反勒索软件指南著肖文棣译关于是一个非盈利性教育慈善机构致力于使组织机构能够设计开发获取运营和维护安全的软件所有的工具文档论坛和区域分会都是免费的并对任何有兴趣提高应用程序安全性的人士开放我们的网站是是一个新型组织我们没有商业压力使得我们能够提供无偏见实用低成本的应用安全信息不隶属于任何技术公司和许多开源软件项目一样以一种协作开放的方式制作了许多不同种类的材料基金会是确保项目长期成功的非营利性组织关于中国中国是安全组织在中国区域的分部是全球个区域分部之一中国成立于年在过去年的发展历程中中国已在国内形成了超过个子区域包括北京上海广东广西浙江江苏陕西山西四川吉林辽宁黑龙江等区域并吸引了超过名行业专家成为中国区会员家国内企业成为中国企业会员单位家高等院校成为中国学术支持单位中文版说明本文档基于译制完成对于翻译中存在的错误敬请指正如有任何意见或建议可联系我们邮箱肖文棣译中国广东分会负责人现任晨星资讯深圳有限公司安全架构师拥有年的专业领域经验在多个安全领域有丰富的经验曾应邀在多个平台如峰会安全加漏洞盒子等做项目相关的分享并参与和领导多个中国项目目录一概述二边界保护防火墙代理服务器过滤器过滤器远程访问沙盒三网络防御沉洞网络分段虚拟机分段网络入侵检测系统四终端保护完全修补和更新不安装不必要的应用程序和服务无管理权限防病毒软件下一代防病毒软件基于主机的入侵检测防御系统过滤器过滤禁止对宏的支持软件限制策略应用程序锁文件禁用访问虚拟桌面基础架构本地管理员密码解决方案应用程序沙箱禁用受控文件夹访问重命名五服务器文件权限卷影副本虚拟机快照数据清单六和日志管理七备份备份和恢复计划存储快照脱机备份备份和恢复测试八安全意识培训九物联网恶意软件不使用默认凭据账户锁定固件的备用副本备份配置受限管理界面更新机制十漏洞管理十一威胁获取威胁情报十二事件响应事件响应计划事件模拟数据恢复保险致谢一概述打开任何报纸或新闻网站医院勒索赎金正成为一个越来越普遍的标题虽然医院和其他组织通常都有停机程序让他们可以重新回到纸面上处理停电和其他灾难但是由于有人点击了恶意链接或打开了一个可疑的电子邮件附件就导致整个组织的基础架构全部停止运行这仍然是一个噩梦此外许多组织都有大量的遗留系统而这些系统使安全成为一项挑战并且在非常基本的安全规定之外这些组织往往也没有一种高度重视信息安全的企业文化这使得许多组织在如何处理勒索软件攻击上举步维艰以下内容旨在作为一个全面的纵深防御检查表和指南防止勒索软件在您的组织中站稳脚跟并确保有适当的程序来处理您的环境中的实际勒索软件的爆发鉴于系统作为勒索软件目标的普遍性本指南面向环境但其设计与产品无关请注意清单的设计是全面的因此并非所有控制措施都适用于所有环境二边界保护这是你的第一道防线因为在威胁进入你的任何系统或员工之前阻止它总是很理想的防火墙虽然对于大多数组织来说外围防火墙可能已经就位但重要的是要验证你的防火墙是否配置为出口过滤和入口过滤入口过滤控制允许哪些通信进入组织的网络而出口过滤控制允许哪些通信离开组织的网络出入口访问控制都应该基于最小权限原则应阻止不需要访问外部信息源和系统的系统与外部实体通信一个无法访问任何外部实体的系统比一个连接互联网的系统更不可能成为恶意软件的入口此外如果发生勒索软件感染如果适当的出口过滤到位它将无法回调它预置的地址另外还应为防火墙打开日志记录因为记录到已知恶意地址的重复访问尝试可以作为问题的指示器组织可能还想考虑在其防火墙中阻止勒索软件跟踪程序域阻止列表中包含的域代理服务器过滤器如上所述在可行的情况下完全切断系统与互联网的连接是一个很好的防御措施但