防火墙可以阻止勒索软件吗?

<h1>如何防止勒索软件:预防下一次攻击的15种方法</h1>
<blockquote>勒索软件继续发展并影响越来越多的组织,Fortiguard Labs每周平均报告150,000勒索软件检测. 同时,数字加速度,快速移动到远程工作以及公司网络上的连接性多样性,使组织更容易受到成功的攻击.</blockquote>
<h2>如何防止勒索软件</h2>
<p><b>勒索软件</b> 是恶意代码,它呈现端点的文件和/或操作环境(无论是最终用户设备还是服务器),直到向网络犯罪付款.</p>
<p>网络犯罪分子使用勒索软件接管设备或系统以勒索钱. 一旦安装了恶意软件,黑客控制并将您从赎金中冻结,直到您支付赎金. 在最早的勒索软件版本中,攻击者声称,在您支付赎金后,您将获得一个解密密钥,以重新获得计算机的控制.</p>
<h2>勒索软件的演变</h2>
<p>勒索软件已经进化,现在有多种类型. 一些勒索软件只是加密文件,而其他勒索软件销毁文件系统. 一些网络犯罪分子仅是出于财务动机,确实会在付款后返回运营系统. 其他类型的攻击者不会在付款后也不会恢复行动,或者是出于政治或其他原因.</p>
<p>目前,许多勒索软件活动采用多种措施和方法来引发付款. 除了持有赎金的系统外,一些网络犯罪分子还会窃取数据,并威胁说如果未支付赎金. 其他攻击者甚至可以联系他们被盗的数据以收取他们的数据.</p>
<p>勒索软件攻击使整个组织残废了几个小时,几天或更长的时间. 最新的勒索软件威胁类不仅需要安全的备份和主动的还原过程.</p>
<p>最初,通过安全的备份和主动的还原过程来防止勒索软件,通常足以使组织脱离障碍. 但是,最新版本的勒索软件需要更全面的安全解决方案.</p>
<h2>勒索软件预防</h2>
<p>有一些好消息:当今复杂的多阶段勒索软件攻击为潜在的受害者/组织提供了多种机会,可以停止勒索软件攻击,然后才能窃取数据或锁定计算机/文件.</p>
<p>当然,最好阻止攻击者站稳脚跟来开始任务,但是即使他们确实进入了任务,也可以识别诸如网络发现,命令和控制通信,横向移动,数据收集和分期,剥离和加密等早期阶段很关键. 有关勒索软件预防的提示以及如何最好地响应勒索软件攻击,请参见下文.</p>
<h2>9条降低勒索软件风险的提示</h2>
<h3>1. 切勿单击未验证的链接</h3>
<p>如果链接在垃圾邮件电子邮件或奇怪的网站上,则应避免. 通常,黑客通过启动恶意软件下载的恶意链接传播勒索软件. 一旦恶意软件在您的计算机上,它就可以加密数据,将其固定为人质,只允许具有解密密钥的人访问它.</p>
<p>但是,恶意软件必须首先使用计算机,而传播勒索软件的最流行方法是通过恶意链接. 如果链接尚未验证,最好不要.</p>
<h3>2. 扫描恶意软件的电子邮件</h3>
<p>如何停止勒索软件病毒或其他恶意软件从扫描电子邮件通信开始. 电子邮件扫描工具通常可以检测到恶意软件. 扫描仪检测到恶意软件后,可以丢弃电子邮件,甚至从未到达收件箱.</p>
<p>通常,电子邮件中的恶意软件将嵌入附件或电子邮件正文中的文件中. 众所周知,黑客可以插入看起来无辜的图像,但是当您单击图像时,它会在计算机上安装勒索软件. 使用此类文件扫描电子邮件可以阻止您的设备(或其他网络上的其他文件)从感染中.</p>
<p><img src=”https://www.fortinet.com/content/fortinet-com/en_us/resources/cyberglossary/how-to-prevent-ransomware/_jcr_content/par/c05_container_copy_c/par/c07_image_callout_bo_553713179/image.img.jpg/1660579802415.jpg” alt=”电子邮件安全以停止勒索软件” /></p>
<h3>为什么电子邮件安全对于保护勒索软件很有价值</h3>
<h3>3. 使用防火墙和端点保护</h3>
<p>当您弄清楚如何停止勒索软件攻击时,防火墙可能是一个很好的解决方案. 防火墙扫描了双方的流量,检查了恶意软件和其他威胁. 这样,防火墙可以确定文件来自何处,前进的位置以及有关其行进方式的其他信息,然后使用它来知道它是否可能包含勒索软件.</p>
<p>此外,下一代防火墙(NGFW)可以使​​用深度数据包检查(DPI)检查数据本身的内容,寻找勒索软件,然后丢弃任何具有该文件的文件.</p>
