賽門鐵克等安全廠商的安全分析師們一致認(rèn)為，2016年受到勒索軟件影響的企業(yè)增長(zhǎng)了35%。但更令人擔(dān)憂的是這些攻擊最近在復(fù)雜程度和分布廣度上的提升。

勒索軟件的方式是：通過(guò)鎖定系統(tǒng)的屏幕或加密用戶的文檔，來(lái)實(shí)現(xiàn)阻止或限制用戶訪問(wèn)他們的系統(tǒng)，并向用戶索要贖金。它能讓你的業(yè)務(wù)停滯，并導(dǎo)致重大的經(jīng)濟(jì)損失。

與可以在網(wǎng)絡(luò)潛伏幾個(gè)月的APT攻擊不同，勒索軟件的效果是更加直接且具有侵犯性的。

勒索軟件對(duì)攻擊者的金錢、資源或技術(shù)復(fù)雜性成本需求不多。因而企業(yè)越來(lái)越關(guān)心勒索軟件導(dǎo)致的經(jīng)濟(jì)損失、業(yè)務(wù)宕機(jī)時(shí)間等影響。

企業(yè)安全服務(wù)商Landesk就企業(yè)應(yīng)該如何防止遭受惡意軟件攻擊，提出了九個(gè)重要措施。

1. 修補(bǔ)關(guān)鍵性的操作系統(tǒng)和應(yīng)用

對(duì)于大多數(shù)企業(yè)而言，打補(bǔ)丁都是防范勒索軟件等攻擊時(shí)首當(dāng)其沖的工作。

只要保證操作系統(tǒng)和和一些關(guān)鍵性第三方應(yīng)用(如Adobe Flash、Java、Web瀏覽器等)都已經(jīng)及時(shí)更新，并且依據(jù)企業(yè)需求和策略，優(yōu)先修復(fù)那些對(duì)企業(yè)運(yùn)用影響不大的安全補(bǔ)丁，你就能在很大程度上減少此類惡意攻擊的發(fā)生。

許多企業(yè)擔(dān)心全面、及時(shí)、持續(xù)性的的修補(bǔ)實(shí)行和維護(hù)起來(lái)太繁瑣，有時(shí)這些工作也可能會(huì)破壞關(guān)鍵的業(yè)務(wù)應(yīng)用。然而，如果使用最新的補(bǔ)丁管理工具，即使在最復(fù)雜的環(huán)境中，掃描缺失的補(bǔ)丁并將其安裝到工作站或服務(wù)器上，都將是一個(gè)簡(jiǎn)單的任務(wù)。

2. 確保殺毒軟件處于最新狀態(tài)，配置定期掃描計(jì)劃

若果說(shuō)補(bǔ)丁是第一道防線，那么殺毒軟件就是下一道防線。雖然大多數(shù)勒索攻擊都不會(huì)被傳統(tǒng)的基于特征的殺毒手段所阻止，但是，你肯定不想成為哪些殺毒軟件已能辨別的惡意威脅的受害者。

有效的殺毒防護(hù)策略中的最重要的部分是：確保你所有工作站的病毒庫(kù)保持更新。好的安全管理軟件可以自動(dòng)執(zhí)行這一進(jìn)程。好的解決方案可以為任何規(guī)模的環(huán)境下所有端點(diǎn)提供病毒辨識(shí)文件。

3. 對(duì)特權(quán)賬戶的慎重管理

盡可能地限制特權(quán)賬戶是防止勒索軟件等各類惡意攻擊的重要策略之一。例如，近期出現(xiàn)的一種叫“Petya”的勒索攻擊需要管理員權(quán)限才能運(yùn)行，而如果用戶不授予權(quán)限它就無(wú)法運(yùn)作。

刪除管理員權(quán)限很容易，但是保持訪問(wèn)權(quán)限、用戶工作效率和企業(yè)安全之間平衡就不那么簡(jiǎn)單了。因此企業(yè)需要特權(quán)賬戶管理解決方案的支持。

