企業(yè)是否會投入大量資金用于防范勒索軟件攻擊?也許會，但是企業(yè)的領(lǐng)導(dǎo)團(tuán)隊可能更愿意將資金花費在其他地方。

作為IT經(jīng)理，其注意力經(jīng)常關(guān)注在自己的工作職責(zé)上。例如管理團(tuán)隊、企業(yè)的數(shù)據(jù)、用戶訪問請求等。防范勒索軟件攻擊可能并不在IT經(jīng)理的主要關(guān)注事項中。為了避免或減輕攻擊帶來的損害，需要采用勒索軟件檢測技術(shù)。

勒索軟件檢測：定義和重要性

在深入研究可以用來檢測基礎(chǔ)設(shè)施中勒索軟件的五種方法之前，先了解勒索軟件的基本情況。

勒索軟件最早出現(xiàn)在20世紀(jì)80年代末。一位名叫Joseph Popp的攻擊者通過誘使受害者使用他提供的軟盤，能夠隱藏他們硬盤上的文件。然后，他要求受害者支付費用來修復(fù)被勒索軟件屏蔽的軟件。

盡管勒索軟件的技術(shù)和威脅多年來變得越來越復(fù)雜，但其攻擊的前提仍然和Popp實施的勒索一樣。勒索軟件攻擊威脅要公布受害者的重要數(shù)據(jù)，除非向他們支付贖金。

勒索軟件攻擊者可能以企業(yè)甚至企業(yè)中的個人為目標(biāo)。2022年2月對瑞士一家機(jī)場的針對性攻擊導(dǎo)致近24個航班停飛和延誤。瑞士這家機(jī)場很快就遏制了威脅。盡管如此，在公眾信任、時間和機(jī)會方面的損失仍然很大。

一些企業(yè)可能會培訓(xùn)員工發(fā)現(xiàn)勒索軟件，或?qū)Ｗ⒂趦?nèi)部網(wǎng)絡(luò)安全實踐，以應(yīng)對這些攻擊。不過，這可能還不足以保證其數(shù)據(jù)安全。檢測勒索軟件是一個持續(xù)的挑戰(zhàn)，但有一些方法可以緩解這一挑戰(zhàn)。關(guān)注特定的行為或檢測企業(yè)基礎(chǔ)設(shè)施中發(fā)生的變化，可以幫助減少運營環(huán)境中遭遇勒索攻擊的可能性。

實時變化檢測

快速有效的勒索病毒檢測的關(guān)鍵是采用實時變化檢測和文件完整性監(jiān)控技術(shù)和流程。那么，什么是實時變更檢測?實時更改檢測是一種網(wǎng)絡(luò)安全實踐，通過這種檢測可以配置網(wǎng)絡(luò)來記錄所有配置和數(shù)據(jù)更改。

這個過程為企業(yè)提供了一個易于跟蹤的“面包屑”蹤跡，可以用于跟蹤未經(jīng)授權(quán)的或可疑的活動，直到找到其源頭，幫助企業(yè)在遭遇到重大損害發(fā)生之前識別勒索軟件和其他威脅。

以下了解實時更改檢測的五個核心支柱，為企業(yè)提供使用這些技術(shù)來檢測和減輕勒索軟件影響所需的工具。

(1)強化和可信基準(zhǔn)測試

企業(yè)必須建立可信的互聯(lián)網(wǎng)安全中心 (CIS)基準(zhǔn)來管理其實時變更檢測實踐。可信基準(zhǔn)測試是與互聯(lián)網(wǎng)安全中心 (CIS)基礎(chǔ)設(shè)施相關(guān)的基礎(chǔ)配置和最佳實踐。

采用系統(tǒng)強化實踐有助于確保遵守互聯(lián)網(wǎng)安全中心 (CIS)基準(zhǔn)測試。企業(yè)可以實施的三個最有影響力的實踐是：

• 完整性漂移：通過檢查更改來監(jiān)視系統(tǒng)和配置的完整性，使企業(yè)能夠在需要時進(jìn)行修復(fù)。
• 配置管理：深入了解環(huán)境，輕松識別未來的更改。
• 自動系統(tǒng)強化：使用像CimTrak這樣的工具，可以自動監(jiān)控不合規(guī)區(qū)域并消除漂移。這種做法還將減少勒索軟件攻擊者可以利用的入口點。

該技術(shù)對于利用高級報告實踐持續(xù)掃描遵從性挑戰(zhàn)并實時最小化漏洞至關(guān)重要。

(2)配置管理

接下來，需要檢查系統(tǒng)配置標(biāo)準(zhǔn)。配置管理是指為網(wǎng)絡(luò)、硬件和軟件設(shè)置所需的操作狀態(tài)的過程。此外，這個過程涉及維護(hù)系統(tǒng)的配置標(biāo)準(zhǔn)，以確保它們處于最佳位置。

