勒索病毒防范建議——企業緩解措施

為公司的作業系統和應用程序保持為更新版本。

• 應用最新的安全補丁，確保關鍵軟件是最新的，移動設備亦一樣。
• 可以的話，啟用自動更新選項。 定時更新將確保設備更安全，性能亦更好。
• 評估是否需要安裝防病毒和反惡意軟件產品，并使其保持最新。
• 定期掃描以確保操作系統高效運行。
• 考慮使用集中式補丁管理系統，并使用風險評估策略來確定哪些系統應該是補丁管理程序的一部分。
• 定期創建在線和離線備份系統。 最新備份是從勒索軟件攻擊中恢復的最有效方法。
• 確保創建離線備份，這些備份保存在與網絡和系統中，和/或在為此目的設計的云服務中的不同的位置（最好是離線）。 請記住，勒索軟件會主動將備份作為目標，以增加受害者付費檢索其數據的可能性。

了解您的資產并將其劃分。

敏感數據必須與日常數據區別對待。

• 將敏感數據存儲在分隔的位置。
• 實施并確保有效的網絡隔離，以限制對手從網絡的一個部分轉移到另一個部分的能力。
• 確保具有不同特征和安全等級的區域劃分，隔離并限制對容易受到威脅的區域的訪問。

對遠程桌面協議(Remote Desktop Protocols / RDPs)實行安全限制登入

限制通過網絡訪問資源，尤其是通過限制RDP。 經過適當的風險評估后，如果您的組織認為RDP是絕對必要的，請嚴格要求原始來源并要求多因素身份驗證。

監控數據外泄。

許多勒索軟件活動都以威脅發布數據的手段來慫恿企業支付贖金。 數據外泄發現得越早，泄漏造成的損害就越小。 研究數據外泄的可能性可以準確地了解哪些數據存在暴露風險。

付款無法保證攻擊者不會發布外泄的數據或重復使用相同的數據進行其他勒索。 無論是否支付贖金，都要考慮在這兩種情況下會發生的事。

測試您的系統。

定期對網絡安全進行滲透測試，并在關鍵信息恢復過程中執行測試，以確保其按預期工作。

降低惡意內容進入網絡的可能性。

• 停用腳本環境 (scripting environments) 及巨集 (macros)。
• 將系統配置為主動檢查內容，只允許某些文件類型，并阻止已知惡意的網站、應用程序、協議等。
• 在網絡層面，考慮過濾網絡流量，執行策略去監視、過濾和阻止非法或惡意流量到達您的網絡。
• 基于實時威脅情報源實施黑名單/白名單規則，以防止用戶訪問惡意網站、惡意IP地址、釣魚URL、匿名代理、Tor網絡和其他匿名服務等。

使用強密碼并定期更改密碼。

• 利用數字、符號和大小寫組合能幫助您創建強密碼。
• 培訓并鼓勵員工在工作和私人生活中使用強密碼，并推廣使用密碼管理器。

使用強身份驗證。

需要多因素身份驗證才能訪問關鍵網絡上的帳戶，以最大限度地降低通過被盜或被黑客攻擊的憑據進行訪問的風險。

管理特權帳戶的使用。

• 限制員工在公司網絡設備上安裝和運行軟件應用程序的能力。
• 確保通過帳戶使用策略、用戶帳戶控制和特權用戶訪問管理來限制用戶和系統帳戶。
• 根據最低權限、需要知道(need to know)原則和職責來決定訪問權。 與普通用戶帳戶相比，特權用戶帳戶的潛在危害將導致更大的風險敞口。

保護您的遠程工作設備。

• 實施硬盤加密、非活動超時、隱私屏幕、強身份驗證、藍牙禁用和可移動媒體控制和加密（例如USB驅動器）等措施。
• 對丟失或被盜設備實施遠程禁用訪問的程序。

僅從受信任的來源安裝應用程式。

公司應只允許安裝來自官方來源的應用程式的移動設備連接到企業網絡。 可以考慮建立一個企業應用程式商店，供終端用戶訪問、下載和安裝公司批準的應用程式。 咨詢您的供應商以獲取安全建議，或在公司內設立一支負責安全的團隊。

避免透過公共Wi-Fi網絡訪問公司數據。

一般來說，公共Wi-Fi網絡并不安全。 如果員工在機場或咖啡館使用免費Wi-Fi連接訪問公司數據，這些數據可能會暴露給惡意用戶。 建議公司在這方面制定有效的使用政策。

為員工提供網絡安全教育和意識培訓。

• 讓員工了解公司的在線安全政策。 提高員工對網絡威脅的意識，尤其是網絡釣魚和社交工程，以及當他們遇到可疑活動時的處理方法。
• 考慮實施用戶培訓程序，包括針對魚叉式網絡釣魚的模擬攻擊，以阻止員工訪問惡意網站或打開惡意附件。
• 為您的員工提供一種無縫的方式來報告釣魚電子郵件，并在他們這樣做時給予獎勵。 一個簡單的「謝謝」彈出窗口或積分系統有助激勵員工提高警惕，并報告他們發現的可疑情況。

考慮網絡安全保險。

考慮尋找一個保險代理人，在網絡攻擊的情況下提供保障。

打開本地防火墻。

打開本地防火墻以防止未經授權的訪問。

停用Windows PowerShell。

如果未使用，停用Windows PowerShell。 一些勒索軟件變體需要使用PowerShell執行。

感染了…下一步該怎么辦？

1） 立即斷開受感染設備與所有網絡連接的連接，但不要將其關閉，無論是以有線、無線還是移動電話連接。

2）在非常嚴重的情況下，考慮是否關閉您的Wi-Fi，可能有需要禁用任何核心網絡連接（包括交換機），以及斷開與Internet的連接。

3） 重置憑據，包括密碼（尤其是管理員和其他系統帳戶），但請確認您沒有將自己鎖定在恢復所需的系統之外。

4） 將事件報告給您國家的警察或其他主管部門。

5） 與調查攻擊的主管部門協調，保存任何證據：創建受影響系統的法醫圖像（或系統快照），創建受影響系統的RAM轉儲，并保存任何netflow或其他網絡流量日志。

6） 安全地處理受感染的設備并重新安裝操作系統。

7） 在從備份中恢復之前，請確認已沒有任何惡意軟件。只有在確信備份和連接到的設備是干凈的情況下，才應該恢復。

8） 將設備連接到干凈的網絡，以下載、安裝和更新操作系統和所有其他軟件。

9） 安裝、更新和運行防病毒軟件。

10） 重新連接到您的網絡。

11） 監控網絡流量并運行防病毒掃描，以確定是否仍存在任何感染。