勒索软件的威胁继续困扰着各种类型和规模的企业。SANS研究所报告称，2022年至2023年期间，勒索软件活动增长了73%，Corvus Insurance 公司在2024年确定了55个新的勒索软件团伙。对于企业而言，为潜在的勒索软件攻击做好准备，应该是当务之急。

首先请评估现有的网络安全控制和流程，以确保你在勒索软件出现时做好准备。为了做好准备，让我们来看看可以帮助任何企业抵御勒索软件威胁的策略、控制、技术和功能。

安全工作负载和端点

为了抵御勒索软件攻击，请从你的工作负载和端点开始。这些是常见的初始攻击对象。

查看你的端点安全功能。这些工具应该是最新的，并提供强大的预防、检测和响应能力。

你的勒索软件预防工具应该仔细审查浏览器、电子邮件客户端、PDF阅读器、PowerShell、Visual Basic、Java和文档交互（例如Microsoft Word和Excel）。当出现批量文件加密和基于内存的恶意软件的迹象时，你会希望这些工具提醒你。这些工具还应该检测和监控USB和可移动介质的使用情况。

你应该选择这样的产品：具有基于内容类型的数据丢失防护功能、可执行威胁狩猎和证据收集以及提供灵活警报。

你还希望与其他产品集成和配合，例如网络检测和响应（NDR）、扩展检测和响应和/或SIEM。

接下来，请考虑配置管理和修复功能。勒索软件的初始攻击方法经常利用新暴露的漏洞，例如远程访问漏洞、应用程序缺陷或协议中的暴露，包括远程桌面协议。适当的补丁管理实践将减少这些风险的暴露。

请务必考虑额外的端点安全策略，这些策略可以帮助预防和检测勒索软件。为了加强防御：

• 不允许最终用户在端点上存储重要文件。如果可能的话，引导他们前往中央文件存储或基于云的存储。
• 考虑将虚拟桌面基础设施用于关键应用程序、特权用户和用例。
• 如果可能的话，适用零信任网络访问（ZTNA）选项替换VPN，以安排所有访问。其中很多服务还提供远程浏览器隔离功能，以沙盒化浏览器活动。

对于勒索软件防御，另一个关键领域是电子邮件和协作工具/服务安全。勒索软件通常通过电子邮件传播。它还通过SharePoint和类似的协作服务或通过Dropbox和OneDrive等云存储应用程序进行传播。

首先，通过以下方式应用电子邮件安全控制：

• 建议用户仔细检查发件人的电子邮件地址，并注意不寻常的日期格式或语言特殊性。
• 指导用户避免打开电子邮件或点击来自未知发件人的链接或附件。
• 实施标准电子邮件身份验证协议，以保护你的电子邮件域免受域名伪造。示例包括基于域的消息身份验证、报告和一致性；DomainKeys识别邮件；以及发件人策略框架。
• 使用来自领先提供商的电子邮件安全网关/服务。

对于所有关键的协作服务，请尽可能部署以下安全措施：

• 访问控制。
• 身份验证。
• 角色和特权。
• 数据安全。
• 共享设置。
• 监控。
• 恶意软件防护。

定期进行权限和访问审查也很有必要。要查找云协作工具和服务中启用过度权限的位置，请检查以下内容：

• 孤立的账户。
• 客人帐户。
• 第三方帐户。
• 不匹配的团队成员/组。

任何勒索软件防御计划都应与业务连续性控制和流程保持一致。并确保协调业务连续性和灾难恢复（BCDR）测试计划和时间表：除非执行定期测试，否则备份实际上不是准确的备份。

也请考虑三级备份。这些将关键数据复制到异地数据存储服务，通常在云中。在短期内，三级/辅助备份的总保留期为30至90天。使用每日时间表，并避免任何持续打开的网络端口或服务，防止被勒索软件攻击者利用。

对你复制的数据要有高度的选择性。考虑将此复制工作与强调数据和应用程序优先级的BCDR工作保持一致。优先考虑时间敏感的数据（例如金融交易）或对继续业务运营至关重要的数据。

另外，考虑气隙模型。对于备份，空隙只是意味着离线存储备份数据，并将其与生成位置物理分离。这可以通过虚拟磁盘和云存储来完成。现在还有专门针对勒索软件的专业云服务。

另一个常见的勒索软件防御是不可变存储。主要云提供商现在支持对象锁定，也称为一次写入、多次读取（WORM）或不可变存储。实现与此对象锁定功能无缝集成的备份，以创建不可变的备份。有些备份解决方案还提供基于策略的调度，根据需要针对保留时间和迁移进行调整。