现实情况是在所有系统上完全阻断互联网是不可行的并且会阻碍业务运营应将连接到的系统配置为通过允许过滤内容的代理服务器并使用防火墙规则来确保代理访问是和连接的唯一出口方式尽管对访问采用白名单方式最为理想但组织至少应使用其过滤设备来阻止其对已知恶意网站垃圾邮件钓鱼网站代理规避网站色情网站和所有其他被认为对正常业务运营不必要的网站的访问在可行的情况下还建议屏蔽供应商尚未分类的任何网站因为与新的有效商业网站相比此类网站更可能是恶意的虽然它在许多组织中可能在政治上不受欢迎但强烈建议在这一级别阻止访问个人电子邮件文件共享网站社交媒体即时消息和广告网络文件共享网站社交媒体等的特殊豁免可根据需要添加还应禁止将可执行文件例如等下载到端点许多代理服务器过滤设备还能够使用引擎扫描传入的内容如果支持这一点建议将其打开并在可行的情况下使用不同于内部使用的引擎以增加发现相对新的威胁的可能性应定期更新筛选器以确保恶意网站和其他网站的分类始终是最新的除了上述块之外建议完全阻止来自和的到以下顶级域的流量建议这些上托管的大多数站点在性质上是可疑的顶级域名组织可能还希望考虑在其筛选设备中阻止勒索软件追踪器阻止列表中包含的过滤器作为外围防御我们讨论垃圾邮件过滤器这些过滤器在邮件到达公司邮件服务器之前过滤邮件或者如果您使用的是托管邮件请确保由托管提供商提供的垃圾邮件过滤器已打开最好在边界屏蔽已知的垃圾邮件包含恶意链接的邮件和包含恶意附件的邮件以便让其他内部防御层处理它还建议阻止任何包含或文件等可执行附件的邮件对于没有任何国际业务的机构最好屏蔽来自公司所在区域以外地区的所有电子邮件并将任何必要的例外情况列入白名单与过滤软件一样垃圾邮件过滤器应始终保持最新以确保它们具有最新的阻止列表并且其引擎具有用于分析附件的最新签名在可行的情况下垃圾邮件过滤器中使用的引擎应与访问电子邮件的端点上使用的引擎不同远程访问勒索软件通常被报告为通过尝试使用安全性差的面向公众的服务远程连接到组织内部进行传播建议各组织将远程访问限制为只访问必需的帐户并制定帐户锁定策略以帮助防止访问凭据的暴力破解远程访问还应在可行的情况下使用双因素身份验证以减轻丢失或被盗的访问凭据可能造成的损害沙盒许多外围设备如下一代防火墙和垃圾邮件过滤器现在能够与恶意软件沙盒集成当用户试图访问它们时这些沙盒将允许在受监控的虚拟机上执行未知文件和这是发现新的恶意软件变体的一个很好的方法而基于签名的防御可能不会被认为这些变体是恶意的三网络防御可部署在局域网上的防御措施以帮助检测和减轻恶意软件的爆发沉洞虽然与恶意站点的连接在理想情况下在外围被阻止但是可以通过创建沉洞来添加一层额外的防御当请求进入某个沉洞中的某个域时该沉洞将通过发出错误信息来阻止与某些域的连接与周界防御一样防止任何系统或人员访问恶意内容总是比在下载到端点或由端点访问时减轻恶意内容要好得多理想情况下您的沉洞域列表将来自不同的来源而不是用于您的网络过滤器以确保更全面的恶意域的覆盖范围有关在服务器上创建沉洞的教程请访问网络分段通过和控制之间流量的进行网络分段将无法防止勒索软件攻击访问您的系统但如果恶意软件感染能够在您的组织内站稳脚跟这将是非常宝贵的网络分段有助于确保恶意软件感染或其他安全问题仅与受感染端点所在的网段隔离并且不会在整个组织中传播对于维护不再能够接收安全更新的遗留系统的组织来说这一点尤为重要只要可行就应尽可能细化网络分段以确保仅允许在网络上进行必要的通信并且默认情况下阻止所有其他通信对网络安全采取零信任的方法将极大地减少在您的环境中发生横向移动的可能性从而大大减少恶意软件和其他威胁的传