圾中,甚至消失了一天的服务器操作系统(OSes)和其他关键文件。您可以支付赎金,但这不仅代价高昂,而且不能保证坏人会退还您的数据。
当您遭受打击时,您的选择是黯淡的:要么希望您可以使用基于云的备份来使系统恢复运行,要么就支付赎金,并希望解密密钥有效。但这只是在您被击中时。更好的选择是避免首先加密文件,或者,如果某些文件被击中,则防止攻击扩散。关键是增强公司的安全性,防止受到攻击。
如何避免勒索软件攻击
第一步是端点检测和响应软件开发人员Cybereason的首席信息安全官(CISO)以色列·巴拉克(Israel Barak)所说的“ IT和安全卫生”。这意味着避免漏洞并过滤电子邮件和网络流量。这还意味着要提供用户培训,并确保您的OS,应用程序和安全产品的补丁程序是最新的。
第二步是制定业务连续性和恢复策略。这意味着实际上要为发生问题的情况制定计划,而不是只是希望不会出现问题。巴拉克说,这包括准备好备份并进行测试,知道如何恢复受影响的服务,知道从何处获得计算资源进行恢复,以及知道完整的恢复计划将起作用,因为您已经对其进行了实际测试。
第三步是建立反恶意软件保护。巴拉克说,这包括防止恶意软件进入您的网络,以及防止恶意软件在您的系统上执行。幸运的是,大多数恶意软件相当容易发现,因为恶意软件作者经常共享成功的例程。
为什么勒索软件与众不同
不幸的是,勒索软件与其他恶意软件不同。巴拉克说,由于勒索软件只是短暂地驻留在计算机上,因此在完成加密并发送勒索软件消息之前,不难避免被检测到。另外,与其他类型的恶意软件不同,实际执行文件加密的恶意软件可能仅在加密开始之前的一刻到达受害者的计算机上。
两种相对较新的恶意软件-Ryuk和SamSam-在操作员的指导下进入您的系统。就Ryuk而言,该运营商可能位于朝鲜,而SamSam则位于伊朗。在每种情况下,攻击都始于寻找允许进入系统的凭据。一旦到达该位置,操作员便会检查系统的内容,决定要加密的文件,提升特权,查找并停用反恶意软件软件以及指向也要加密的备份的链接,或者在某些情况下停用备份。然后,可能经过几个月的准备,才加载并启动了加密恶意软件。它可能会在几分钟内完成工作,而对于操作人员而言,干预速度太快了。
网络安全解决方案开发商Comodo网络安全副总裁,前白宫首席信息官卡洛斯·索拉里(Carlos Solari)解释说:“在SamSam中,他们没有使用传统的网络钓鱼。”“他们使用网站和被盗的人员凭证,并使用暴力手段获取密码。”
Solari说,这些入侵经常不会被发现,因为直到最后都没有涉及恶意软件。但是他说,做得好,现在有办法制止袭击。他说,通常,犯罪分子会追捕网络的目录服务,并对其进行攻击,以便他们能够获得进行攻击所需的管理级特权。此时,入侵检测系统(IDS)可能会检测到更改,如果网络运营商知道要寻找的内容,则他们可以锁定系统并踢出入侵者。
索拉里说:“如果他们注意的话,他们就会意识到有人在里面。”“找到内部和外部威胁情报很重要。您正在寻找系统中的异常情况。”
如何保护自己
对于较小的公司,Solari建议公司将托管检测和响应(MDR)安全运营中心(SOC)作为服务。他补充说,较大的公司可能希望找到托管安全服务提供商(MSSP)。两种解决方案都可以随时关注安全事件,包括在重大勒索软件攻击之前的过渡。
除了监视您的网络外,使您的网络尽可能对犯罪分子不友好也很重要。根据Malwarebyte Labs的主管Adam Kujawa的说法,关键的一步是对网络进行分段,以使入侵者无法简单地跨网络移动并可以访问所有内容。Kujawa说:“您不应该将所有数据都放在同一位置。”“您需要更深层次的安全性。”
但是,如果事实证明您没有在勒索软件攻击之前检测到入侵阶段,则存在另一层或响应,即恶意软件开始加密文件时的行为检测。
Barak解释说:“我们添加的行为机制依赖于勒索软件的典型行为。”他说,这种软件监视勒索软件可能正在做什么,例如加密文件或擦除备份,然后采取措施杀死进程,然后再对其进行任何破坏。“它对于抵御前所未有的勒索软件更为有效。”
预警和保护
为了提供预警,巴拉克说,网络犯罪又迈出了一步。他说:“我们所做的是使用异常机制。”“当Cybereason软件在端点上运行时,它将创建一系列基本文件,这些文件位于硬盘驱动器上的文件夹中,勒索软件将首先尝试对其进行加密。”他说,这些文件的更改会立即被发现,
然后,Cybereason的软件或Malwarebytes的类似软件将终止该过程,并且在许多情况下,将其打包为恶意软件,以致不会造成进一步的损害。
因此,有几层防御措施可以阻止勒索软件攻击,并且,如果将所有这些功能都发挥到位并发挥作用,那么成功的攻击将必须跟随一系列的失败才能发生。您可以在链中的任何地方阻止这些攻击。
您应该支付赎金吗?
但是,假设您决定要支付赎金并立即恢复操作?巴拉克说:“对于某些组织,这是一个可行的选择。”
考虑到所有因素,您将必须评估业务中断的成本,以确定恢复运行的成本是否比恢复的成本要好。巴拉克说,对于企业勒索软件攻击,“在大多数情况下,您确实会取回文件”。
但是巴拉克说,如果有可能支付赎金,那么您还有其他考虑。“我们如何预先准备好有一种机制来协商收回服务的成本?我们如何付款?我们如何形成一种机制来代理这种付款?”
根据Barak的说法,几乎每一个勒索软件攻击都包括与攻击者进行通信的手段,并且大多数企业都试图就通常是勒索软件攻击者所接受的协议进行谈判。例如,您可能决定只需要加密的部分计算机,然后就这些计算机的归还进行协商。
“计划必须提前制定。您将如何回应,与谁进行沟通,如何支付赎金?”巴拉克说。
虽然付款是一个可行的选择,但对于大多数组织而言,它仍然是最后选择,而不是最后的选择。在这种情况下,您将无法控制许多变量,而且,一旦支付一次,就无法保证将来不会受到攻击以获取更多现金。更好的计划是使用可靠的防御,这种防御要足以偏转大多数恶意软件攻击并击败少数成功的恶意软件。但是无论您做出什么决定,请记住,几乎所有解决方案都需要您认真地备份。现在就做,要经常做,还要经常进行测试,以确保一切顺利进行。
标签: IT