針對(duì)中小型企業(yè)的勒索軟件保護(hù)措施
中小型企業(yè)遵循國(guó)際安全與技術(shù)研究所提出的40項(xiàng)保護(hù)措施����,將有助于免受勒索軟件和其他惡意軟件的攻擊。
國(guó)際安全與技術(shù)研究所(IST)日前發(fā)布了“勒索軟件防御藍(lán)圖”。該指南包括針對(duì)中小型企業(yè)(SMB)的防御措施的建議�,以防范和應(yīng)對(duì)勒索軟件和其他常見(jiàn)網(wǎng)絡(luò)攻擊。它側(cè)重于與國(guó)際標(biāo)準(zhǔn)與技術(shù)研究所(NIST)網(wǎng)絡(luò)安全框架一致的識(shí)別�、保護(hù)、響應(yīng)和恢復(fù)格式��。其指南并不包括國(guó)際標(biāo)準(zhǔn)與技術(shù)研究所(NIST)框架中的一項(xiàng):檢測(cè)功能��。報(bào)告建議中小型企業(yè)應(yīng)與網(wǎng)絡(luò)安全服務(wù)提供商合作����,以實(shí)現(xiàn)這一功能。
這些建議是圍繞保障措施制定的�,包括14項(xiàng)基礎(chǔ)保障措施和26項(xiàng)可操作的保障措施。
識(shí)別網(wǎng)絡(luò)上內(nèi)容的安全措施
國(guó)際安全與技術(shù)研究所推薦以下基本保護(hù)措施���,以幫助確定中小型企業(yè)網(wǎng)絡(luò)上需要保護(hù)的內(nèi)容:
中小型企業(yè)可能需要更多指導(dǎo)來(lái)了解其計(jì)算機(jī)和軟件帶來(lái)的風(fēng)險(xiǎn)。許多人使用較舊的技術(shù)�����,因?yàn)樗顷P(guān)鍵業(yè)務(wù)線應(yīng)用程序所需要的����。中小型企業(yè)只是清點(diǎn)自己的資產(chǎn)是不夠的;需要評(píng)估所面臨的風(fēng)險(xiǎn),因?yàn)槿栽谑褂门f資產(chǎn)和舊軟件����。
可操作的保障措施是確保支持授權(quán)軟件。
保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的保障措施
接下來(lái)的建議包括如何保護(hù)這些資產(chǎn):
建立和維護(hù)安全的配置過(guò)程���。
建立和維護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全配置過(guò)程��。
建立訪問(wèn)授權(quán)流程���。
建立訪問(wèn)撤銷流程��。
建立和維護(hù)漏洞管理流程�����。
建立和維護(hù)補(bǔ)救過(guò)程。
建立和維護(hù)安全意識(shí)計(jì)劃���。
中小型企業(yè)中的工作站使用不安全的密碼��,或者沒(méi)有為內(nèi)部部署訪問(wèn)和遠(yuǎn)程訪問(wèn)提供適當(dāng)?shù)谋Wo(hù)�����。網(wǎng)絡(luò)攻擊者通常通過(guò)遠(yuǎn)程桌面訪問(wèn)或破解網(wǎng)絡(luò)上相同的本地管理員密碼進(jìn)入�。更糟糕的是���,當(dāng)用戶沒(méi)有使用適當(dāng)?shù)木W(wǎng)絡(luò)訪問(wèn)權(quán)限時(shí)����。中小型企業(yè)通常設(shè)置有域管理員權(quán)限���,并查看如何部署密碼�,無(wú)論是否擁有傳統(tǒng)的域和工作站設(shè)置或云計(jì)算和Web應(yīng)用程序��,需要查看多因素身份驗(yàn)證選項(xiàng)�����。
接下來(lái),查看如何管理和修補(bǔ)計(jì)算資源��。僅依靠Windows Update來(lái)管理計(jì)算機(jī)系統(tǒng)上的更新是不夠的���。需要查看維護(hù)和部署更新的選項(xiàng)��。
培訓(xùn)員工不要點(diǎn)擊不明來(lái)源的鏈接是保護(hù)網(wǎng)絡(luò)的方法之一�。無(wú)論采取何種保護(hù)措施�����,好的防御措施是受過(guò)安全教育的最終用戶不會(huì)點(diǎn)擊鏈接并詢問(wèn)是否合法��。即使企業(yè)沒(méi)有正式的網(wǎng)絡(luò)釣魚培訓(xùn)計(jì)劃��,也要確保用戶了解欺詐和攻擊�����。