<p>通过端点保护,各个端点都被屏蔽了威胁. 某些类型的流量更容易承受威胁,端点保护可以防止您的设备参与此类数据. 此外,黑客可能会使用恶意应用程序通过勒索软件感染端点. 端点保护将阻止指定的端点运行此类应用程序.</p>
<h3>4. 仅从值得信赖的网站下载</h3>
<p>黑客通常将恶意软件放在网站上,然后使用内容或社交工程来吸引用户在网站中单击. 社会工程通常通过恐惧向用户施加压力,以使他们采取所需的措施 – 在这种情况下,单击恶意链接.</p>
<p>在许多情况下,链接本身可能看起来无辜. 如果您不熟悉该网站或其统一资源定位器(URL),即使它似乎是一个值得信赖的网站,也应该清除. 网络犯罪分子通常会创建假网站,看起来像一个值得信赖的网站. 从中下载任何内容之前,请始终仔细检查网站的URL.</p>
<h3>5. 保留重要数据的备份</h3>
<p>勒索软件攻击者喜欢利用依靠某些数据运行组织的用户. 通常,由于数据在日常操作中起着不可或缺的作用,因此受害者可能会觉得解决赎金更有意义,以便他们可以重新获得对数据的访问权限. 您可以定期备份重要数据来避免这种诱惑.</p>
<p>如果您的数据已备份到您不需要计算机访问的设备或位置,则可以简单地恢复攻击成功的数据. 重要的是要确保您经常备份所有关键数据,因为如果有足够的时间,您所拥有的数据可能不足以支持业务的连续性.</p>
<h3>6. 使用公共Wi-Fi时使用VPN</h3>
<p>公共Wi-Fi很方便,因为它很容易进入,通常没有密码. 不幸的是,黑客使用公共Wi-Fi传播勒索软件同样容易. 每当您在公共Wi-Fi网络上时,都应使用虚拟专用网络(VPN).</p>
<p>VPN连接到Internet时会加密从设备流向和从设备流出的数据. 实际上,VPN形成了您的数据通过的&ldquo;隧道&rdquo;. 要进入隧道,用户必须具有加密密钥. 另外,要读取隧道的数据,黑客需要解密它. 为了阻止勒索软件,VPN可防止局外人潜入您的连接并将恶意软件放入路径或计算机上.</p>
<h3>7. 使用安全软件</h3>
<p>安全软件可以是防止勒索软件的强大工具. 因此,通常将其列入防止勒索软件的最佳实践之一. 安全软件从Internet检查进入计算机的文件. 检测到恶意文件后,该软件将阻止其进入计算机.</p>
<p>安全软件使用已知威胁和恶意文件类型的配置文件来确定哪些威胁对您的计算机可能很危险. 为了保持最新状态,安全软件通常带有免费的常规更新. 这些可以由提供商自动安装. 随着提供商意识到新威胁,它们的配置文件包括在更新中. 只要您确保您的软件定期更新,您将获得软件可以提供的最佳保护.</p>
<h3>8. 不要使用不熟悉的USB设备</h3>
<p>通用串行总线(USB)设备可用于存储可能包含勒索软件的恶意文件. USB是否有可执行文件可以感染您的计算机,或者在插入USB设备时自动启动该文件,显然仁慈的​​USB捕获您的计算机可能会花费很少的时间.</p>
<p>网络犯罪分子可能会留下USB设备,因为他们知道有些人可能很想捡起并将其插入计算机. 罪犯甚至可能在上面打印一个看似无辜的标签,使该设备看起来像是一家知名公司的免费礼物. 如果您找到USB设备,请勿将其插入计算机. 最安全的USB是从商店购买并密封内部完整包装的USB.</p>
<h3>9. 避免给出个人数据</h3>
<p>有了正确的个人数据,网络犯罪分子可以设置各种陷阱以在计算机上获取勒索软件或欺骗您自己在设备上安装它. 人们经常为计算机使用与网站和帐户相同的密码. 网络犯罪分子可以使用您的个人数据来访问帐户,然后使用该密码进入计算机并安装勒索软件.</p>
<p>如果您避免提供个人数据,那么攻击者就会难以征收这种攻击,尤其是因为他们必须找到另一种方法来找出您的密码或其他帐户信息. 个人数据还包括您用作帐户安全问题答案的人,宠物或地点的名称.</p>
<p>勒索软件继续发展并影响越来越多的组织,Fortiguard Labs每周平均报告150,000勒索软件检测. 同时,数字加速度,快速移动到远程工作以及公司网络上的连接性多样性,使组织更容易受到成功的攻击.</p>
<p>Fortinet勒索软件保护解决方案整合了数字攻击表面和网络杀伤链的人工智能和其他高级分析. 提供了多个预防和/或检测勒索软件活动和组件的机会.</p>
<p><img src=”https://www.fortinet.com/content/dam/fortinet/images/videos/video-ransomware-protection-with-fortinet.png” alt=”Fortinet的勒索软件保护|勒索软件” /></p>