然而，在防止勒索時(shí)必須意識(shí)到的是，很多用戶被勒索是因?yàn)楸或_著運(yùn)行了某些可執(zhí)行文件。一旦勒索軟在當(dāng)前用戶權(quán)限下被執(zhí)行，便不需要任何管理員權(quán)限就可以完成攻擊。例如，Petya勒索軟件的一個(gè)新版本已經(jīng)具有了備用機(jī)制，允許它在無(wú)管理員特權(quán)的情況下加密文件。

4. 實(shí)施以數(shù)據(jù)為重點(diǎn)的訪問(wèn)控制

一個(gè)有效的訪問(wèn)控制方案可以幫助你防止被勒索軟件攻擊。然而，如果方案仍然以用戶訪問(wèn)權(quán)限為管理重點(diǎn)，它的防護(hù)效果將會(huì)非常有限。

訪問(wèn)控制在保護(hù)共享設(shè)備上的文件時(shí)很有效。原因在于總是有部分用戶有合法權(quán)限來(lái)訪問(wèn)和修改每個(gè)共享設(shè)備上的部分甚至全部文件。畢竟，這些文件大部分是合法用戶創(chuàng)建的文檔。這意味著利用合法訪問(wèn)權(quán)限實(shí)行的勒索攻擊可以加密和保管所有已連接、共享的設(shè)備和文件夾。

相比傳統(tǒng)訪問(wèn)控制，新的聚焦數(shù)據(jù)的安全解決方案依賴于對(duì)勒索軟件攻擊行為的理解，而不再需要為特定用戶創(chuàng)建和管理的規(guī)則。因此這也比基于用戶權(quán)限的訪問(wèn)控制管理更容易實(shí)現(xiàn)和維護(hù)。

5. 定義、實(shí)施和執(zhí)行軟件規(guī)則

好的企業(yè)軟件很容易定義、實(shí)施和執(zhí)行監(jiān)管其他軟件行為的規(guī)則。規(guī)則可以限制指定軟件運(yùn)行、創(chuàng)建、修改、讀取任何單個(gè)文件或位于特定列表(包括瀏覽器和其他軟件所使用的臨時(shí)文件夾)下的所有文件的能力。

這些規(guī)則可以在全球范圍內(nèi)或特定用戶/組中廣泛應(yīng)用。然而，在實(shí)施這些規(guī)則之前，必須考慮其可能導(dǎo)致的用戶體驗(yàn)惡化。例如，當(dāng)安裝或更新軟件時(shí)，合法用戶有時(shí)需要直接從瀏覽器上解壓或執(zhí)行文件。用戶也可能需要這一方式來(lái)創(chuàng)建或調(diào)用宏來(lái)完成他們的工作。

而軟件限制規(guī)則可能會(huì)阻斷這些原本合法的活動(dòng)。

6. 禁用微軟 Office軟件的宏指令

禁用Microsoft Office軟件的宏指令將阻止勒索軟件等惡意攻擊。例如，Locky是一種相對(duì)較新的加密勒索軟件，其傳播方式主要是垃圾郵件的附件。它引誘用戶啟用Word文檔的宏指令將惡意軟件下載到電腦。

7. 應(yīng)用白名單

這個(gè)方案能有效地消除任何勒索軟件運(yùn)行的能力，因?yàn)闆]有勒索軟件是可信的。它確保只有受信任的應(yīng)用程序才可以在任何端點(diǎn)運(yùn)行。成功的白名單的最大挑戰(zhàn)，就是創(chuàng)建初始的受信任應(yīng)用程序列表，以及保持列表的準(zhǔn)確、完整、實(shí)時(shí)性。

8. 要求用戶使用虛擬或封閉的容器環(huán)境

在大多數(shù)情況下，勒索軟件被安置在電子郵件的附件中。要求用戶使用虛擬或封閉的容器環(huán)境將確保任何獲得系統(tǒng)訪問(wèn)途徑的勒索軟件無(wú)法對(duì)用戶的主要工作環(huán)境造成損害。

9. 經(jīng)常性備份重要文件

美國(guó)聯(lián)邦調(diào)查局的報(bào)告推薦：企業(yè)可以通過(guò)及時(shí)且頻繁的對(duì)重要文檔的備份，以確保業(yè)務(wù)連續(xù)性。備份將在遭遇勒索軟件襲擊救你一命。