国际安全与技术研究所(IST)日前发布了“勒索软件防御蓝图”。该指南包括针对中小型企业(SMB)的防御措施的建议,以防范和应对勒索软件和其他常见网络攻击。它侧重于与国际标准与技术研究所(NIST)网络安全框架一致的识别、保护、响应和恢复格式。其指南并不包括国际标准与技术研究所(NIST)框架中的一项:检测功能。报告建议中小型企业应与网络安全服务提供商合作,以实现这一功能。
这些建议是围绕保障措施制定的,包括14项基础保障措施和26项可操作的保障措施。
识别网络上内容的安全措施
国际安全与技术研究所推荐以下基本保护措施,以帮助确定中小型企业网络上需要保护的内容:
- 建立并维护一份详细的企业资产清单。
- 建立和维护软件清单。
- 建立和维护数据管理流程。
- 建立和维护账户清单。
中小型企业可能需要更多指导来了解其计算机和软件带来的风险。许多人使用较旧的技术,因为它是关键业务线应用程序所需要的。中小型企业只是清点自己的资产是不够的;需要评估所面临的风险,因为仍在使用旧资产和旧软件。
可操作的保障措施是确保支持授权软件。
保护网络基础设施的保障措施
接下来的建议包括如何保护这些资产:
- 建立和维护安全的配置过程。
- 建立和维护网络基础设施的安全配置过程。
- 建立访问授权流程。
- 建立访问撤销流程。
- 建立和维护漏洞管理流程。
- 建立和维护补救过程。
- 建立和维护安全意识计划。
中小型企业中的工作站使用不安全的密码,或者没有为内部部署访问和远程访问提供适当的保护。网络攻击者通常通过远程桌面访问或破解网络上相同的本地管理员密码进入。更糟糕的是,当用户没有使用适当的网络访问权限时。中小型企业通常设置有域管理员权限,并查看如何部署密码,无论是否拥有传统的域和工作站设置或云计算和Web应用程序,需要查看多因素身份验证选项。
接下来,查看如何管理和修补计算资源。仅依靠Windows Update来管理计算机系统上的更新是不够的。需要查看维护和部署更新的选项。
培训员工不要点击不明来源的链接是保护网络的最佳方法之一。无论采取何种保护措施,最好的防御措施是受过安全教育的最终用户不会点击链接并询问是否合法。即使企业没有正式的网络钓鱼培训计划,也要确保用户了解欺诈和攻击。
正如白皮书所指出的:“勒索软件具有多种初始感染媒介,有三种媒介造成了大部分入侵尝试:一是使用远程桌面协议(RDP),这是一种用于远程管理Windows设备的协议。二是网络钓鱼(通常是来自信誉良好的恶意电子邮件源,但旨在窃取凭据或敏感信息),三是利用软件漏洞。强化资产、软件和网络设备可以抵御这些顶级攻击媒介,并弥补可能因不安全的默认配置而存在的安全漏洞。如果无法禁用/删除默认帐户、更改默认密码和/或更改其他易受攻击的设置,则会增加被网络攻击利用的风险。本节中的保障措施要求中小型企业在服务器上实施和管理防火墙,并管理企业网络和系统上的默认帐户。”
推荐的可行保护措施是:
- 管理企业资产和软件的默认帐户。
- 使用唯一的密码。
- 禁用休眠帐户。
- 将管理员权限限制为专用管理员帐户。
- 对于外部公开的应用程序需要多因素身份验证。
- 需要多因素身份验证才能进行远程网络访问。
- 需要多因素身份验证才能进行管理访问。
- 执行自动化的操作系统补丁管理。
- 执行自动化的应用程序补丁管理。
- 仅使用完全支持的浏览器和电子邮件客户端。
- 使用DNS过滤服务。
- 确保网络基础设施是最新的。
- 部署和维护反恶意软件。
- 配置自动反恶意软件签名更新。
- 禁用可移动媒体的自动运行和自动播放。
- 培训员工识别社交工程攻击。
- 培训员工识别和报告安全事件。
事件响应的保障措施
中小型企业经常忽略有关事件响应的下一组建议:
- 建立和维护报告事件的企业流程。
- 建立和维护审计日志管理流程。
企业通常希望他们的系统在安全事件发生后尽快恢复到正常水平,因此不确定一些中小型企业是否会建立一个报告事件的流程。在此给出的建议是调查一种云计算服务,该服务会累积并提醒网络上的异常事件。如果不了解日志记录试图告诉的内容,那么只是进行日志记录是不够的。最好提供一种服务,能够关联这些事件并提醒潜在的问题。
事件响应的可行保障措施包括:
- 指定人员来管理事件处理。
- 建立和维护用于报告安全事件的联系信息。
- 收集审计日志。
- 确保足够的审计日志存储。
在遭遇网络攻击后恢复的保障措施
勒索软件可以采用备份很容易地克服这个过程。该框架建议的基本保障是建立和维护一个数据恢复过程。以下是建议的恢复保障措施:
- 执行自动备份。
- 保护恢复数据。
- 建立和维护独立的恢复数据实例。
中小型企业可能没有考虑或测试他们的恢复流程。备份可能无法正常工作,或者在勒索软件的情况下,没有从网络对重建的立场进行测试。
蓝图文档包括推荐工具和资源的链接。对于没有IT经验的中小型企业来说,制定这些工具清单可能会令人生畏,所以也建议使用这些工具来检查顾问使用的工具。讨论他们使用什么流程,看看他们是否有可比较的资源。
可采取行动的恢复保障措施包括:
- 执行自动备份。
- 保护恢复数据。
- 建立和维护隔离的恢复数据实例。