<h2>如何回应勒索软件攻击</h2>
<p>仅仅因为勒索软件的攻击已经在您的计算机或网络上实现了,并不意味着您无能为力改善情况. 您通常可以通过快速采取行动来限制勒索软件的损害.</p>
<h3>隔离</h3>
<p>隔离勒索软件是您应该采取的第一步. 这可以防止东西向攻击,勒索软件通过其网络连接从一台设备传播到另一台设备. 您应该首先关闭已感染的系统. 关闭它可以防止恶意软件使用它来进一步传播勒索软件.</p>
<p>您还应该断开设备附加的任何网络电缆. 这包括将感染设备连接到网络本身或网络上的设备的任何内容. 例如,您的设备可能连接到链接到本地​​区域网络(LAN)的打印机. 拔下打印机可以防止将其用于传播勒索软件.</p>
<p>除了硬件电缆外,您还应该关闭服务于勒索软件感染区域的Wi-Fi. Wi-Fi连接可用作将勒索软件传播到连接到同一Wi-Fi网络的其他设备的导管. 关闭它可以在开始之前停止这种东西方的传播. 但是,如果您意识到计算机已经感染时已经开始.</p>
<p>连接到网络的存储设备也需要立即断开连接. 勒索软件可以潜在地找到存储设备,然后感染它. 如果发生这种情况,任何连接到存储系统的设备都可能被感染. 这可能会立即发生或将来的某个时候发生. 因此,如果您曾经是勒索软件攻击的受害者,那么重要的是要假设每个存储设备已被感染并清洁它们,然后才允许网络中的任何设备附加到它们.</p>
<h3>确认</h3>
<p>下一步是确定用勒索软件感染系统的恶意软件类型. 在某些情况下,知道使用的恶意软件可以帮助事件响应团队找到解决方案. 某些勒索软件攻击的解密键已经知道,并且知道所使用的恶意软件类型可以帮助响应团队确定解密密钥是否已经可用. 如果是这样,他们可以使用它来解锁您的计算机,从而规避攻击者的目标.</p>
<p>此外,这种恶意软件可能有助于确定应对威胁的其他方法. 要了解您的补救选择,您的IT团队或外部顾问需要知道他们正在处理哪种恶意软件,这使得早期身份证明是关键的一步.</p>
<h3>删除恶意软件</h3>
<p>不用说您需要删除恶意软件,但是此步骤的必要性不如它的时机重要. 重要的是要在上一步之后尝试删除恶意软件,隔离和识别已执行. 如果您在隔离恶意软件之前尝试删除该恶意软件,则可以利用您卸载它的时间来扩展到连接到网络的其他设备.</p>
<p>另外,如果您在确定恶意软件之前将其删除,您可能会错过机会收集有关它可能对您的事件响应团队,外部顾问或执法部门有用的信息.</p>
<p>一旦采取了前面的步骤,删除恶意软件就可以防止其进入其他设备. 即使计算机不再连接到网络,如果未删除恶意软件.</p>
<h3>恢复数据</h3>
<p>一旦攻击已包含并且您的计算机已被固定和清洁,您就应该开始恢复数据. 这可以帮助确保业务连续性并提高弹性,尤其是在最近备份数据的情况下.</p>
<p>成功的数据恢复取决于攻击之前制定的数据恢复程序. 例如,如果数据每天多次备份,则攻击只会让您回去几个小时,最糟糕的情况. 您可以使用基于云的服务或本地硬件来备份数据 – 只要您可以从其他设备访问您使用的任何服务. 确保访问可能需要安全存储登录信息,而不是仅仅在访问备份存储的设备上.</p>
<h3>切勿支付赎金</h3>
<p>当勒索软件攻击持有时,支付赎金可能很诱人. 用户可能会认为他们损失的钱超过攻击者的要求,随着时间的流逝. 例如,如果关键系统被关闭并且客户无法进行购买,那么损失很容易陷入数千个. 如果攻击者要求几百美元,您可能会觉得付款将是审慎的选择. 然而,这种情况并非如此.</p>
<p>类似于劫持人类俘虏的劫机者和恐怖分子,黑客依靠勒索软件攻击成功地勒索了受害者. 如果足够的用户拒绝支付赎金,攻击者可能会在使用勒索软件之前三思而后行,将其精力投入到潜在的更有利可图的合资企业中. 因此,当您拒绝支付赎金时,您将帮助其他可能成为目标的人.</p>
<p>另外,如果您支付一次,攻击者知道您可能会在面对类似情况的情况下再次付款. 因此,当您付款时,您可能会确定自己是未来攻击的潜在有利可图的目标.</p>
<h2>您什么时候应该支付赎金(何时不付款)</h2>
<p>一般来说,您永远不要支付赎金. 付款可以告诉攻击者他们可以勒索您,使他们稍后返回第二次攻击. 它也损害了其他人,因为它向黑客社区发送了一条消息,即勒索软件仍然是有效的攻击向量. 另外,请记住,一旦您支付赎金,就无法保证攻击者会让您重新回到计算机.</p>
