系统被黑只是时间问题?即使如此还是有办法来延缓勒索软件的攻击。我们在第一部分《免遭勒索软件侵害必备技能之:换位思考》中介绍,对于盛行的勒索软件,你需要换位思考:如果病毒感染了用户的计算机,它会在什么账号下发作?是用户的域帐户?本地管理员的帐户,还是系统帐户和网络帐户?专家TREVOR POTT给出了自己的答案。
本文为第二部分,更多专家将介绍防止Windows用户数据被恶意加密的两种方式以及企业级PowerShell环境对勒索软件产生的影响。
勒索软件体现出恶意软件对企业级IT领域不断变化的威胁。病毒具备很高传染性却没有什么危害的日子已经过去了。我们当前所面临的,是借助网络钓鱼和勒索软件来引诱用户点击恶意链接的混合式攻击。
需要强调的是,面对勒索软件,信息安全深度防御的宗旨日渐前沿和重要。因为从很久之前开始,当恶意邮件到达用户的收件箱,一系列的安全措施便能够审查和隔离疑似或已知的安全威胁。在很多案例中,这些安全措施包括反病毒和反垃圾邮件。但越来越多的IT组织也利用DNS扫描、URL过滤和威胁建模的产品作为传统的安全措施的补充。
当然,深度防御可以从周边开始,但它总是到桌面端完成。那么,在Windows环境中,如何才能防止用户数据被恶意加密呢?让我们来讨论一下可以起到作用的两种实践操作:最小特权原则以及良好备份的重要性。
最小特权原则
用户遭到勒索,无法访问本地工作站的个人文件,这简直糟透了。但是,当用户有许多映射网络驱动器可访问数据属于工人的数据时,后果可能更加不堪设想。想限制住被勒索软件感染个体所造成的损害,需要控制访问级别,只允许用户访问他们需要的数据。在许多案例中,用户只需要在映射的驱动器上读取共享文档的访问权限。
当拥有只读权限的用户被勒索软件感染,恶意软件将无法加密这些文件。要知道,恶意软件感染一般运行在用户登录环境中,因此,如果用户无权修改文件,由于感染的恶意软件运行在用户的桌面端,这将很大程度上阻止它加密文件。是的,管理文件和共享权限的过程是耗时和重复的。不过,你是否愿意处理隔离系统后内部的问题,并尝试从攻击中恢复文件?
新的防御机制?良好的备份机制
如果你的防御体系未能阻止勒索软件感染,那要怎么办?感染已然发生。从备份和恢复的角度来看,这些事件与文件丢失关系不大,主要事关文件的恢复。一份没有可靠恢复计划做基础的可靠的备份计划是无从谈起的。为了清晰起见,我所认为的“可靠”是指通过网络无法访问的内部数据副本的备份方式。如果勒索软件突破了你的防御,这些副本也处于加密状态,并可被丢弃。
可靠的备份是指那些至少每天进行一次并存储在安全的网络位置的备份,且用户无法直接访问。如果你保持每星期进行多次备份或更加频繁的备份习惯,应该给自己加分,因为部分勒索软件的感染可能需要几天才能被发现。你一定不会选择,成功备份加密数据的周期要比数据保留周期还长这样费力的办法。
勒索软件是利用你网络中信息安全的漏洞为自己牟利的恶意软件,它同时也暴露了你的操作失误。禁止不必要的用户访问,并建立更强大的备份存储过程,把重要的数据的周围布置一条虚拟的“护城河”,并防止黑客劫持我们的业务。
欲了解更多观点,请访问Michael Stump的个人页面。
勒索软件的最新趋势是引诱受害者打开嵌入宏的微软Word文档,打开文档的同时宏被启用并被允许运行。一旦执行,应用宏程序调用Visual Basic通常隐藏的Windows PowerShell控制台,绕过它的脚本执行策略并下载或运行恶意PowerShell脚本。这种情况很糟糕,因为PowerShell能够进行高权限的管理任务,包括对受害者的硬盘驱动器进行加密。
为修复这一威胁,我希望已安装的微软Office的企业修改默认的宏执行策略规则。默认情况下,用户需要在打开的Office文档中明确地允许宏的运行。
当然,这一策略的关键是做好用户端的宣贯。企业用户应该抵制盲目的绕过安全控制的主张;毕竟,Microsoft Word仅需用户轻轻点击鼠标便可运行宏(从而导致宏有关安全问题)。
在用户宣贯和激活安全控件方面——同样的建议也应用到企业级的Windows PowerShell环境。如今所有的Windows计算机都已经安装PowerShell;默认情况下,Windows PowerShell脚本执行在客户端计算机上是禁用状态。此外,PowerShell脚本文件的扩展名是.ps1,该后缀与Windows记事本关联;这意味着当双击一个PowerShell脚本文件时,打开的是文件而不是执行代码的编辑。
尽管如此,绕过PowerShell脚本执行的策略还是很容易的,因此我们应该回到要求我们的用户在从不可信的信息源接收到文件时注意鉴别——这一更加重要的原则上来。
本文转自d1net(转载)
