勒索软件防护

对犯罪分子而言，勒索软件是低风险高回报的机会。勒索软件的数量和复杂程度都已显著增加。鉴于业务数据和运行IT系统的价值不断增加，这种威胁只会愈演愈烈。

勒索软件已变得更加常见-且更加代价高昂。

根据安全研究公司 CyberSecurity Ventures 的数据，到 2021年，企业将每11秒遭受一次勒索软件攻击，全球每年由于勒索软件破坏而产生的成本将达到200亿美元。

1、勒索软件危险不断加剧：攻击者视角

就其本质而言，勒索软件是设计用于敲诈受害者以获取经济利益的恶意软件。

从攻击者的角度思考：使用勒索软件，攻击者可通过互联网连接的端点(通常是通过基于浏览器的下载或 社交工程网络钓鱼电子邮件)潜入组织。

敲诈可能有几种不同的形式：最常见的是加密文件，阻止用户操作系统，直到支付赎金为止。另一种方法是窃取敏感数据，如个人识别信息(PII)、财务或客户数据，并威胁将其公开。

勒索软件的关键是利用本地可用用户特权的能力。更复杂的勒索软件将提升这些特权(如果本地可用)，或通网络设备发现特权，以访问更有价值的数据。勒索软件还可以禁用现有防御措施，留下后门程序或隐藏身份以在未来进行攻击。

典型勒索软件攻击径路

勒索软件的作案者是机会主义者，他们会选择最适合自己目标的策略；

使用机器人自动查找已知通用漏洞披露(CVE)；

在选择目标时会利用分散注意力的事件，例如在全球疫情期间针对医疗机构；

在暗网中广泛的勒索软件攻击中寻找有用的恶意软件家族并下载；

重复使用经过强化和稍作修改的流行恶意软件家族，例如Cryptolocker、Petya和 Locky。这有助于攻击者避开名单防御措施，并在受害者打补丁之前更快地攻击漏洞。

2、多层级的终端安全保护

除了良好的安全习惯(培训、打补丁和备份数据)之外，还有几种方法可以保护端点，防止勒索软件攻击。

反病毒(AV)或新一代反病毒 (NGAV) 解决方案主要基于黑名单或白名单。尽管AV有助 于阻止大量已知恶意软件，但阻止列表无法助您防御时常改变的动态勒索软件。

内容拆解与重建 (CDR) 解决方案可让您移除未通过所设置规则和策略批准的组件(如电,子邮件附件)。CDR功能包括垃圾邮件防护、URL 分析、附件沙箱和动态内容筛选。

端点检测和响应(EDR)和新的扩展 (XDR)解决方案持续监控端点，以帮助识别可疑活动。EDR 分析可检测不易察觉的恶意 活动，或在威胁扩散至整个企业之前发出警报。

基于零信任客户端的特权账号管理(PAM)解决方案可以配合NGAV,CDR,EDR解决方案，在终端设备上面开启可信工作空间，采用网络分段隔离技术，精细化授权访问控制文件传输，剪贴板复制粘贴的通道，集中管理所有应用软件和工具，视频流与操作流会话隔离，彻底阻断勒索软件入侵的路径，防止勒索软件攻击。

3、特权和当今的勒索软件

随着IT部门的扩展，人类和非人类(应用程序、服务账户、机器人等)身份、凭据和权限都已显著增加和扩展。越来越多的远程工作人员和第三方供应商在企业网络之外的远程端点上工作，而他们通常使用较弱的身份验证过程。管理这些凭据已成为一个巨大的挑战。事实上，企业拥有大量过度授权的人类和非人类身份，许多都位于端点上或通过端点访问。

终端设备上这些保护不力的凭据和权限对勒索软件的犯罪分子来说是巨大的财富。

攻击者试图通过易受攻击的端点用户账户和权限、或者在理想情况下(且通常情况下)通过不必要和保护不力的本地管理账户权限，在网络中获得立足点。采用假设漏洞的思维方式可帮助您阻止这些入侵，同时防止进一步传播和破坏。勒索软件(事实上，几乎任何恶意软件)通过提升特权进行传播，并利用提升后的权限访问、加密和或泄露更多有价值的文件。

特权管理解决方案旨在更好地管理这些暴露程度较高设备上的账户特权。

通过端到端地应用全面的最小权限，仅向用户授予执行工作所需的权限，从而帮助阻止勒索软件在端点上获得立足点。

通过零信任客户端采用视频流与操作流分段隔离技术，阻断数据交换的通道，防止勒索软件在网络上的横向移动。

通过强身份验证，客户端准入验证，持续客户端验证，提权审批等安全机制确保接入安全和访问控制安全，避免终端成为黑客的踏板。