<p>但是,说不说不容易做起来容易,尤其是当您没有足够的备份或弹性计划时. 虽然建议支付赎金,但您可能必须权衡后果,然后再做出最终决定. 您可能需要考虑以下因素:</p>
<ol>
<li>恢复丢失的数据将花费多少?</li>
<li>您的网络保险(如果有的话)都可以帮助支付一些费用?</li>
<li>重建被攻击破坏的系统要花多少钱?</li>
<li>针对您的特定勒索软件操作员,您将在付款后解密系统的可能性是多少?</li>
</ol>
<h2>Fortinet如何帮助</h2>
<p>Fortinet Security Fabric提供了广泛的产品和服务,可以在数字攻击表面和网络杀伤链中部署,以降低勒索软件的风险和潜在影响. 这些可以帮助组织为勒索软件事件做准备并防止勒索软件事件,检测和响应,并根据需要增强内部团队.</p>
<p>每个组织的当前曝光率,风险的胃口,许可状况,安全技能和其他因素将确定哪些产品和服务在任何给定时间最合适,但选择包括:</p>
<ol>
<li><b>准备:</b>事件准备服务,FortireCon攻击表面管理,Fortitester违规攻击模拟. Infosec培训和意识</li>
<li><b>预防:</b> Fortigate下一代防火墙,Fortimail Secure Email Gateway,Fortiweb Web应用程序防火墙,Fortiedr Modern Point Security,FortisandBox Inline Sandbox Analysis</li>
<li><b>检测:</b>Fortideceptor,Fortixdr扩展检测和响应,Fortindr网络检测和响应</li>
<li><b>回复:</b>Fortianalyzer,Fortisiem,Fortisoar,Fortiguard事件响应服务</li>
<li><b>增强:</b> Fortiguard Socaas,Fortiguard管理检测和响应</li>
</ol>
<h2>常见问题解答</h2>
<h3>什么是勒索软件?</h3>
<p>勒索软件是恶意代码,它呈现端点的文件和/或操作环境(无论是最终用户设备还是服务器),直到向网络犯罪分子付款.</p>
<h3>网络犯罪分子如何使用勒索软件?</h3>
<p>网络犯罪分子使用勒索软件接管设备或系统以勒索钱. 黑客控制并冻结您,直到您支付赎金.</p>
<h3>如何回应勒索软件攻击?</h3>
<p>网络犯罪分子使用勒索软件接管设备或系统以勒索钱. 黑客控制并冻结您,直到您支付赎金.</p>
<h2>如何防止勒索软件:预防下一次攻击的15种方法</h2>
<p>勒索软件是一种恶意软件,可阻止用户访问其个人文件或系统,并要求赎金付款以重新获得访问权限. 最早的勒索软件类型是在1980年代后期创建的,当时是通过蜗牛邮件付款的.</p>
<p>目前,勒索软件开发人员要求通过信用卡或加密货币付款,攻击者针对所有类型的组织,企业和个人. 某些勒索软件创建者将其服务出售给其他攻击者,这是一种运行模型,称为勒索软件即服务(RAAS).</p>
<p><img src=”https://no-cache.hubspot.com/cta/default/5061792/637d0255-8aa6-45f1-8435-81765f22eaa4.png” alt=”找出您的组织如何减少成为勒索软件受害者的风险。在这里观看录音。” width=”” /></p>
<h2>勒索软件的工作原理</h2>
<p>大多数类型的勒索软件执行三个主要步骤 – 感染,加密和勒索软件要求.</p>
<h3>步骤1:感染</h3>
<p>勒索软件可以访问系统,设备或网络,范围很广. 大多数勒索软件变体都有多个感染向量. 这是几种通常首选的方法:</p>
<ul>
<li><strong>网络钓鱼电子邮件</strong> – 一种社会工程攻击的一种形式,涉及发送恶意电子邮件,以欺骗收件人下载包含内置下载器功能的附件或单击托管恶意下载网站的链接. 如果收件人成功欺骗,则在计算机上下载并执行勒索软件.</li>
<li><strong>远程桌面协议(RDP)攻击</strong> – 一旦威胁参与者窃取或正确猜测授权用户的登录凭据,他们就可以使用该信息来验证并获得企业网络中对计算机的远程访问. 演员利用此访问直接下载勒索软件并在计算机上执行.</li>
<li><strong>直接系统感染</strong> – 例如,WannaCry勒索软件利用了Eternalblue脆弱性,以直接感染系统.</li>
