全面防御恶意软件与勒索软件攻击指南

本文详细介绍了防御恶意软件和勒索攻击的多层策略,包括定期备份、防止恶意软件传播、设备安全配置及事件响应计划。通过深度防御方法帮助组织降低感染风险并减少攻击影响,涵盖技术措施与管理实践。

缓解恶意软件和勒索软件攻击

如何保护组织免受恶意软件或勒索软件攻击。

本指南帮助公共和私营部门组织应对恶意软件(包括勒索软件)的影响。它提供了帮助组织预防恶意软件感染的措施,以及如果已经感染应采取的措施。

遵循本指南将降低:

  • 感染的可能性
  • 恶意软件在整个组织内的传播
  • 感染的影响

如果您已经感染了恶意软件,请参阅我们的紧急措施清单。对于最小化潜在损害的建议,小型组织应参考 NCSC 的小型企业指南。有关在家中保护设备的信息,请阅读我们专门为个人和家庭编写的指南。

本指南内容

  • 什么是恶意软件?
  • 应采取的措施
  • 如果组织已经感染应采取的步骤
  • 进一步建议

什么是恶意软件和勒索软件?

恶意软件是恶意软件,如果能够运行,可以通过多种方式造成损害,包括:

  • 导致设备被锁定或无法使用
  • 窃取、删除或加密数据
  • 控制您的设备以攻击其他组织
  • 获取允许访问您组织系统或您使用的服务的凭据
  • “挖掘”加密货币
  • 使用可能让您花钱的服务(例如高价电话呼叫)。

勒索软件是一种阻止您访问计算机(或存储在其中的数据)的恶意软件。计算机本身可能被锁定,或者其上的数据可能被窃取、删除或加密。一些勒索软件还会尝试传播到网络上的其他机器,例如 2017 年 5 月影响 NHS 的 Wannacry 恶意软件。

通常,您会被要求通过匿名电子邮件地址联系攻击者,或按照匿名网页上的说明进行付款。付款总是要求使用加密货币(如比特币),以解锁您的计算机或访问您的数据。然而,即使您支付了赎金,也不能保证您将能访问您的计算机或文件。

偶尔,恶意软件被呈现为勒索软件,但在支付赎金后文件并未解密。这被称为擦除器恶意软件。因此,始终保持最近的重要文件和数据的离线备份至关重要。

您应该支付赎金吗?

执法机构不鼓励、不认可也不宽恕支付赎金要求。如果您支付了赎金:

  • 无法保证您将能访问您的数据或计算机
  • 您的计算机仍然会被感染
  • 您将向犯罪团伙付款
  • 您未来更可能成为目标

攻击者还会威胁,如果不付款将发布数据。为了应对这一点,组织应采取 measures 以最小化数据泄露的影响。NCSC 的《保护批量个人数据指南》和《日志记录和保护性监控指南》可以在这方面提供帮助。

使用深度防御策略

由于无法完全保护您的组织免受恶意软件感染,您应采取“深度防御”方法。这意味着在每一层使用多层防御和多种缓解措施。您将有更多机会检测恶意软件,并在其对您的组织造成实际损害之前阻止它。

您应假设某些恶意软件会渗透到您的组织中,因此可以采取措施限制其可能造成的影响,并加快您的响应速度。

应采取的措施

您可以采取一些措施来帮助您的组织准备应对潜在的恶意软件和勒索软件攻击。

措施 1:定期备份

最新的备份是从勒索软件攻击中恢复的最有效方法,您应执行以下操作:

  • 定期备份您最重要的文件——这对每个组织都不同——检查您是否知道如何从备份中恢复文件,并定期测试其是否按预期工作。
  • 确保创建离线备份,将其与您的网络和系统分开保存在不同地点(理想情况下是异地),或专为此目的设计的云服务中,因为勒索软件会主动针对备份以增加付款的可能性。我们关于“在线世界中的离线备份”的博客为组织提供了有用的额外建议。
  • 使用不同的备份解决方案和存储位置创建文件的多个副本。您不应依赖单个可移动驱动器上的两个副本,也不应依赖单个云服务中的多个副本。
  • 确保包含备份的设备(如外部硬盘驱动器和 USB 闪存驱动器)不永久连接到您的网络。攻击者将针对连接的备份设备和解决方案,使恢复更加困难。
  • 您应确保您的云服务保护备份的先前版本不被立即删除,并允许您恢复到这些版本。这将防止您的实时数据和备份数据都变得不可访问——云服务通常在您的文件被加密副本替换后立即自动同步。
  • 在开始恢复之前,确保备份仅连接到已知干净的设备。
  • 在恢复文件之前扫描备份中的恶意软件。勒索软件可能已经在一段时间内渗透到您的网络,并在被发现之前复制到备份中。
  • 定期修补用于备份的产品,以便攻击者无法利用它们可能包含的任何已知漏洞。