播虚拟机分段正如上面讨论的网络分段是确保恶意软件感染可以传播到的系统数量最小化的关键记住许多虚拟机通信是在服务器的后平面上进行的而不是像交换机那样横穿标准网络设备这一点很重要对于高度虚拟化的环境建议部署虚拟机分段技术如的或的以确保虚拟机通信可以通过与物理系统等效的网络安全机制进行控制与物理网络分段一样对网络安全采取零信任的方法即只允许必要的通信这是应该争取的理想做法网络入侵检测系统拥有可能不是防止恶意软件访问您的系统的一个非常有效的方法因为大多数都更倾向于检测攻击企图而不是恶意软件但是当恶意软件与恶意地址如僵尸网络的指挥控制中心和勒索软件工具的密钥生成站点进行尝试通信时系统可以警告潜在的风险爆发和安全工作人员越早收到恶意软件爆发的警报成功控制事件的可能性就越大这是一种可以利用的检测手段根据部署情况系统还可以帮助确定组织内试图感染其他系统的系统四终端保护完全修补和更新桌面和其他用户界面系统上的保护勒索软件和其他恶意软件通常使用各种漏洞攻击来在系统上站稳脚跟确保操作系统和系统上的所有应用程序都得到了完全修补和更新这将是最大限度地减少端点被成功利用的方式针对勒索软件保持您的电子邮件客户端浏览器和完全更新是至关重要的组织应该有健全的程序来确保正确的补丁管理和软件的日常补丁不安装不必要的应用程序和服务如果系统上不存在应用程序则无法利用该应用程序因此确保端点配置也遵循最小权限原则是减少端点攻击面的有效方法特别建议不要在不需要和的计算机上运行和无管理权限管理权限应仅用于管理任务并且不应使用具有管理权限的帐户执行正常的计算机操作这将阻止许多类型的恶意软件获得立足点因为他们的用户帐户可能根本没有安装恶意软件的适当权限防病毒软件应在所有端点上运行防病毒软件并将其配置为在访问时扫描文件和其他资源防病毒软件应保持最新并应配置警报以通知人员任何可能的感染重要的是要记住在很大程度上是基于签名的因此只能有效地检测已知的威胁可能无法提供任何针对新病毒或新恶意软件变体的保护理想情况下这些病毒是来自一个不同的供应商而不是一个用于扫描周边防御级别的病毒下一代防病毒软件下一代反病毒解决方案具有签名较少的性质因此有可能检测零日攻击和新的恶意软件变体下一代使用行为检测机器学习和基于云的文件执行等方法来尝试识别攻击企图和恶意软件一些下一代软件包在下被认证为替代品但并非所有都是在许多情况下它们可以作为对传统的潜在补充基于主机的入侵检测防御系统这些系统可以是独立的也可以集成到供应商提供的端点保护解决方案中它们用于检测关键系统文件的可疑更改潜在的缓冲区溢出以及端点上的其他潜在可疑活动它们可能有助于对可能爆发的疫情提供早期洞察有些则在缓解某些攻击企图方面能力有限过滤器许多端点防护软件包提供了一种过滤恶意内容的附加方法而且最好也打开这些过滤器特别是在遵循对内部系统和外围环境使用不同供应商的推荐做法时这将增加恶意内容在系统或用户能够访问之前被阻止的可能性过滤与过滤一样垃圾邮件过滤也可以在端点级别进行在端点上设置不同的过滤解决方案有助于增加检测到绕过外围防御的垃圾邮件和恶意电子邮件的可能性这一点至关重要因为像这样的勒索软件变体通常通过恶意电子邮件附件传播禁止对宏的支持宏和其他可执行内容可以嵌入到应用程序和文件中使用的文档中很可能您组织中的大多数用户没有合法的此类功能需求默认情况下应关闭对此类功能的支持软件限制策略应用程序锁可以将策略设置为将某些正在运行的应用程序列入黑名单并将某些正在运行的应用程序列入黑名单例如用户配置文件的文件夹该文件夹是常见的恶意软件目标组织可以制定自己的策略或使用第三层等组织提供的反