勒索软件又称勒索病毒,是一种特殊的恶意软件,又被归类为“阻断访问式攻击”(denial-of-access attack),与其他病毒最大的不同在于攻击方法以及中毒方式。
任何组织和个人都可能成为勒索软件攻击的目标,网络犯罪分子可能无差别攻击,也可能针对更有价值的组织,如政府机构、医院等更有意愿支付赎金的组织,拥有敏感数据的机构。勒索软件不仅影响组织的正常运行,导致业务停滞或中断,还可能会泄露商业秘密,影响企业形象。
根据勒索软件所使用的勒索方式,主要分为以下三类:
使用 DataSecurity Plus 的勒索软件检测和响应功能,发现并遏制勒索软件攻击。
在短时间内多次修改文件和加密证据是勒索软件的两个明显迹象。使用一些简单的模式,DataSecurity Plus可以及早检测到这些勒索软件的迹象,并在攻击发生时识别它们。可以按照以下步骤配置自动威胁响应机制,以便在勒索软件攻击开始时立即关闭任何勒索软件攻击。
1、运行数据安全Plus导航到“警报”选项卡
2、单击页面右上角的新建警报配置文件。
3、命名警报配置文件并包含适当的描述(例如,“潜在的勒索软件攻击”)。
4、在严重性选项卡中,选择严重。
5、打开阈值限制部分并指定要监控的事件数(例如,“一分钟内修改 100 次文件”)*。
6、导航到条件部分,并在选项卡下添加以下筛选器:
7、使用“排除”选项卡可忽略单个文件、组织特定的文件类型和文件夹,以进行选择性监视并防止误报检测。并减少误报。
8、导航到电子邮件通知并指定要向其发送警报的一个或多个电子邮件地址。将电子邮件优先级设置为高。
9、在“执行命令”文本框中,运行默认脚本(例如,“{install_location} \bin \alertScripts \triggershutdown.bat %server_name%”),以关闭受感染的系统。
注意:您还可以执行禁用用户帐户、禁用网络的其他脚本,或者根据组织需求定制的自己的脚本之一。
10、要保存配置的警报,请单击保存。
现在,已成功将 DataSecurity Plus 配置为检测并响应在一分钟内检测到 100 多个文件事件(如创建、修改和重命名)的方案。
*阈值限制将根据服务器大小、用户数量和使用级别而有所不同。
Q:当检测到勒索软件攻击时,可以自动断开用户的会话吗?
A:DataSecurity Plus允许执行自己的脚本以执行根据组织需求定制的操作(例如,断开用户会话,锁定用户帐户或关闭系统)。
Q:可以检测到未来的勒索软件攻击吗?
A:DataSecurity Plus可以及时识别所有勒索软件攻击并生成基于阈值的告警,这些告警在定义的时间跨度内发生一定数量的受监控事件时触发。
Q:可以阻止像WannaCry和Petya这样的已知勒索软件感染整个网络吗?
A:许多勒索软件变体在加密数据时使用特定的文件扩展名,DataSecurity Plus使用这些恶意文件扩展来识别已知的勒索软件变体并立即阻止它们。
Q:如果勒索软件感染了网络,可以确定攻击的起始位置吗?
A:DataSecurity Plus能识别攻击开始的机器的客户端IP,可以使用此信息和其他信息执行根本原因分析。
Q:刚刚提醒已检测到可能的勒索软件活动,该怎么办?
A:如果是这种情况,那么DataSecurity Plus应该已经关闭了可能受感染的系统。从这里开始,您应该分析审计数据,以确定它是哪种勒索软件变体,并从那里开始规划您的策略。
DataSecurity Plus数据可见性和数据泄漏防护组件,可帮助企业抵御内部威胁、防止数据丢失并满足合规性要求。