降低成功感染勒索软件的风险

信息安全 恶意软件 勒索软件
2021-08-29 02:27:10

我工作的公司最近受到了大量极其复杂的勒索软件垃圾邮件的打击,人们伪装成顾问、客户、非常具体的公司要求等。即使我们每天进行离线备份,即使我们有企业端点保护通过卡巴斯基,我担心有一天会有人从裂缝中溜走并严重损害我们。以下是我们已经采取的一些缓解措施:

  • 告诉人们他们不应该打开可疑的电子邮件附件,并谨慎行事。
  • 将所有网络共享的访问限制在需要知道的基础上
  • 在我们的交换服务器中自动剥离 .exe .rar 和 .zip 文件

尽管如此,尽管如此,垃圾邮件越来越好,我们的卡巴斯基几乎每天都必须阻止感染。我们的员工大多是办公室人员,所以他们中的大多数人对发生的事情知之甚少,这是可以理解的。我们还能做些什么来降低风险?

3个回答

有不同的方法可以解决这个问题,包括:

  • 减轻感染
  • 更好地过滤电子邮件
  • 教育用户

由于您的问题是关于减轻感染的,我将保持其他部分简短。

过滤电子邮件

问题不仅在于附件,还在于可能直接攻击电子邮件客户端或包含欺诈性链接的 html 电子邮件。

根据业务的不同,此方法可能适用也可能不适用:

结合附件检查和SPF和/或DKIM部署灰名单例如

那个发件人对我来说是新的——它有一个附件。如果无法验证 DKIM 签名,我不会让这个通过。

降低风险

同样,这取决于您的业务。如果没有使用(和写入)大量数据,这可能是一种可能性:

每个登录会话都有一个“暂存区”——例如,“文档”目录是唯一对用户具有写访问权限的目录。

然后,他们可能会在那里写入新文件(或打开只读的旧文件并对其进行编辑)——沙箱获取然后通过注销脚本迁移到永久存储,将权限更改为只读。

这样做的问题是:如果恶意软件使用特权升级,它就有可能改变权限并无论如何加密。

这里还有另一个问题(由我提出)对写访问有更高的要求,也许对你有帮助。

关键是要尽可能地限制写访问——可能会通过手动向系统管理员请求权限来引入一些组织开销,但可以最大限度地减少可能造成的损害。

正如 FerryBig 在评论中指出的那样:当然,所有软件都应始终保持最新状态(经过验证的更新),并且不应使用已停产或已知具有未修复漏洞的软件(看着你,快闪! )。

用户教育

基本上,即使看起来不可疑的文件附件也是一个坏主意。

一般的经验法则是不要打开非预期的附件。交叉引用这个关于恶意软件感染的答案,也 - 不幸的是,我也是。

Windows 上加密勒索软件(公认是 PITA)的标准解决方案是通过组策略(软件限制策略或 Applocker)阻止从用户%APPDATA%目录树和系统位置执行。%TEMP%设置默认拒绝规则后,您需要将环境中使用这些目录的合法应用列入白名单。

至少到目前为止,所有四个主要的 crytpo 勒索软件系列都从%APPDATA%or执行%TEMP%,这使得从那里阻止执行成为最简单、最有效的解决方案。我还没有看到一个加密恶意软件通过这些政策,而且已经有好几年了。

过滤电子邮件是处理勒索软件的一种偶然策略,因为这些天来这些活动的主要攻击媒介是恶意广告。值得一提的是,大约 5 年前,当勒索软件第一次成为一件大事时,我在一家大公司工作,做着和你现在一样的事情——电子邮件过滤、适当的备份、端点 AV,甚至是网络过滤器/代理,但我们仍然每隔几周左右就会受到其中一个的打击。唯一有效的是默认阻止从%APPDATA%.

从您的问题中我可以看出,Windows 目前是贵公司使用的主要操作系统。

您可以更改为 GNU/Linux 作为您公司所有计算机上运行的操作系统。GNU/Linux 上成功的勒索软件很少,而且未来也不可能有很多。一般来说,病毒和恶意软件也是如此。恶意软件开发人员可能对该平台不太感兴趣。此外,该平台通常比 Windows 更安全。如果您的同事有他们必须运行(甚至更喜欢)的 Windows 软件(Microsoft Office 等) ,您可以通过Wine或为他们安装它VirtualBox我自己最近在 Ubuntu 14.04 上为一个不精通的朋友安装了 Microsoft Office,它运行完美。葡萄酒前端PlayOnLinux使安装许多程序成为梦想。我以这种方式安装的其他软件包括 Adob​​e Photoshop 和 Adob​​e Lightroom。而且,VirtualBox可以运行完美的Windows虚拟化,与Windows软件完美兼容。VirtualBox是免费的,并且您的公司已经拥有在其中合法使用 Windows 所需的 Windows 许可证。

这也将为您节省很多钱。为了获得最大的安全性,您仍然可以采取许多以前采取的一般预防措施。

现在有几个非常用户友好的 GNU/Linux 发行版,它们对用户非常友好,非常适合非精通用户,例如典型办公环境中的普通员工。Linux Mint 是众多可能性之一,因为它的 GUI 有点类似于员工可能习惯的 Windows。

可以说,一个对用户更友好的选择是切换到 OS X。但是,为整个公司购买所有 Apple 硬件将花费巨额开支。在您当前的硬件上运行 OS X 属于法律的灰色地带,所以在没有先咨询法律专家的情况下不要考虑这一点。此外,这些装置本身需要技术专长,并且可能充满挑战。此外,即使这样也会有些昂贵,因为您在法律上仍然必须为每台计算机购买一份 OS X。此外,OS X 已确认有勒索软件案例最近。平台的采用率越高,恶意软件作者就越有可能以平台为目标。无论如何。OS X 对用户更加友好,并且拥有更大的软件生态系统(主要是付费应用程序,再次增加了您的费用)。

总而言之,我建议您将整个办公室转移到 GNU/Linux。或者,如果你不关心我描述的缺点,OS X。

其它你可能感兴趣的问题
上一篇发短信密码重置链接而不是代码 下一篇在调试模式下,应用程序后端是否可能会记录敏感的客户数据?