你的备份策略应该遵循3-2-1备份规则。在3-2-1策略中，你至少确保以下：

• 你数据的三份副本。
• 两种用于备份的介质类型。
• 一个备份存储在异地位置。

有些常见的3-2-1工作流程将磁盘与云、网络连接存储与云以及磁盘与磁带相结合。

更新事件响应流程和规程

每个企业都需要更新其事件响应程序和指导手册，以涵盖勒索软件场景。

准备工作

首先，创建针对勒索软件的指导手册，以便快速响应。响应速度需要精确到秒。此外，请确保你有离线存储的勒索软件响应指导手册和计划。更新沟通计划，以包括法律层面和赎金谈判者。确定保险公司的具体通知要求（如果适用）。

虽然行政领导并不总是能接受，但创建加密货币钱包并不是坏主意，以便你准备好支付赎金，如果这是你的企业最终采取的行动方案的话。

请务必进行特定于勒索软件的演习和桌面演练，并检查执法联系人是否是最新。

检测和分析

创建检测手册，以便你了解在各种情况下会发生什么，例如用户报告的问题、赎金通知、来自端点检测和响应（EDR）或SIEM工具的警报、威胁情报或执法通知，以及看到恶意软件运营者出售对你网络的访问权限的广告。

学会识别你面临的恶意软件类型很重要，因为这将帮助你了解它将如何表现以及采取什么反应。确定感染的范围、防止再次感染的初始感染载体，以及是否发生数据泄露。这需要培训和致力于持续研究。

阻止和根除

制定阻止和隔离指导手册，以便你准备好行动。常见的策略包括以下内容：

• 使用带外通信，因为攻击者可能会监控电子邮件或其他在线通信形式
• 将文件共享离线。
• 限制VPN等远程入口点，直到事件被控制。
• 使用EDR工具的网络遏制功能来隔离系统。

帮助阻止和根除勒索软件的其他建议包括以下内容：

• 重置任何被盗帐户的密码。
• 从用户邮箱中删除受恶意软件感染的电子邮件。
• 从受信任的来源重新安装操作系统。
• 在任何受影响的系统上重置密码。
• 考虑组织范围的密码重置。
• 删除任何持久机制。
• 删除恶意软件植入物（Metasploit、Cobalt Strike等）。
• 修补面向互联网的系统上的任何漏洞。
• 考虑支付赎金。

恢复

理想情况下，你可以考虑使用执法部门提供的解密密钥解锁系统，或者在支付赎金后从黑客那里解锁系统。有时可以通过恶意软件分析或在线研究来发现解密解决方案，这本质上是一个逆向工程过程。否则，你将需要从已知的、干净的备份中恢复数据和系统，从最关键的系统开始。确保实施EDR和NDR签名和监控。你将希望能够发现威胁指标（IOC），并发现攻击者的战术、技术和程序。最后，如果需要，请更改任何其他帐户/系统密码。

事件后活动

事件响应的最后阶段包括与各种内部和外部各方进行记录、沟通和协调。考虑在事件中吸取的经验教训，以制定改进计划。准备数据泄露通知（如果需要），以及其他监管报告要求，例如证券交易委员会的重大性通知。

更新技术控制和流程，以防止未来发生。与CISA等执法和信息共享组织共享IOC。

应对勒索软件的其他注意事项

通过勒索软件的准备和保护，值得考虑的控制区域范围或可能需要创建或更新的流程类型几乎没有限制。以下是一些需要关注的重要领域：

• 加强安全意识培训。当员工未通过网络钓鱼模拟或其他测试时，请将此视为机会，以通过额外的意识培训来教育这些员工。奖励那些通过测试或发现真实攻击的员工。为意识培训和测试制定具体的指标，包括特定时间段内的违规次数以及观察到的违规类型。
• 限制特权和访问。寻找过度使用特权和远程访问数据的案例。SolarWinds Permissions Analyzer、BloodHound Enterprise、NTFS Permissions Auditor和Copernic Business Server Search等工具可以提供帮助。考虑特权用户管理工具和堡垒主机，并检查ZTNA概念和产品，看看它们是否可以补充你组织的安全策略。
• 评估网络保险。期望保险公司密切审查你的安全控制和能力。彻底记录你的程序，最好遵循某种类型的框架，例如来自ISO或NIST的框架。还要记录过去12-18个月程序中的任何更新和需要注意的项目。

寻找对付款和保险范围有明确规定的保险公司。免赔条款很常见，这些需要明确理解和陈述。了解哪些事件需要通知，哪些不需要通知。协调与保险公司、CISO和其他利益相关者的会议，并警惕经纪人所谓的澄清背书，这是“免赔”的花哨术语。

准备支付赎金

虽然有些企业采取强硬路线反对进行勒索软件付款，但大多数企业至少会考虑在最坏的情况下这样做。在讨论和规划时，请务必让关键利益相关者参与进来，包括法律顾问、保险公司、执法部门以及任何顾问和专家。还要咨询律师，以确定支付赎金的法律影响。