信息來(lái)源：GDCA數(shù)安時(shí)代

說(shuō)到勒索軟件相信很多人并不陌生，它是一種流行的木馬，通過(guò)騷擾、恐嚇甚至采用綁架用戶(hù)文件等方式，讓用戶(hù)無(wú)法正常使用計(jì)算資源或數(shù)據(jù)資產(chǎn)，并且此為條件向用戶(hù)勒索錢(qián)財(cái)。雖然，勒索軟件防會(huì)給企業(yè)帶造成一定的威脅，但可通過(guò)一些措施防止攻擊者在企業(yè)網(wǎng)絡(luò)上建立立足點(diǎn)。

阻止所有勒索軟件攻擊是不現(xiàn)實(shí)的。但在事件發(fā)生時(shí)阻止惡意軟件擴(kuò)散，防止影響業(yè)務(wù)，避免成為登上新聞?lì)^條的大事件，卻還是有可能的。

每個(gè)月有近150萬(wàn)新的網(wǎng)絡(luò)釣魚(yú)站點(diǎn)創(chuàng)建。僅2018年一年就檢測(cè)到超過(guò)8.5億勒索軟件感染事件。這些統(tǒng)計(jì)數(shù)據(jù)表明了勒索軟件對(duì)每位IT從業(yè)者和各類(lèi)公司企業(yè)所造成的威脅。

勒索軟件是惡意軟件的一種，通過(guò)加密計(jì)算機(jī)中的內(nèi)容，迫使用戶(hù)支付贖金以換取文件解密或機(jī)器解鎖。此類(lèi)惡意軟件能夠暫停生產(chǎn)，影響公司盈利。但是，安全人員可以采取果斷行動(dòng)，最小化勒索軟件的影響。

有備無(wú)患，為防止攻擊者在企業(yè)網(wǎng)絡(luò)上建立立足點(diǎn)，公司企業(yè)應(yīng)設(shè)置以下措施：

(1)最佳實(shí)踐：如健壯的補(bǔ)丁策略、定期系統(tǒng)備份、多因子身份驗(yàn)證、應(yīng)用白名單和本地管理員權(quán)限限制。

(2)意識(shí)項(xiàng)目：教育用戶(hù)網(wǎng)絡(luò)釣魚(yú)及其他形式社會(huì)工程的相關(guān)知識(shí)。

(3)安全工具：提供垃圾郵件過(guò)濾、鏈接過(guò)濾、域名系統(tǒng)封鎖/過(guò)濾、病毒檢測(cè)和入侵檢測(cè)及防御。

(4)零信任框架：識(shí)別、驗(yàn)證和監(jiān)視每一個(gè)連接、登錄和資源使用。

(5)最小權(quán)限策略：限制用戶(hù)安裝和執(zhí)行軟件應(yīng)用的權(quán)限。

最小化勒索軟件的影響，不僅僅是保護(hù)系統(tǒng)免受攻擊，還涉及在事件發(fā)生時(shí)采取行動(dòng)以將影響限制在最小范圍內(nèi)。這一點(diǎn)非常關(guān)鍵，因?yàn)樗邢到y(tǒng)都可能被有充足時(shí)間和資源的攻擊者突破。

所以，必須安排堅(jiān)實(shí)的事件響應(yīng)(IR)項(xiàng)目。提前規(guī)劃能夠筑牢該IR能力的信心。為此，企業(yè)應(yīng)審查自身IR策略，并參與桌面推演。而且，企業(yè)還應(yīng)使用操作基準(zhǔn)來(lái)提升在事件發(fā)生前進(jìn)行響應(yīng)的能力。

黑客持續(xù)進(jìn)化，攻擊愈趨復(fù)雜。企業(yè)環(huán)境總有一天會(huì)被勒索軟件攻擊突破。當(dāng)這一切發(fā)生時(shí)，以下四招能幫您最小化影響并恢復(fù)企業(yè)數(shù)據(jù)。

招數(shù)一：隔離

在做任何事之前，首先確保將已感染設(shè)備移出網(wǎng)絡(luò)。如果是物理網(wǎng)絡(luò)連接，那就拔出網(wǎng)線。如果是無(wú)線連接，關(guān)閉無(wú)線路由器/無(wú)線集線器。同時(shí)，卸下所有直接掛載的存儲(chǔ)以拯救設(shè)備上的數(shù)據(jù)。這些措施的目標(biāo)都是防止感染擴(kuò)散。

