勒索软件是一种恶意软件，它限制或阻止用户访问其设备上的文件，直到用户支付赎金为止。勒索软件通过加密目标设备上的文件，有效阻止用户访问。在某些情况下，勒索软件可能不仅仅是阻止访问。它还可以让网络犯罪分子外流数据，并进行分发或出售。此外，通过访问一台设备，他们可能会在整个企业系统中横向移动，迅速扩大攻击面和对组织的潜在破坏。

勒索软件保护

什么是勒索软件防护？

勒索软件保护是一项全面的网络安全工作，其范围不仅限于检测和预防勒索软件攻击。勒索软件保护还包括在攻击成功绕过预防措施时制定补救计划。勒索软件保护还包括创建关键备份和业务连续性计划，使组织能够在攻击成功时迅速恢复在线。

为什么要防范勒索软件？

企业遭受勒索软件攻击的可能性正在迅速增加。2021 年上半年，联邦调查局互联网犯罪投诉中心接到的报告同比激增 62%，投诉量接近 2100 起。一项调查显示，2021 年全球将有超过三分之一的组织遭受攻击，大约每 11 秒钟就会发生一次勒索软件攻击。

鉴于勒索软件攻击一旦关闭数据或应用程序的访问权限，可能会对企业系统和工作流程造成损害，因此许多公司选择支付赎金也就不足为奇了。典型的赎金要求从数百美元到数百万美元不等。平均支付的赎金接近 25 万美元。

最近，备受瞩目的勒索软件攻击影响了关键基础设施和供应链，而由于 COVID 大流行，供应链已经十分紧张。其中最著名的一次攻击针对的是 Colonial 管道，该管道每天负责运输超过 1 亿加仑的燃料。结果导致燃料价格飙升，影响了全美消费者。

Colonial 支付了 500 多万美元的赎金（其中 230 万美元后来追回），但攻击造成的影响更大。据公司消息人士称，修复工作耗资数千万美元。其他攻击，包括2021 年的 CNA Financial 和Kaseya 攻击，也造成了类似的灾难性后果。

尽管勒索软件的威胁日益严重，但许多组织却没有做好识别或应对攻击的准备；近一半的组织缺乏有效的事件响应计划。勒索软件防护不仅对企业网络和数据的安全至关重要。有效的勒索软件防护还能限制攻击后的成本和声誉影响。

如何防范勒索软件

组织可以采取许多措施来降低勒索软件攻击的可能性，并在攻击成功时限制损失。

提高认识

员工是勒索软件的主要攻击媒介。糟糕的密码卫生、过于宽松的访问政策以及对网络钓鱼诈骗的易感性（这仍然是大多数攻击的主要来源）扩大了组织的攻击面，使网络犯罪分子很容易插入勒索软件文件。遗憾的是，许多组织之所以采用这些不良做法，是因为他们担心如果实施更严格的政策，员工会抱怨。

企业必须对员工进行适当的培训，使他们对攻击迹象保持警惕，并主动防御攻击。例如，防止员工点击可疑电子邮件中的链接（如大写或拼写错误的邮件），可以大大改善安全态势。

同样重要的是，企业必须让员工了解严格的安全政策的必要性。虽然员工可能会觉得使用必须经常更换的强密码很不方便，但如果他们突然因为攻击成功而无法工作，那就更不方便了。

更新系统

勒索软件攻击的另一个常见访问来源是过时的传统软件。组织必须在收到软件补丁后迅速应用，尤其是因为许多补丁明确修正了漏洞。

企业还应创建全面的数字资产清单。许多企业在 IT 人员不知情的情况下，仍在使用旧的、未使用的和过时的应用程序访问企业网络。消除或限制这些应用程序是减少公司攻击面的又一步骤。

使用正确的工具

大多数免费工具，如防病毒程序和防火墙，都无法提供足够的保护。勒索软件防护没有 "放之四海而皆准 "的解决方案，企业应根据自身情况使用最佳工具。有效的勒索软件保护包括各种工具，从防病毒程序到先进的深度数据包检查工具，这些工具使用人工智能和机器学习来监控异常活动。

