美国CISA联合发布了勒索软件防护指南

近日，美国CISA（国土安全部下属的网络安全和基础设施安全局)和MS-ISAC（州际信息共享和分析中心) 联合发布了勒索软件防护指南，该指南是以客户为中心的一站式资源，提供了最佳实践和预防，保护方法，帮助美国政府和企业更好地应对勒索软件攻击。

 

勒索软件防护指南包括两部分：

勒索软件预防最佳实践勒索软件响应清单

如果您的企业曾经遭遇过勒索病毒，或者面临此威胁，建议详细阅读此指南，并遵循其最佳实践。

勒索软件预防最佳实践

做好准备，以防不测

维护离线加密数据备份，定期测试备份至关重要。备份程序应定期进行。重要的是，备份必须离线，因为许多勒索软件变种会尝试查找和删除任何可访问的备份。保持离线状态，当前备份最为关键，可无需为组织支付勒索赎金。1. 在需要重建关键系统时，维护定期更新的“黄金镜像”。这就需要维护镜像“模板”，可以快速部署和重建系统，预配置操作系统和相关的软件应用程序。（例如虚拟机或服务器系统，桌面系统等）2. 除了系统镜像之外，还应该备份适用的驱动程序或应用程序安装文件（与备份，软件许可协议等一起存储）。创建，维护和执行基本的网络事件响应计划以及相关的通信计划

勒索软件感染媒介

1. 勒索软件感染媒介：面向Internet的存在漏洞，错误配置的设备

定期进行漏洞扫描以识别和解决漏洞，尤其是暴露在Internet的设备上的漏洞，以限制攻击面定期将软件和操作系统更新到最新版本确保已正确配置设备并启用了安全功能。例如，禁用不用于商业目的的端口和协议（例如，远程桌面协议[RDP] –[TCP] 3389端口）采用最佳实践来使用RDP和其他远程桌面服务。攻击者通常会通过暴露的和安全性较差的远程服务获得对网络的初始访问权，然后传播勒索软件。禁用或阻止出站SMB服务器消息块协议，并删除或禁用过时的SMB版本。攻击者使用SMB在组织之间传播恶意软件。

2. 勒索软件感染媒介：网络钓鱼

实施网络安全意识和培训计划，其中包括有关如何识别和报告可疑活动或事件的指南（例如网络钓鱼）。在组织范围内进行网络钓鱼测试，以评估用户的安全意识，增强识别潜在恶意电子邮件的能力在邮件网关上实施内容过滤，以过滤恶意电子邮件（例如已知恶意主题），并在防火墙处阻止可疑IP地址和URL。实施基于域的邮件身份验证，报告和一致性（DMARC）策略和身份验证。考虑禁用Microsoft Office宏。这些宏为攻击者打开了大门。

3. 勒索软件感染媒介：先前的恶意软件感染

确保防病毒软件的程序版本和签名是最新，且配置正确。此外，开启自动更新。CISA建议使用集中管理的企业防病毒解决方案，大型企业应该选择EDR，这样可以检测“高级”恶意软件和勒索软件。1. 勒索软件感染可能是先前尚未解决的网络入侵的证据。例如，许多勒索软件感染是现有恶意软件感染的结果，例如木马，TrickBot，Dridex或Emotet。2. 在某些情况下，勒索软件的部署只是网络入侵的最后一步，以混淆以前的攻击活动。在所有资产上实施应用程序控制，以确保只运行授权的软件和进程，并且阻止所有未经授权的软件执行。考虑部署入侵检测系统（IDS），以检测在勒索软件部署之前发生的命令和控制活动以及其他潜在的恶意网络活动。

4. 勒索软件感染媒介：第三方和托管服务提供商

请考虑与贵组织合作的第三方或托管服务提供商（MSP）的风险管理和网络卫生习惯。MSP一直是勒索软件影响客户组织的感染媒介。攻击者可能会利用您的组织与第三方和MSP的信任关系。

最佳实践和安全加固指导

尽可能将MFA用于所有服务，尤其是对于Webmail，VPN和访问关键系统的帐户将最小特权原则应用于所有系统和服务，以便用户仅具有执行工作所需的访问权限。攻击者经常寻找特权帐户，以渗透网络和传播勒索病毒。利用最佳实践并启用与Microsoft Office 365等云环境关联的安全设置开发并定期更新全面的网络拓扑图，该图描述组织网络中的系统和数据流（请参见图1）。这在稳定状态下很有用，可以帮助事件响应者了解应将精力集中在哪里。使用网络分段或物理手段来隔离组织内的各个业务部门或部门IT资源，并保持IT与运营技术之间的分离。确保您的组织具有全面的资产管理方法。根据组情况，通过组策略将PowerShell的使用限制为特定用户。通常，仅应允许管理网络或Windows操作系统的那些用户或管理员使用PowerShell。更新PowerShell并启用增强的日志记录。PowerShell是一种跨平台，命令行，shell和脚本语言，是Microsoft Windows的组件。攻击者使用PowerShell部署勒索软件并隐藏其恶意活动。保护域控制器（DC）。攻击者通常将DC作为攻击目标并将其用作切入点，以在整个网络范围内传播勒索软件保留并充分保护来自网络设备和本地主机的日志。以便对网络安全事件进行分类和补救。可以分析日志以确定事件的影响并确定是否发生了事件。对几个月内的网络活动进行基线分析，以确定行为模式，以便可以将正常的合法活动与异常的网络活动（例如，正常帐户活动与异常帐户活动）区分开来。

勒索软件响应清单

如果您不幸感染了勒索病毒，可遵循如下步骤：

确定受影响的设备，并立即将其隔离。仅在无法断网的情况下，关闭它们的电源，以避免勒索软件广泛传播。分流受影响的系统进行恢复。与您的团队协商，分析并记录已发生事件。联系您的内部和外部团队以及利益相关者了解他们可以提供哪些内容以帮助您缓解，响应事件并从事件中恢复。对受影响的设备的样本进行系统镜像和内存捕获。此外，收集任何相关日志以及任何“前兆”恶意软件二进制文件的样本以及相关的可观察对象或危害指标（例如，可疑的命令和控制IP地址，可疑的注册表项或检测到的其他相关文件）。有关可用的解密工具，请咨询联邦执法部门，因为安全研究人员已经破坏了某些勒索软件变种的加密算法。研究特定勒索软件变种的行为，并遵循建议的其他任何步骤来识别受影响的系统或网络。确定最初入侵所涉及的系统和帐户。这可能包括邮件帐户。入侵通常涉及大量的凭证泄漏，建立立即重置所有系统的帐号密码。查看感染服务器的事件记录，例如会话和打开文件列表，流量等。检查现组织有的检测或防御系统（防病毒，EDR端点检测和响应，IDS，入侵防御系统等）的日志。这样做可以更加快速进行取证，攻击朔源。

Bitdefender EDR整体安全解决方案

在一个管理控制台，全面管理和保护本地数据中心，虚拟化，超融合环境，办公网络，云环境，移动办公，分支机机构，IoT环境EDR+EPP+NTA，集成的安全加固，端点检测和响应，网络流量分析和攻击取证平台

 

安全加固模块

 

预防模块

 

EDR端点检测和响应模块

 

勒索病毒防护指南，完整报告下载

http://www.bitdefender-cn.com/downloads/docs/CISA勒索病毒防护指南.pdf