招數(shù)二：識(shí)別

這招常被忽視。只需花費(fèi)幾分鐘時(shí)間查清到底發(fā)生了什么，企業(yè)就可以獲悉重要的信息，比如感染了哪一種勒索軟件、哪些文件通常容易遭勒索軟件加密，以及解密的選項(xiàng)。企業(yè)還有可能學(xué)會(huì)如何在不支付贖金，或無(wú)需從頭恢復(fù)系統(tǒng)的情況下，挫敗勒索軟件。

招數(shù)三：報(bào)告

這是被很多安全人員無(wú)視的又一招數(shù)，要么因?yàn)轭伱鏌o(wú)光，要么由于時(shí)間的限制。然而，通過(guò)報(bào)告勒索軟件攻擊，企業(yè)可以幫助其他公司避免類(lèi)似的情況。而且，他們也可以向司法機(jī)構(gòu)提供對(duì)攻擊者更好的了解。報(bào)告勒索軟件攻擊的途徑有很多。在美國(guó)可以聯(lián)系當(dāng)?shù)谾BI分支機(jī)構(gòu)，或者注冊(cè)FBI的互聯(lián)網(wǎng)犯罪投訴中心網(wǎng)站提交報(bào)告。聯(lián)邦貿(mào)易委員會(huì)的OnGuardOnline網(wǎng)站和澳大利亞競(jìng)爭(zhēng)與消費(fèi)者委員會(huì)的Scamwatch同樣收集此類(lèi)數(shù)據(jù)。

招數(shù)四：恢復(fù)

基本上，從勒索軟件攻擊中恢復(fù)有三個(gè)選項(xiàng)：

(1)支付贖金：這個(gè)選項(xiàng)并不推薦，因?yàn)椴槐ＷC企業(yè)在支付贖金之后能夠拿回?cái)?shù)據(jù)。相反，攻擊者可能在解密數(shù)據(jù)前要求更多的錢(qián)。

(2)清除勒索軟件：取決于所涉勒索軟件的類(lèi)型，企業(yè)有可能在無(wú)需完全重建的情況下清除勒索軟件。但這個(gè)過(guò)程可能相當(dāng)耗時(shí)，所以也不是優(yōu)先考慮。

(3)清理并重建：最簡(jiǎn)單、最安全的恢復(fù)方法就是清理受感染系統(tǒng)，從已知良好備份重建。重建后，公司企業(yè)需確保不留下勒索軟件的任何痕跡，防止再次被加密。一旦企業(yè)重建了環(huán)境，真正的工作就開(kāi)始了。此時(shí)，企業(yè)需執(zhí)行完整的環(huán)境審查，弄清感染到底是怎么開(kāi)始的，確定降低再被感染的可能性需采取什么措施。

將所有勒索軟件攻擊都擋在門(mén)外是不可能的。但在事件發(fā)生時(shí)阻止惡意軟件擴(kuò)散，防止影響業(yè)務(wù)，避免成為登上新聞?lì)^條的大事件，卻還是有可能的。

通過(guò)運(yùn)用動(dòng)態(tài)隔離、微分隔和其他現(xiàn)代網(wǎng)絡(luò)安全技術(shù)，擋住大部分攻擊，并快速應(yīng)對(duì)闖進(jìn)來(lái)的惡意黑客，公司企業(yè)將能保持業(yè)務(wù)正常運(yùn)轉(zhuǎn)，達(dá)成企業(yè)盈利目標(biāo)。

SSL證書(shū)同樣可以抵御網(wǎng)絡(luò)攻擊威脅

在未安裝SSL證書(shū)時(shí)，用戶(hù)和服務(wù)器之間的信息傳輸是明文的，容易被外界截取;而且對(duì)最終用戶(hù)來(lái)講，他們?cè)跒g覽服務(wù)器時(shí)，并不知道這個(gè)服務(wù)器、網(wǎng)頁(yè)是否真的存在，如果存在，信息是否真實(shí)可信。

在今天高速發(fā)展網(wǎng)絡(luò)世界，人們對(duì)于網(wǎng)絡(luò)的依賴(lài)越來(lái)越強(qiáng)。在今天高度脆弱的網(wǎng)絡(luò)市場(chǎng)，網(wǎng)絡(luò)安全尤其重要。

所以，SSL證書(shū)雖然看上去并不起眼，但用處卻不容小覷。對(duì)企業(yè)來(lái)說(shuō)，可以驗(yàn)明網(wǎng)站真身，減免流量損失，贏得用戶(hù)信賴(lài);同時(shí)，通過(guò)加密方式傳輸數(shù)據(jù)，有效保證了信息安全，尤其是用戶(hù)隱私、金融支付等敏感數(shù)據(jù);此外，對(duì)網(wǎng)站優(yōu)化、提升搜索權(quán)重也有裨益。