</ul>
<h3>步骤2:加密</h3>
<p>访问系统后,勒索软件开始加密文件. 这通常涉及访问文件,使用攻击者控制的键来加密文件,然后用加密版本替换原始文件.</p>
<p>为了确保系统稳定性,大多数勒索软件变体仔细选择用于加密的文件. 此外,某些变体删除了备份副本以及文件的阴影副本,以确保在没有解密密钥的情况下尝试恢复尝试更加困难.</p>
<h3>步骤3:赎金需求</h3>
<p>在对所选文件进行加密后,勒索软件提出了勒索需求. 每个勒索软件变体都可以以多种方式实现此步骤. 许多变体都会在每个加密目录中显示包含赎金注释的文本文件中的修改背景或将文本文件放置.</p>
<p>赎金笔记通常需要一定数量的加密货币以换取访问文件. 一旦支付了赎金,勒索软件运营商要么提供私钥的副本(用于保护对称加密密钥)或对称加密密钥的副本,以及解密者. 然后,受害者可以将信息输入解密程序,该程序逆转加密并恢复对文件的访问.</p>
<p><img src=”https://no-cache.hubspot.com/cta/default/5061792/d5747892-38a7-4fa7-bfc3-5f202f842095.png” alt=”新的呼吁行动” width=”800″ height=”150″ /></p>
<h2>15种防止勒索软件感染的方法</h2>
<p>这是几种可以帮助您防止勒索软件感染的关键方法.</p>
<h3>1. 制定勒索软件计划和政策</h3>
<p>事件响应(IR)计划可以帮助您在勒索软件活动中指导您的IT和安全团队. 您的IR计划应包括应在活动期间共享的角色和沟通,以及必须通知的联系人列表(例如合作伙伴或供应商).</p>
<p>您还可以包括一项&ldquo;可疑电子邮件&rdquo;公司范围的政策,该政策使员工在收到可疑电子邮件时该怎么办. 您可以定义特定的技术步骤,或者简单地让员工知道他们必须将这些电子邮件转发给IT或安全团队.</p>
<h3>2. 使用防火墙</h3>
<p>防火墙的主要作用是监视传入和传出网络流量. 使用预定义的规则和威胁信息,防火墙寻找已知恶意有效载荷的迹象,然后阻止潜在风险. 它被认为是针对各种威胁的第一个基于软件的防御线,包括勒索软件.</p>
<h3>3. 保持备份</h3>
<p>根据Internet安全中心(MS-ISAC)的咨询,数据备份是从勒索软件攻击中恢复的最有效方法. 但是,应经过精心计划的备份过程. 所有备份文件必须得到适当保护.</p>
<p>此外,您应该在离线或离线内存储备份副本,以确保这些副本不能成为威胁参与者的目标. 减轻勒索软件感染时,您也可以使用云服务,因为它们通常保留以前的文件版本. 这使您可以回到数据的某些未加密版本. 为了确保您的流程正常工作,您应该定期测试备份.</p>
<h3>4. 硬化端点</h3>
<p>配置系统时,您应该考虑安全注意事项. 通过正确配置系统,您可以帮助减少威胁表面以及默认情况下留下的紧密安全差距. 您可以使用CIS基准,这些基准提供了行业领先的配置标准. 另一个选择是实现端点安全解决方案,例如零信托解决方案,其中一些可以内置在您的操作系统中,或者由第三方提供商提供.</p>
<h3>5. 细分您的网络</h3>
<p>一旦勒索软件违反了系统,它可能需要横向通过网络移动,然后才能达到目标数据. 网络细分可以帮助防止入侵者在系统和设备之间不受阻碍地移动.</p>
<p>在细分网络时,您需要确保每个子系统都有自己的个人安全控制,一个单独的防火墙和网关以及严格而独特的访问策略. 这样可以确保如果攻击者妥协了一个细分市场,威胁是孤立的,其余的网络仍然安全.</p>
<h3>6. 培养员工意识</h3>
<p>安全意识培训可以帮助阻止勒索软件进入其轨道. 一旦员工能够发现和避免恶意电子邮件,整个劳动力都将参与保护组织. 安全意识计划可以帮助员工在实际下载附件或单击链接之前在电子邮件中寻找什么.</p>
<h3>7. 定期运行安全测试</h3>
<p>安全测试可以帮助组织定期验证其系统和网络的健康. 例如,脆弱性评估可以帮助发现可能导致违规行为的弱点.</p>
<p>安全测试可以识别一系列问题,包括系统错误配置,帐户特权缺陷,密码弱和身份验证机制中的问题. 运行执行勒索软件模拟的渗透测试也很重要,以了解系统和团队如何应对威胁.</p>
<h3>8. 经常更新系统</h3>
<p>所有应用程序,操作系统和软件都必须定期更新. 通过应用最新的更新,您可以帮助缩小威胁参与者不断寻求利用的安全差距. 只要可能.</p>
