首页 / 资源 / 新闻及趋势 / 澳门赌场官方软件 / 2021 / 保护您的组织免受勒索软件侵害

保护您的组织免受勒索软件侵害

杰西·费尔南德斯
作者: 杰西·费尔南德斯,CISA, CISSP, GCED, GCIH, GPEN, GSEC, GSLC
发表日期: 2021年10月4日

新闻上似乎一直在讨论勒索软件. 在过去的几个月里,关于勒索软件的新闻报道似乎比过去几年还要多. 所有这些关注对网络安全行业来说都是好事, 然而, 重要的是要准备好回答有关如何减轻成功的勒索软件攻击的影响的棘手问题,因为攻击变得更广泛只是时间问题.

勒索软件以前针对的是个人,而不是大型组织. 攻击者通常会向个人勒索数百美元以换取他们的数据. 在过去,如何减轻勒索软件的标准答案是有良好的备份. 不幸的是,拥有好的备份已经不够了. 攻击者现在正在实施三管齐下的方法,其中包括:

  1. 加密数据和备份
  2. 泄露所述数据
  3. 发起拒绝服务(DoS)攻击

现在, 对手只需要说, “如果你不付赎金, 我们将向公众公布你的数据, 永远不要向您提供解密密钥并发动DoS攻击以使您的系统崩溃.这可以通过使用多个控制来保护组织,作为纵深防御策略的一部分来避免, 这意味着要实施良好的网络安全实践并相应地设计系统. 幸运的是, 组织可以实施一些对策来对抗这种持续的威胁.

保持系统更新

当网络安全漏洞被供应商修复时, 攻击者澳门赌场官方下载开始对更新进行逆向工程并开发网络攻击. 攻击者知道给系统打补丁既困难又耗时,他们指望能够利用未打补丁的漏洞来获得或维持在组织中的立足点.

实现白名单技术

使用白名单技术1 大大提高了对手的门槛,并可能帮助组织避免被妥协. 这些技术只允许在系统上加载经过批准的软件, 这有助于阻止恶意软件,如勒索软件被安装在系统上, 因为恶意软件不在批准的白名单上.

实施电子邮件保安技术

攻击者通过电子邮件向他们的目标发送网络钓鱼活动,这样员工就可以在不知情的情况下感染他们自己组织的系统. 然而, 拥有电子邮件安全技术的组织可以检测嵌入的恶意软件或检查链接. 不幸的是, 一些攻击者通过谷歌重定向恶意链接,以欺骗系统,使其认为该链接指向谷歌而不是恶意链接. 虽然电子邮件安全技术可能不是万无一失的, 它们是攻击者必须突破的另一个安全层,以破坏组织的系统. 组织还必须确保在电子邮件系统中阻止可执行文件.

更新恶意软件扫描器

恶意软件扫描器可以帮助组织避免受到威胁. 尽管这是攻击者和恶意软件供应商之间的猫捉老鼠游戏, 后者擅长更新他们的恶意软件扫描器.

为管理员访问实现多因素身份验证

使用多因素身份验证(MFA)保护管理员帐户是另一层保护. 服务帐户也可能受到攻击, 因此,确保密码非常难以猜测,并监控所述帐户的使用是很重要的.

实施良好的访问控制

确保在您的组织中实现强大的访问控制非常重要. 如果用户只能访问他们需要的内容, 然后,它可以确保一个受损的帐户不足以让攻击者实现他们用勒索软件加密数据和/或备份并泄露组织数据的目标.

部分网络

对网络中更敏感的部分实施防火墙和强访问控制(包括MFA访问). 这使得攻击系统变得更加困难,并为安全团队提供了更多时间来检测折衷方案.

有好的和安全的备份吗

勒索软件可以并且确实会感染备份, 特别是通过持久同步进行实时或云备份. 也就是说,组织也应该有物理备份.

遵循数据

如果数据存储在多个不安全的位置,那么所有这些安全性或分段都没有什么价值, 例如网络共享, 对手可以妥协. 一个人只能确保他们所知道的, 所以网络应该被扫描,数据应该被跟踪.

实施网络欺骗技术

利用蜜罐/令牌/帐户可以帮助检测正在进行的攻击, 因为攻击者天生好奇. 记住,这是你的网络,你应该比攻击者更了解你的网络.

确保你能发现对手

安全团队必须能够检测对手(参见上面的网络欺骗)。. 即使欺骗技术不起作用,团队仍然需要能够看到被泄露的数据. 如果系统在组织的工作时间之外连接到互联网协议(IP)地址, 这种访问仍然需要能够被阻止. 如果泄露发生在办公时间,安全团队需要能够找到它. 大多数组织直到几个月或几年后才发现网络攻击(如果有的话),这是不可接受的.

检测可能是成百上千的泄露记录之间的区别,这些记录会成为新闻. 查找您的系统在不寻常的时间段内连接的ip, 接收大量数据或建立异常大量的连接. 安全团队还应该寻找网络上的任何性能问题. 这些都是有问题的迹象.

例如,一个组织的网络很慢,这通常是妥协的标志. 事实证明,域控制器直接连接到该组织供应商的一个受损IP(攻击者使用了美国知名供应商的IP)。. 对手被从网络中移除,但损害已经造成. 安全团队涉众无法相信这样的攻击会发生在他的中型组织中, 但它可以——而且确实如此. 幸运的是, 澳门赌场官方下载没有太多的监管数据, 因为它是制造业的一部分. 早在慢速网络问题被识别和修复之前,这种攻击就应该被检测到.

结论

每个人都需要更好地探测对手. 保护组织免受勒索软件侵害需要一种严格的方法,旨在使对手的任务更加困难. 虽然可以采取一些措施来更好地保护组织, 仍然应该假设一个组织将受到损害,并且组织应该能够在造成重大损害之前检测到对手. 这可能是不引起新闻的违规行为与造成数百万美元损失或瘫痪网络的行为之间的区别.

尾注

1 美国国家标准与技术研究院, 特殊的出版物 800-167:应用程序白名单指南2015年10月,美国

杰西·费尔南德斯,CISA, CISSP, GCED, GCIH, GPEN, GSEC, GSLC

高级信息系统审核员是否具有18年以上的安全技术经验, 风险管理, 通信与网络安全, 以及身份和访问管理. 他曾在内部审计师协会(IIA)等主要行业协会发表演讲。, ISACA®,信息系统安全协会(ISSA)和SANS研究所. 费尔南德斯还研究网络安全威胁,并作为顾问为组织提供专业的网络安全服务 http://www.PurpleCy.com. 他擅长为大型澳门赌场官方下载和小型澳门赌场官方下载寻找具有成本效益的解决方案.