怎样做终端安全防御?

终端安全主要包括 补丁更新,软件最小化安装,安装防病毒软件,设置强账号和密码 ,使用低权限运行软件

  • 完全修补和更新
    勒索软件和其他恶意软件通常使用各种漏洞攻击来在系统上站稳脚跟,确保操作系统和系统上的所有应用程序都得到了完全修补和更新,这将是最大限度地减少端点被成功利用的方式。针对勒索软件,保持您的电子邮件客户端,浏览器,和Flash完全更新是至关重要的。组织应该有健全的程序来确保正确的补丁管理和软件的日常补丁。

  • 不安装不必要的应用程序和服务
    如果系统上不存在应用程序,则无法利用该应用程序,因此确保端点配置也遵循最小权限原则是减少端点攻击面的有效方法。特别建议不要在不需要Java和Flash的计算机上运行Java和Flash。

  • 无管理权限
    管理权限应仅用于管理任务,并且不应使用具有管理权限的帐户执行正常的计算机操作。这将阻止许多类型的恶意软件获得立足点,因为他们的用户帐户可能根本没有“安装”恶意软件的适当权限。

  • 防病毒软件
    应在所有端点上运行防病毒软件,并将其配置为在访问时扫描文件和其他资源。防病毒软件应保持最新,并应配置警报以通知IT人员任何可能的感染。重要的是要记住,AV在很大程度上是基于签名的,因此,只能有效地检测已知的威胁。AV可能无法提供任何针对新病毒或新恶意软件变体的保护。理想情况下,这些病毒是来自一个不同的供应商,而不是一个用于扫描周边防御级别的病毒

  • 下一代防病毒软件
    下一代反病毒解决方案,具有签名较少的性质,因此有可能检测零日攻击和新的恶意软件变体。下一代AV使用行为检测、机器学习和基于云的文件执行等方法来尝试识别攻击企图和恶意软件。一些下一代AV软件包在PCI-DSS下被认证为AV替代品,但并非所有都是。在许多情况下,它们可以作为对传统AV的潜在补充。

  • 基于主机的入侵检测/防御系统
    这些系统可以是独立的,也可以集成到AV供应商提供的端点保护解决方案中。它们用于检测关键系统文件的可疑更改、潜在的缓冲区溢出以及端点上的其他潜在可疑活动。它们可能有助于对可能爆发的疫情提供早期洞察,有些则在缓解某些攻击企图方面能力有限

  • Web 过滤器
    许多端点防护软件包提供了一种过滤恶意Web内容的附加方法,而且最好也打开这些过滤器,特别是在遵循对内部系统和外围环境使用不同供应商的推荐做法时。这将增加恶意Web内容在系统或用户能够访问之前被阻止的可能性

  • 软件限制策略/应用程序锁
    可以将GPO策略设置为将某些正在运行的应用程序列入黑名单,并将某些正在运行的应用程序列入黑名单,例如用户配置文件的AppData文件夹,该文件夹是常见的恶意软件目标。组织可以制定自己的策略或使用第三层等组织提供的反勒索软件策略。作为GPO黑名单的替代方案,免费的CryptoPrevent实用程序还可以用于将软件限制策略部署到端点。这样的政策是对AV软件的一种有效补充,因为它们不是基于签名的,并且可能会阻止事件新的恶意软件变种成功运行。只需确保测试任何此类策略,以确保它们不会干扰在您的环境中使用的任何合法应用程序。一个比黑名单更好的方法是应用程序白名单方法,但这是一个更具挑战性和耗时的项目,以确保在只允许运行白名单应用程序的情况下不会损坏任何关键应用程序

  • Hosts 文件
    在DNS之前检查Hosts文件以解析IP地址,并且可以使用类似于DNS沉洞的方式来防止恶意域被正确解析。除了其他Web过滤机制外,这还可以为潜在连接到恶意站点的用户或系统提供另一层防御

  • 禁用USB访问
    虽然不像基于Web和电子邮件的传输载体那样常见,但已经有了通过USB驱动器传播的CryptoLocker勒索软件的变体。在可行的情况下,应阻止USB驱动器访问。

  • 虚拟桌面基础架构
    如果组织的端点是虚拟化的,则恶意软件防御的另一个选项是确保所有VDI桌面都是非持久性的,并且系统在每次会话后都恢复到预定义的状态。这将确保在用户会话结束后消除感染VDI桌面的任何恶意软件,并且系统恢复将使桌面恢复到“类似新”的感染前状态。

  • Exploit Protection
    微软以前以EMET的形式提供了Exploit Protection功能,但在Windows安全中心的App&browser控制部分将这些功能集成到了Windows 10中。虽然组织可能希望首先进行测试,以确保运行这些保护时不存在与应用程序兼容性相关的问题,但理想情况下应该启用这些保护。对于那些寻求额外Exploit Protection的用户,许多端点安全产品现在也具有Exploit Protection功能

  • 本地管理员密码解决方案
    虽然作者不知道使用pass-the-hash技术传播到其他系统的任何已知勒索软件变体,但这是许多windows环境中常见的可利用漏洞,因为每台计算机的本地管理密码在所有系统中都很常见。LAPS将系统的本地管理密码随机化,并将密码存储在活动目录中。它还允许设置访问控制,以控制谁可以查找这些广告存储的本地管理密码。因此,LAPS使得攻击者和潜在的蠕虫类恶意软件更难在被破坏的组织中横向移动。

  • 应用程序沙箱
    应用程序沙箱是一种隔离应用程序的方法,这样它们只能访问一组严格控制的资源,如内存和磁盘空间。通常,沙盒应用程序被阻止永久提交对磁盘的任何更改。因此,沙箱应用程序(如web浏览器及其各自的插件)可以帮助防止某些形式的勒索软件影响您的系统,因为沙箱有可能阻止勒索软件访问硬盘或网络共享上的文件。

  • 禁用 SMBv1
    许多勒索软件变体(包括WannaCry)利用SMBv1协议中的漏洞进行攻击。现代版本的windows能够使用较新的SMBv2和/或SMBv3协议,在许多情况下,可以在您的环境中安全地禁用SMBv1。如果在SMBv1协议中发现其他安全漏洞并将其禁用,则可以提供针对未来勒索软件攻击的主动安全防御。

  • 重命名 vssadmin.exe
    卷影副本通常在Windows中用于创建以前版本文件的快照,vssadmin.exe是用于管理这些卷影副本的实用程序。许多勒索软件变体也使用相同的实用程序删除所有卷影副本,并使恢复文件更加困难

参考文献
OWASP 反勒索软件指南http://www.github5.com/view/813

你可能感兴趣的:(安全)