<p>Windows的最新版本已内置勒索软件保护 – 阅读我们的Windows 10勒索软件保护指南(即将推出)</p>
<h3>9. 白名单申请</h3>
<p>白名单和后备方法有助于控制允许或拒绝哪些活动和行为. 白名单允许活动和黑名单否认他们. 此方法可用于防止员工在公司机器上安装某些软件,仅限于已知软件. 这可以防止安装勒索软件.</p>
<h3>10. 设置一个沙箱</h3>
<p>沙箱是一个孤立的环境,可以执行文件并运行程序而不会影响网络或主机设备. 沙盒通常用于测试场景中,但在包含和测试潜在的恶意软件方面也很有用. 通过使用沙箱进行恶意软件检测,您可以添加另一层保护各种威胁的保护层,包括勒索软件. 但是,在检测中,沙盒往往很慢,效果较差.</p>
<h3>11. 实现密码安全性</h3>
<p>威胁参与者在定位系统和设备时寻找弱密码或默认密码以利用. 当组织使用弱或默认密码时,他们将其数字资产打开以进行蛮力攻击. 为了防止这种情况,组织应使用强密码并实施多因素身份验证.</p>
<h3>12. 使用广告阻滞剂或浏览器安全解决方案</h3>
<p>恶意营销通常用于欺骗用户下载和安装勒索软件. 您可以通过在所有员工设备和浏览器上安装广告阻滞剂来避免这种威胁. 您可以使用自动阻止弹出广告或浏览器安全解决方案的扩展名和插件来限制恶意网站. 这可以大大限制攻击表面.</p>
<h3>13. 禁用脚本执行</h3>
<p>一个常见的策略勒索软件黑客使用的是发送 .带有恶意JavaScript代码的邮递文件. 另一个流行的策略是打包 .vbs(vbscript)文件 .拉链档案.</p>
<p>通过禁用Windows脚本主机并删除设备执行脚本的能力来防止此漏洞.</p>
<h3>14. 部署高级电子邮件安全</h3>
<p>尽管市场上有许多电子邮件安全解决方案可用,但许多人仍然在功能上缺乏高级安全性来防止恶意软件和勒索软件攻击.</p>
<p>传统的沙箱技术已经过时,而不是要满足成熟黑客所面临的挑战,这些黑客采用了多个使用多个逃避技术的攻击.</p>
<p>大多数电子邮件安全解决方案都很慢,无法扩展以满足所需的绩效需求,因此安全专业人员被迫选择延迟所有电子邮件流量以扫描不到100%的电子邮件,并且仅在交付后进行修复威胁. 这给组织的安全带来了巨大的风险.</p>
<h3>15. 部署CASB</h3>
<p>云访问安全经纪人(CASB)可以帮助防止勒索软件. 您可以在本地或云中部署CASB解决方案. 部署后,CASB充当云数据与用户之间的中介. 它可以帮助保护云和本地数据中心之间的数据流,监视云活动,确保合规性和执行安全策略.</p>
<h2>防止勒索软件以感知点</h2>
<p>感知点提供了一个平台,可防止勒索软件,APTS和零日到达最终用户.</p>
<p>高级电子邮件安全性是一种集成的云电子邮件安全解决方案(ICES),可以替换SEG. 解决方案云本地SaaS解决方案可以使用7层高级威胁检测层保护您的组织免受所有威胁,以防止恶意文件,URL和基于社会工程的技术.</p>
<p>高级浏览器安全性将企业级安全性添加到您的组织本机浏览器. 托管解决方案融合了浏览器保护技术与多层高级威胁预防发动机,可提供前所未有的能力来检测和补救网络中所有恶意威胁,包括网络钓鱼,勒索软件,恶意软件,APTS等. 多层静态和动态检测功能可立即检测并阻止对恶意/网络钓鱼网站的访问,并防止恶意文件下载勒索软件,恶意软件和APTS.</p>
<p>云协作,文件共享和存储应用程序的高级威胁保护,例如Microsoft 365应用程序(OneDrive,SharePoint,Teams),Google Drive Box,AWS S3存储桶,Zendesk,Salesforce和其他数百个应用程序,您的组织几乎实时动态扫描. 它不篡改文件,也不会阻碍生产力.</p>
<p>全包托管事件响应服务可为所有客户提供24/7的所有客户,而无需添加费用. Conception Point的网络安全专家团队将管理事件,提供分析和报告,并在现场优化检测. 该服务极大地最大程度地减少了对内部IT或SOC团队资源的需求,从而减少了反应和减轻Web传播攻击所需的时间.</p>
<p>有兴趣了解更多? 与我们联系以进行演示.</p>
<h2>技术操作方法:配置防火墙以阻止&ldquo; WannaCry&rdquo;勒索软件攻击</h2>