配置管理的關(guān)鍵部分是確保關(guān)鍵IT資產(chǎn)不被惡意操作(如勒索軟件攻擊或意外)篡改。

如果沒有適當(dāng)?shù)呐渲霉芾?，將無法確保系統(tǒng)始終正常運行。此外，識別勒索軟件攻擊將更具挑戰(zhàn)性，因為將很難識別何時發(fā)生了未經(jīng)授權(quán)的更改。

變更控制是任何勒索軟件檢測技術(shù)的關(guān)鍵部分。接下來詳細(xì)地討論這個概念。

(3)變更控制

變更控制是指對環(huán)境中發(fā)生的變更負(fù)責(zé)的過程。

企業(yè)需要使用像CimTrak這樣的工具來跟蹤整個系統(tǒng)中的更改。CimTrak創(chuàng)建了系統(tǒng)中所有更改的詳細(xì)審計跟蹤，其中包括:

• 有什么樣的變更
• 誰實施的變更
• 變更的地方
• 變更發(fā)生的時間
• 變更是如何進(jìn)行的

這些數(shù)據(jù)對于幫助企業(yè)的團(tuán)隊追蹤未經(jīng)授權(quán)的更改的來源非常重要，這對于勒索軟件檢測工作非常重要。

但是僅僅識別未經(jīng)授權(quán)的更改是不夠的。為了保證網(wǎng)絡(luò)安全，需要能夠回滾或阻止這些更改。

(4)回滾、修復(fù)和更改預(yù)防

勒索軟件檢測技術(shù)不僅僅是在企業(yè)的系統(tǒng)中識別勒索軟件威脅。為了保證其網(wǎng)絡(luò)和數(shù)據(jù)的安全，企業(yè)需要有流程和工具來糾正未經(jīng)授權(quán)的更改，以免造成重大損害。

企業(yè)需要采取如下的流程:

• 回滾：使用可以定期存儲配置快照的工具。這一功能允許企業(yè)在最短的停機(jī)時間內(nèi)恢復(fù)以前的設(shè)置。
• 更改修復(fù)：一旦檢測到未經(jīng)授權(quán)的更改，將希望立即采取行動。CimTrak允許“自我修復(fù)”，在檢測到更改時自動逆轉(zhuǎn)更改。
• 更改預(yù)防：對于某些核心設(shè)置或系統(tǒng)，可以選擇完全阻止更改，而不是在更改發(fā)生后采取步驟回滾或修復(fù)。

強健的回滾、修復(fù)和更改預(yù)防技術(shù)可以幫助企業(yè)減輕勒索軟件的影響，并維護(hù)持續(xù)兼容的基礎(chǔ)設(shè)施。

可以選擇的最后一種用于檢測勒索軟件和補救措施的方法是文件白名單。

(5)文件白名單

最后，企業(yè)可以在勒索軟件檢測技術(shù)中使用文件白名單或受信任的文件注冊中心。文件白名單是將特定的更改(如供應(yīng)商驗證的補丁或更新的文件)標(biāo)記為授權(quán)更改的實踐。

采取這個步驟將消除由有效更改產(chǎn)生的更改噪聲。這將使IT經(jīng)理能夠?qū)⑵鋾r間和注意力集中在真正對其網(wǎng)絡(luò)安全工作最重要的變化上。

當(dāng)使用文件白名單時，更改仍然會被記錄下來，允許在必要時引用它們。但是，IT經(jīng)理和其團(tuán)隊只會收到可能與惡意軟件、零日攻擊、流氓用戶或其他威脅有關(guān)的攻擊警報。這一過程讓企業(yè)能夠更有效地利用有限的時間來防止攻擊和保護(hù)數(shù)據(jù)。

超越勒索軟件檢測：提高網(wǎng)絡(luò)安全

檢測和減輕勒索軟件攻擊的影響對企業(yè)網(wǎng)絡(luò)安全工作至關(guān)重要。通過實現(xiàn)旨在持續(xù)監(jiān)視網(wǎng)絡(luò)合規(guī)性、未經(jīng)授權(quán)的更改等的工具，可以改進(jìn)企業(yè)的整體網(wǎng)絡(luò)安全狀況。

現(xiàn)代網(wǎng)絡(luò)安全威脅需要創(chuàng)新的解決方案。CimTrak的文件完整性監(jiān)控軟件就是這樣一種解決方案。CimTrak提供系統(tǒng)完整性保證，致力于實時識別、禁止和糾正未知或未經(jīng)授權(quán)的更改。這使企業(yè)的團(tuán)隊能夠在更短的時間內(nèi)以更少的努力維護(hù)持續(xù)兼容的IT基礎(chǔ)設(shè)施。