在某些情况下,攻击者在进行勒索软件攻击之前销毁了复制的文件或破坏了恢复过程。理想情况下,备份帐户和解决方案应使用特权访问工作站(PAW)和硬件防火墙来保护,以强制执行 IP 允许列表。应启用多因素认证(MFA),并且 MFA 方法不应安装在用于备份管理的同一设备上。特权访问管理(PAM)解决方案消除了管理员直接访问高价值备份系统的需要。

措施 2:防止恶意软件传递并传播到设备

您可以通过以下组合降低恶意内容到达您设备的可能性:

  • 过滤以仅允许您期望接收的文件类型
  • 阻止已知恶意的网站
  • 主动检查内容
  • 使用签名阻止已知恶意代码

这些通常由网络服务而非用户设备完成。示例包括:

  • 邮件过滤(结合垃圾邮件过滤)可以阻止恶意电子邮件并删除可执行附件。NCSC 的 Mail Check 平台也可以帮助符合条件的组织进行此操作。请检查您的组织是否符合 Mail Check 的资格。
  • 拦截代理,阻止已知恶意网站
  • 互联网安全网关,可以检查某些协议(包括一些加密协议)中的内容以查找已知恶意软件
  • 网页浏览器内的安全浏览列表,可以阻止访问已知托管恶意内容的站点

鼓励符合条件的组织订阅 NCSC 保护性域名服务。这将阻止用户访问已知恶意站点。请检查您的组织是否符合 PDNS 的资格。

勒索软件越来越多地由通过暴露服务(如远程桌面协议(RDP))或未修补的远程访问设备获得远程访问权限的攻击者部署。为防止这种情况,组织应:

  • 如果不需要,禁用 RDP(如果您不确定是否正在运行 RDP,我们建议您注册 NCSC 的早期预警服务)
  • 在网络的所有远程访问点启用 MFA,并使用硬件防火墙强制执行 IP 允许列表
  • 使用符合 NCSC 建议的 VPN 进行远程访问服务;软件即服务或其他暴露于互联网的服务应使用单点登录(SSO),可以在其中定义访问策略(有关更多信息,请阅读我们关于保护管理接口的博客文章)
  • 使用最小权限模型提供远程访问——使用低权限帐户进行身份验证,并提供审核过程以允许用户在必要时在远程会话中提升其权限
  • 立即修补所有远程访问和外部面向设备中的已知漏洞(如有必要,请参考我们关于如何管理组织内漏洞的指南),并遵循供应商的修复指南,包括在提供新补丁后立即安装

遵循 NCSC 关于防止横向移动的指南,防止恶意软件在组织内传播。您还应:

  • 使用 MFA 对用户进行身份验证,以便如果恶意软件窃取凭据,它们不能被轻易重用
  • 确保过时平台(操作系统和应用程序)与网络其余部分适当隔离——请参考 NCSC 关于过时平台的指南以获取更多详细信息
  • 定期审查并移除不再需要的用户权限,以限制恶意软件的传播能力
  • 确保系统管理员避免使用其帐户进行电子邮件和网页浏览(以防止恶意软件能够以其高系统权限运行)
  • 实践良好的资产管理,包括跟踪设备上安装的软件版本,以便快速定位安全更新
  • 保持设备和基础设施的补丁更新,尤其是网络边界上的安全执行设备(如防火墙和 VPN 产品)

措施 3:防止恶意软件在设备上运行

“深度防御”方法假设恶意软件将到达您的设备。因此,您应采取步骤防止恶意软件运行。所需的措施因设备类型、操作系统和版本而异,但通常应寻求使用设备级安全功能。组织应:

  • 集中管理设备,以便仅允许企业信任的应用程序在设备上运行,使用包括 AppLocker 在内的技术,或从受信任的应用商店(或其他受信任位置)运行
  • 考虑企业防病毒或反恶意软件产品是否必要,并保持软件(及其定义文件)最新
  • 向您的员工提供安全教育和意识培训,例如 NCSC 的员工顶级提示
  • 禁用或约束脚本环境和宏,通过:
    • 通过用户模式代码完整性(UMCI)策略强制执行 PowerShell 约束语言模式——您可以使用 AppLocker 作为 UMCI 的接口来自动应用约束语言模式
    • 保护您的系统免受恶意 Microsoft Office 宏的侵害
  • 禁用挂载媒体的自动运行(如果不需要,防止使用可移动媒体)