<p>巨大的 <strong>&ldquo;想哭&rdquo;</strong> 在过去的几天中. 虽然Infosec社区有很多安全性最佳实践来防御勒索软件攻击,但让我们仔细研究Tufin客户需要知道的内容以及他们可以采取的措施以及其他类似的勒索软件攻击 – 未来.</p>
<p><em>查看此视频,了解Tufin用户如何使用策略浏览器来找到潜在的曝光以及WannaCry可能会陷入的可能的路径和端口的演示.</em> </p>
<h3>首先,一些背景</h3>
<p>攻击者正在利用的漏洞位于Windows的SMB组件中. 服务器消息块(SMB)是一个网络协议,在Windows系统中提供文件和打印机共享服务. SMB可以在公司网络中用于共享文件和打印机;但是,应该 <em>绝不</em> 超越公司网络.</p>
<p>实际上,强烈建议这样做,以至于美国计算机紧急准备小组(US-CERT)于2017年1月发布的咨询建议通过阻止TCP端口445阻止网络边界处的所有版本的服务器消息块(SMB)使用UDP端口上的相关协议137-138和TCP端口139,用于所有边界设备.&rdquo;这项措施阻止了WannaCry攻击,应在商业和家庭防火墙上实施.</p>
<h3>如何防止WannaCry勒索软件攻击</h3>
<p>配置所有 <u>周长</u> 防火墙(或路由器)以如下以下端口访问端口445:</p>
<p><table><tbody><tr><td width=”101″><strong>来源</strong></td> <td width=”101″><strong>源端口</strong></td> <td width=”117″><strong>目的地</strong></td> <td width=”117″><strong>目的端口</strong></td> <td width=”100″><strong>行动</strong></td> </tr><tr><td width=”101″>任何</td> <td width=”101″>任何</td> <td width=”117″>任何</td> <td width=”117″>TCP 445</td> <td width=”100″>掉落或否认</td> </tr></tbody></table></p>
<p>要考虑几点:</p>
<ul>
<li>在您的 <u>周长</u> (也称为&ldquo;边界&rdquo;)防火墙. 这将防止任何SMB流量进入或离开公司网络.</li>
<li>一些防火墙只会提供&ldquo;端口&rdquo;字段 – 在这种情况下,如上&ldquo;目标端口&rdquo;字段中所述配置&ldquo;端口&rdquo;字段.</li>
<li>对于基于区域的防火墙(例如Palo Alto网络和Fortinet)以及将其策略或ACL附加到网络接口(例如Cisco ASA)的防火墙,您应该将&ldquo;源&rdquo;配置为外部或不信任的区域/界面和&ldquo;目的地&rdquo;和&ldquo;目的地&rdquo;和&ldquo;目的地&rdquo;内部区域/接口.</li>
<li>最好的方法是在规则基础的顶部明确阻止所有对TCP 445的入站访问权限,以免通过较低的规则错误地打开它.</li>
<li>我们还建议在内部防火墙上阻止端口445以细分您的网络 – 这将防止内部扩散勒索软件.</li>
<li>请注意,阻止TCP 445将阻止文件和打印机共享 – 如果这是业务需要的,则可能需要在某些内部防火墙上打开端口.</li>
<li>如果外部需要文件共享(例如,对于家庭用户),请使用VPN提供访问权限.</li>
<li>您可能还想用基于主机的防火墙(如iptables)阻止敏感数据</li>
</ul>
<h3>Tufin提供了几种工具,可让客户对防火墙政策的鸟眼视图并准备管理报告:</h3>
<p>Tufin的策略浏览器允许客户:</p>
<ul>
<li>快速扫描所有防火墙以明确允许TCP 445(也是通过服务组)的规则</li>
</ul>
<p>Tufin的政策分析允许客户:</p>
<ul>
<li>快速检查所有规则以确定您的防火墙是否允许端口445</li>
<li>此功能还考虑了遮蔽规则,因此它将告诉您该规则是否确实通过了流量,还是从较高规则中遮盖它</li>
<li>如果您定义了网络区域(在Tufin区域管理器中),则可以使用它们来优化结果(提示:使用否定的&ldquo;内部&rdquo;区域作为源,&ldquo;内部&rdquo;区域作为目的地).</li>
</ul>
<p>Tufin的网络拓扑图允许客户:</p>