经常备份

备份是防御勒索软件的另一个重要工具。虽然它们不能阻止攻击，但可以限制攻击成功后的负面影响，最大限度地减少对公司及其客户的总体损害。

备份和强大的业务连续性计划使组织能够快速恢复对文件的访问，并在无需支付赎金的情况下恢复运行。然而，这些措施并不能有效防止网络犯罪分子滥用他们可以流出的数据。

勒索软件保护最佳实践

为将勒索软件攻击的可能性降至最低，组织应遵循的具体最佳做法包括

1.强密码政策和 MFA

被破坏的凭证是攻击者获得公司系统插入点的最简单方法之一。因此，企业应执行强大的密码策略并应用多因素身份验证（MFA）协议，以强化端点并改善企业的整体安全态势。

2.最小权限访问、零信任和 IAM 工具

通过限制用户对关键系统和数据的访问，企业可以大大减少攻击面，并限制勒索软件立足或横向传播的机会。基于角色的访问控制（RBAC），如最小权限策略，可确保员工的访问权限正确反映其岗位需求。将 RBAC 与零信任策略（即所有行为者都必须不断进行身份验证）相结合，可提供更高级别的保护。企业可以利用身份和访问管理（IAM）工具有效管理所有这些策略。

3.垃圾邮件过滤器、防病毒程序和防火墙

由于网络钓鱼电子邮件是勒索软件攻击最常见的来源，而员工又极易受到网络钓鱼欺诈的影响，因此企业需要限制员工收到此类电子邮件的数量。配置完善的垃圾邮件过滤器是预防措施的重要组成部分。

同样，防病毒程序是抵御已知攻击的第一道有效屏障。它们也应成为公司勒索软件保护计划的一部分。

如果配置得当，防火墙可提供额外的保护。下一代防火墙可利用深度数据包检查识别网络流量中的异常情况，分流可疑文件，并加固端点。

安全工具的错误配置会产生更多的攻击载体，因此，无论是内部 IT 团队还是外部供应商，组织都应让定期验证配置的安全人员放心。

4.人工智能和 ML 端点安全工具

网络安全工具发展迅速，新方法的应用也日新月异。如今的工具利用人工智能和机器学习算法，快速处理和识别企业网络中不断增加的流量模式。由于这些工具能够独特地适应大数据应用，并在使用中不断自我完善，因此能够弥补其他工具的不足，尤其是在识别以前未知的攻击时。人工智能和 ML 工具应该成为所有反勒索软件工作的一部分。

常见问题

什么是勒索软件？

勒索软件是一种恶意软件，它限制或阻止用户访问其设备上的文件，直到用户支付赎金为止。勒索软件通过加密目标设备上的文件，有效阻止用户访问。

在某些情况下，勒索软件可能不仅仅是阻止访问那么简单。它还可能让网络犯罪分子外流数据，并进行分发或出售。此外，通过访问一个设备，他们可能会在整个企业系统中横向移动，迅速扩大攻击面和对组织的潜在破坏。

了解更多

什么是勒索软件保护？

勒索软件保护是一项全面的网络安全工作，它不仅包括检测和预防勒索软件攻击，还包括在攻击成功绕过预防措施时进行补救规划，以及创建关键备份和业务连续性计划，使组织能够在攻击成功时迅速恢复在线。

哪些人面临勒索软件攻击的风险？

从个人家庭用户到企业员工，每个人都有可能成为勒索软件攻击的受害者。只要设备与外部世界有连接，无论是安全的企业网络还是公共 WIFI 热点，网络犯罪分子都会试图利用它来植入勒索软件。

防范勒索软件的最佳方法是什么？

企业应采用几种最佳实践来加固系统，以抵御勒索软件攻击，其中包括

制定、实施和执行反勒索软件网络安全政策，包括电子邮件和互联网使用政策以及强密码和多因素身份验证政策
基于角色的权限和最少访问政策，限制对关键系统和数据的访问
利用人工智能和机器学习等先进分析方法，实施主动识别潜在攻击（包括已知攻击和零日攻击）的工具
培训员工负责任地使用公司资源，并识别勒索软件攻击的迹象
创建和实施业务连续性计划，包括持续冗余备份，可使组织限制攻击造成的损害

杀毒软件能防范勒索软件吗？

防病毒程序最多只能为勒索软件攻击提供部分解决方案。反病毒工具对已知的恶意行为者和漏洞非常有效，但对零时差攻击的作用有限。

此外，杀毒软件只能在攻击的前端发挥作用。如果攻击成功通过并感染设备，防病毒程序几乎无法减轻或补救攻击。

CylanceGUARD 为勒索软件提供保护

作为一项以人为本、基于订阅的 24x7x365 XDR 托管服务、 CylanceGUARD^®CylanceGUARD 通过基于 AI 的端点防护 (EPP) 和基于人工智能的端点防护 (EPP)，将 ® 所体现的全面专业技术与 ® 所体现的全面专业技术相结合。 BlackBerry Cybersecurity Services与基于人工智能的端点保护 (EPP) 相结合，通过 CylancePROTECT^®、持续身份验证和分析（通过 CylancePERSONA^™进行持续验证和分析，以及通过 CylanceOPTICS^®.简而言之，CylanceGUARD 为企业提供所需的人员和技术，以保护企业免受现代威胁。