此外,攻击者可以通过利用设备中的漏洞强制其代码执行。通过保持设备良好配置和最新状态来防止这种情况。我们建议您:

  • 在安全更新可用后立即安装,以修复产品中的可利用错误
  • 如果可能,为操作系统、应用程序和固件启用自动更新
  • 使用最新版本的操作系统和应用程序以利用最新的安全功能
  • 配置基于主机和网络的防火墙,默认不允许入站连接

NCSC 的设备安全指南提供了如何在各种平台上实现这一点的建议。

措施 4:为事件做准备

恶意软件攻击,尤其是勒索软件攻击,可能对组织造成毁灭性影响,因为计算机系统不再可用,并且在某些情况下数据可能永远无法恢复。如果恢复是可能的,可能需要几周时间,但您的企业声誉和品牌价值可能需要更长的时间来恢复。以下将帮助确保您的组织能够快速恢复。

  • 识别您的关键资产,并确定如果这些资产受到恶意软件攻击的影响会产生的后果。
  • 为攻击做计划,即使您认为不太可能发生。有许多组织受到附带恶意软件影响的例子,即使它们不是预定目标。
  • 制定内部和外部沟通策略。重要的是,正确的信息及时传达给正确的利益相关者。
  • 确定您将如何响应赎金要求和您组织数据被发布的威胁。
  • 确保事件管理 playbook 和支持资源(如检查表和联系方式)在您无法访问计算机系统时可用。
  • 识别您在向监管机构报告事件方面的法律义务,并了解如何处理此事。
  • 演练您的事件管理计划。这有助于澄清员工和第三方的角色和职责,并优先考虑系统恢复。例如,如果广泛的勒索软件攻击意味着需要完全关闭网络,您将不得不考虑:
    • 从映像恢复所需的最少设备数量并重新配置使用需要多长时间
    • 您将如何重建任何虚拟环境和物理服务器
    • 需要遵循哪些流程从备份解决方案恢复服务器和文件
    • 如果现场系统和云备份服务器不可用,并且您需要从离线备份重建,需要遵循哪些流程
    • 您将如何继续运营关键业务服务

事件发生后,修订您的事件管理计划,包括吸取的教训,以确保同一事件不能以相同的方式再次发生。

NCSC 的免费 Exercise in a Box 在线工具包含用于设置、计划、交付和演练后活动的材料。

如果组织已经感染应采取的步骤

如果您的组织已经感染了恶意软件,这些步骤可能有助于限制影响:

  • 立即将受感染的计算机、笔记本电脑或平板电脑从所有网络连接(有线、无线或移动电话)断开。
  • 在非常严重的情况下,考虑关闭 Wi-Fi、禁用任何核心网络连接(包括交换机)以及断开与互联网的连接是否必要。
  • 重置凭据,包括密码(尤其是管理员和其他系统帐户)——但验证您不会将自己锁定在恢复所需的系统之外。
  • 安全擦除受感染的设备并重新安装操作系统。
  • 从备份恢复之前,验证其不含任何恶意软件。只有当您非常确信备份和您要连接的设备是干净的时,才应从备份恢复。
  • 将设备连接到干净的网络以下载、安装和更新操作系统及所有其他软件。
  • 安装、更新并运行防病毒软件。
  • 重新连接到您的网络。
  • 监控网络流量并运行防病毒扫描以识别是否还有任何感染残留。

NCSC 联合发布了一份咨询报告:《发现和补救恶意活动的技术方法》,提供了有关修复过程的更详细信息。

注意

被大多数勒索软件加密的文件通常无法由攻击者以外的任何人解密。然而,“No More Ransom Project”提供了来自主要反恶意软件供应商的解密工具和其他资源的集合,可能有所帮助。

进一步建议

有大量的进一步阅读材料和服务可以帮助您保护组织免受恶意软件和勒索软件攻击。

报告

网络安全事件可以通过访问 https://report.ncsc.gov.uk/ 向 NCSC 报告。我们也鼓励向 Action Fraud 网站报告。

网络事件响应

NCSC 运行一个名为“网络事件响应”的商业计划,经过认证的公司向受影响的组织提供支持。

Cyber Essentials

您可能还希望考虑 Cyber Essentials 认证计划(涵盖了许多这些缓解措施),以便您的客户和合作伙伴可以看到您已经解决了这些风险。许多这些缓解措施也适用于其他类型的攻击,如网络钓鱼。

额外指南

遵循 NCSC 关于保护组织免受网络钓鱼攻击的指南。

大型组织/企业应参考 NCSC 的设备安全指南。

主题

  • 恶意软件
  • 勒索软件
  • 漏洞
  • 事件管理
  • 缓解措施
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次