<ul>
<li>测试端口445上的流量是否可以进入您的网络</li>
<li>如果您的网络已正确设置,请使用交互式路径分析功能来检查Internet的潜在路线(使用8.8.8.8作为内部网络的来源)</li>
</ul>
<p>Tufin的统一安全策略允许客户:</p>
<ul>
<li>限制互联网和内部网络之间的访问,以禁止TCP 445</li>
<li>在Securetrack仪表板和策略浏览器中查看违规行为</li>
<li>防止将来开放SMB端口</li>
</ul>
<p>在Securetrack中定义统一安全策略的步骤:</p>
<ol>
<li>登录到SecureTrack并进行审核/合规性</li>
<li>确保您在区域管理器(网络/区域)中定义了安全区域 – 在此示例中,我们将所有内部子网添加到&ldquo; LAN&rdquo;区域(自动计算Internet)</li>
<li>创建新的统一安全策略并导入此CSV文件: <br />从区域到区域,严重性,访问类型,服务,规则属性,流动Internet,LAN,High,Block,Block,TCP 445. <br />LAN,Internet,低,允许所有人.</li>
</ol>
<p><img src=”https://www.tufin.com/sites/default/files/inline-images/unified-security-policy.png” alt=”统一安全政策” width=”1149″ height=”266″ /></p>
<ol>
<li>在审核/合规性下,单击新创建的统一安全策略的&ldquo;首选项&rdquo;,选择相关的防火墙并将接口分配给区域</li>
<li>转到网络拓扑图,然后单击&ldquo;同步&rdquo; – 这将迫使统一的安全策略重新计算.</li>
<li>现在,转到仪表板并查看违规行为(您也可以在策略浏览器中搜索它们).</li>
<li>在此处查看更多详细信息:https://论坛.图芬.com/support/kc/最新/configure_security_policy.htm</li>
</ol>
<p>此外,客户可以使用Tufin的REST API来自动化上述任务.</p>
<p>祝您完美安全. <br />鲁维</p>
<h2>免费防火墙更改跟踪器工具</h2>
<p>查看您的所有防火墙,SDN政策和公共云安全组更改,以进行实时可见性和控制.</p>
<h2>这些防火墙最佳实践可以阻止勒索软件攻击</h2>
<p><img src=”https://cyberinsiders.wpenginepowered.com/wp-content/uploads/2020/01/Ransomware-10-696×418.jpg” /></p>
<p>随着勒索软件攻击的新闻头条,CIO和CTO正在寻找一种永久解决方案,以分别遏制对其IT基础架构的攻击. 因此,安全分析师建议采取以下防火墙最佳实践,以防止文件加密恶意软件攻击横向渗透网络. 他们如下-</p>
<p> <strong>降低横向运动的风险-</strong> 如今,威胁监控解决方案提供商提供的防火墙可以检测到网络上横向移动的网络威胁在自动音符上横向移动. 他们通过将LAN分割成较小的子网,然后分配有助于用防火墙隔离这些网络的单独区域来做到这一点. 同时,可以通过应用IPS策略来监视这些区域上的流量.</p>
<p> <strong>在端口上保留一个选项卡-</strong> 最好重新评估所有端口转发规则以消除任何非必需的开放端口. 另外,最好使用VPN从外部访问内部网络上的资源,而不是端口。. 网络管理员应特别保留对RDP的检查,并确保在防火墙上不打开3389.</p>
<p> <strong>IPS保护是必须的-</strong> 对于来回发生的交通交流,最好应用合适的预防系统,该系统有助于在早期阶段检测网络威胁,并有助于分析和挫败/隔离数据包. 请记住,IPS已成为网络安全的重要组成部分,即使网络管理员也无法忽略这些天,与入侵检测系统(IDS)不同,该系统仅用于帮助分析网络流量的签名,以匹配已知网络攻击的签名.</p>
<p>除了具有高效的防火墙外,在需要时可以弹出可以弹出数据连续性的定期数据备份,这可能有助于减少勒索软件攻击的影响。. 也更好地培训企业员工从未单击可以导致勒索软件或其他恶意软件感染的网络钓鱼电子邮件. 将操作系统保持在常规安全补丁时最新是非常必需的.</p>

  可以共享击败佩刀