防止勒索软件的 3 个关键点

阻止勒索软件需要从检测转向预防，通过减少攻击面以及已知和未知的威胁防御来实现。

阻止勒索软件攻击的最有效策略依赖于防止它们进入您的组织。企业运营所需的应用程序和服务数量持续增加。结果是攻击面增加，保护措施无效，包括网络，基于SaaS的应用程序和端点。随着威胁参与者变得更加熟练，新攻击的部署速度超过了修复漏洞或实施补丁的速度。因此，组织需要开始全面考虑其安全平台。

从检测转向预防

传统的网络安全方法主要集中在检测和修复上，但这不再有效。为了防止勒索软件攻击，实践中从检测到预防的转变至关重要。在攻击感染组织并造成伤害之前阻止攻击。组织必须具有适当的安全体系结构才能实现此转变，该转变有三个关键要素：

1-减少攻击面

2-防止已知威胁

3-识别和预防未知威胁

1-减少攻击面

为了减少攻击面，您必须全面了解网络上的流量，包括应用程序、威胁和用户行为。如果您不知道网络上发生了什么，攻击者可能会将其用作进入的一种方式。通过对活动进行分类，您可以对应允许的内容做出正确的决策，并突出显示需要进一步调查的未知事件。通过这种可见性，您可以采取措施，例如阻止未知流量，识别高级攻击，或者只是仅启用具有有效业务目的的应用程序。

一旦流量被分隔开来，就需要强制实施基于应用程序和用户的策略。这些策略有无限数量的排列，这些排列限制了某些用户组和网络的某些部分对某些应用程序的访问。通过高可见性和正确的策略，攻击者用于在您的网络上进行恶意软件攻击的绝大多数方法都可以被切断。

为了进一步减少攻击面，您需要阻止所有危险和潜在危险的文件类型。尽管并非所有文件类型都是恶意的，但应阻止那些具有较高恶意可能性的文件类型。阻止危险文件类型后，需要实施符合风险承受能力的策略。应阻止用户将不合规的终结点连接到关键网络资源。

2-防止已知威胁

减少攻击面后，下一步是防止已知威胁。为此，您需要阻止已知的漏洞利用、恶意软件和命令控制流量进入您的网络。一旦这些被阻止，执行攻击的成本就会上升，随后，通过迫使攻击者创建新的恶意软件变体并针对鲜为人知的漏洞启动新的漏洞利用来降低其可能性。

您还需要通过阻止访问已知的恶意和网络钓鱼 URL 来防止用户无意中下载恶意负载或其凭据被盗。阻止这些威胁会将它们从等式中完全删除。一旦这些已知威胁被阻止，您需要扫描基于 SaaS 的应用程序上的已知恶意软件，因为它们越来越多地被用于传递威胁。应阻止扫描中已识别的任何恶意软件和漏洞利用。对于端点上的已知恶意软件和漏洞利用，也应执行相同的操作。

3-识别和预防未知威胁

一旦已知威胁被阻止，就必须识别并阻止任何未知威胁，因为攻击者会继续部署新的零日漏洞并利用并开发新的勒索软件变体。第一步将涉及检测和分析文件和URL中的未知威胁。随着新文件的提交，必须引爆，分析和寻找从未见过的恶意行为。此外，您需要尽快自动将保护措施推送到安全基础架构的不同部分，以防止威胁成功。这应该包括上下文，以了解攻击者，恶意软件，活动以及与攻击相关的入侵指标。一旦识别并阻止了未知威胁或可疑行为趋势，请阻止端点上的未知恶意软件和漏洞利用，以确保所有接入点都是安全的。

此过程的最终目标是将未知转化为已知，并通过新的保护措施改善安全状况，其速度比攻击者在整个攻击生命周期中开发恶意软件和漏洞利用的速度更快。

原文始发于微信公众号（xiaozhu佩奇学安全）：防止勒索软件的 3 个关键点