正如白皮書所指出的:“勒索軟件具有多種初始感染媒介��,有三種媒介造成了大部分入侵嘗試:一是使用遠(yuǎn)程桌面協(xié)議(RDP)��,這是一種用于遠(yuǎn)程管理Windows設(shè)備的協(xié)議����。二是網(wǎng)絡(luò)釣魚(通常是來(lái)自信譽(yù)良好的惡意電子郵件源,但旨在竊取憑據(jù)或敏感信息)���,三是利用軟件漏洞��。強(qiáng)化資產(chǎn)�����、軟件和網(wǎng)絡(luò)設(shè)備可以抵御這些頂級(jí)攻擊媒介�,并彌補(bǔ)可能因不安全的默認(rèn)配置而存在的安全漏洞��。如果無(wú)法禁用/刪除默認(rèn)帳戶���、更改默認(rèn)密碼和/或更改其他易受攻擊的設(shè)置�,則會(huì)增加被網(wǎng)絡(luò)攻擊利用的風(fēng)險(xiǎn)��。本節(jié)中的保障措施要求中小型企業(yè)在服務(wù)器上實(shí)施和管理防火墻�,并管理企業(yè)網(wǎng)絡(luò)和系統(tǒng)上的默認(rèn)帳戶?���!?/span>
推薦的可行保護(hù)措施是:
管理企業(yè)資產(chǎn)和軟件的默認(rèn)帳戶�����。
使用唯一的密碼�����。
禁用休眠帳戶���。
將管理員權(quán)限限制為專用管理員帳戶。
對(duì)于外部公開(kāi)的應(yīng)用程序需要多因素身份驗(yàn)證�。
需要多因素身份驗(yàn)證才能進(jìn)行遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)。
需要多因素身份驗(yàn)證才能進(jìn)行管理訪問(wèn)��。
執(zhí)行自動(dòng)化的操作系統(tǒng)補(bǔ)丁管理。
執(zhí)行自動(dòng)化的應(yīng)用程序補(bǔ)丁管理。
僅使用完全支持的瀏覽器和電子郵件客戶端�。
使用DNS過(guò)濾服務(wù)��。
確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施是最新的�。
部署和維護(hù)反惡意軟件��。
配置自動(dòng)反惡意軟件簽名更新�。
禁用可移動(dòng)媒體的自動(dòng)運(yùn)行和自動(dòng)播放。
培訓(xùn)員工識(shí)別社交工程攻擊。
培訓(xùn)員工識(shí)別和報(bào)告安全事件�。
事件響應(yīng)的保障措施
中小型企業(yè)經(jīng)常忽略有關(guān)事件響應(yīng)的下一組建議:
企業(yè)通常希望他們的系統(tǒng)在安全事件發(fā)生后盡快恢復(fù)到正常水平�,因此不確定一些中小型企業(yè)是否會(huì)建立一個(gè)報(bào)告事件的流程。在此給出的建議是調(diào)查一種云計(jì)算服務(wù)��,該服務(wù)會(huì)累積并提醒網(wǎng)絡(luò)上的異常事件��。如果不了解日志記錄試圖告訴的內(nèi)容���,那么只是進(jìn)行日志記錄是不夠的�。提供一種服務(wù)��,能夠關(guān)聯(lián)這些事件并提醒潛在的問(wèn)題����。
事件響應(yīng)的可行保障措施包括:
在遭遇網(wǎng)絡(luò)攻擊后恢復(fù)的保障措施
勒索軟件可以采用備份很容易地克服這個(gè)過(guò)程���。該框架建議的基本保障是建立和維護(hù)一個(gè)數(shù)據(jù)恢復(fù)過(guò)程���。以下是建議的恢復(fù)保障措施:
中小型企業(yè)可能沒(méi)有考慮或測(cè)試他們的恢復(fù)流程�。備份可能無(wú)法正常工作�,或者在勒索軟件的情況下,沒(méi)有從網(wǎng)絡(luò)對(duì)重建的立場(chǎng)進(jìn)行測(cè)試���。
藍(lán)圖文檔包括推薦工具和資源的鏈接���。對(duì)于沒(méi)有IT經(jīng)驗(yàn)的中小型企業(yè)來(lái)說(shuō),制定這些工具清單可能會(huì)令人生畏�,所以也建議使用這些工具來(lái)檢查顧問(wèn)使用的工具。討論他們使用什么流程�,看看他們是否有可比較的資源。
可采取行動(dòng)的恢復(fù)保障措施包括:
來(lái)源:企業(yè)網(wǎng)D1Net
