勒索软件攻击防御的9件事

勒索软件是一种特定类型的恶意软件，它将数据作为“人质”来勒索赎金。网络钓鱼电子邮件是其一种常见的传播方式，同时勒索软件也可以借由下载广泛传播，也就是在用户访问受到感染的网站时进行传播。随着网络攻击变得越来越复杂，企业一定要为此做好完全的准备，防止勒索软件导致系统宕机带来的经济及生产力损失。

伺机而动的攻击和数据泄露很难完全杜绝，相信没有组织愿意被迫在支付赎金和丢失重要数据之间做出选择。最好就是从一开始就避免被迫陷入这种两难境地。鉴于这一点，构建出一个分层的安全模式，支持全球威胁情报共享的的网络、端点、应用程序和数据中心。

电子邮件是威胁制造者最常用的攻击媒介之一。邮件安全网关解决方案可以提供高级多层保护，抵御各种通过电子邮件传播的威胁。 沙盒则提供了一层额外的保护。所有通过电子邮件过滤器但仍包含着未知链接、发件人或文件类型的电子邮件都会在到达您的网络或邮件服务器之前被进一步检测。

Web应用防火墙 (WAF)过滤并监控与Web服务相往来的HTTP流量来帮助保护Web应用。这是保证安全的关键要素之一，因为它是抵御网络攻击的第一道防线。一些组织在实施新的数字策划的同时也经常会扩大攻击面。加上网络服务器漏洞、服务器插件等其它问题，可能会导致新的网络应用和应用编程接口(API)暴露在危险流量中。WAF可以帮助保护这些应用程序及其访问内容的安全。

应用威胁情报技术，通过实时可执行的安全情报来帮助规避那些隐蔽的威胁。这些安全防御信息须在组织环境中的不同安全层和产品之间进行共享，从而提供主动防御。此外，共享的信息还应扩展到组织以外更广泛的安全网络社区，如计算机应急响应小组 (CERT)、信息共享和分析中心 (ISAC) 以及网络威胁联盟等行业联盟。快速共享是在攻击发生变异或传播到其它系统或组织之前迅速响应，并能打破网络杀伤链的最佳方式。

传统的防病毒技术有时难免差强人意，随着威胁态势的不断演变，传统技术越来越难以防御。保护这些端点设备需要具有终端检测和响应 (EDR) 功能的安全解决方案及其它安全防御技术。

基于当下的威胁环境，高级攻击只需几分钟或几秒钟就能破坏端点。第一代EDR工具只能靠手动分类和响应，根本无法应对。它们对于当今快如闪电般的恶意威胁来说不仅太慢，还会生成大量警报干扰，让已经超时工作的安全运营团队不堪重负。除此之外，传统的EDR安全工具还会推高安全操作成本并减缓网络流程和功能，给业务带来不必要的负面影响。

相比之下，下一代EDR解决方案提供了高级、实时的威胁情报，具有可视化、分析和管理功能，能有效保护端点在感染前和感染后遏制勒索软件。这些EDR解决方案可以实时检测并规避潜在威胁，主动减少攻击面，防止恶意软件感染，并通过可自定义的playbook自动响应和修复程序。

组织应该定期执行完整的系统和数据备份并将其存储在网络之外。这些备份同时需要进行备份测试，以确保能够正确恢复。

零信任安全模式假设任何试图连接到网络的人或事物都存在潜在威胁。这一网络安全理念认为，除非身份经过彻底检查，否则网络内部或外部的任何人都不应被信任。零信任指出网络内外的威胁无所不在。这些假设引发了网络管理员的思考，迫使他们去设计严格的零信任策略。

采用零信任方法，每个试图访问网络或应用的个人或设备在被授予访问权限之前都必须经过严格的身份验证。这种验证采用多因素身份验证 (MFA)，要求用户在被授予访问权限之前提供多个凭据。零信任同时还包括网络访问控制 (NAC)，用于防止未经授权的用户和设备访问公司或专用网络，帮助确保只有经过身份验证的用户和经过授权并符合安全策略的设备才能进入网络。

随着使用云环境的组织越来越多，多云和混合云等应用场景也不断出现，网络分段就变得越来越重要。通过网络分段，组织可以根据业务需求对其网络进行分区，并根据角色和当前信任状态授予访问权限。每个网络请求都会根据请求者当前的信任状态进行检查。这对于防止威胁在内网的横向移动非常有好处。

人应该是任何网络安全策略的核心。根据Verizon 2021数据违规调查报告，85%的违规行为涉及人为因素。显而易见，即使拥有世界所有的安全解决方案，一旦忽视了对员工的网络安全意识培训，也永远不会得到真正的安全。为了确保所有员工都充分接受培训，学习关于如何发现和报告可疑网络活动、维护网络卫生以及如何保护其个人设备和家庭网络安全知识。员工应在受聘入职以及整个任期内定期接受培训，从而保证他们能掌握最新的信息。同时不断更新培训内容，提供那些可能需要实施的新的安全协议。

教育每个人，尤其是远程工作者，如何保持网络距离、远离可疑请求、借由工具和协议实施基本的安全措施，这样可以帮助CISO在网络最脆弱的边缘建立防御基线，确保其关键数字资源的安全。

与此同时，公司和机构还应保持良好的基本网络卫生，检测系统是否获取正确的更新和补丁。

欺骗式防御技术也是一种可供参考的安全防御手段。尽管它不是一个主要的网络安全策略，但如果您已经采用了所有其它网络安全策略，不法分子仍能找到方法入侵，这种情况下基于欺骗技术的安全解决方案就可以用来帮助保护系统。

欺骗式防御技术通过诱饵仿真创建当前服务器、应用程序和数据，诱骗不法分子以为他们已经渗透并获得了企业重要资产的访问权，当然他们其实并未得手。使用这种方法可以最大限度地减少损害并保护组织的真实资产。不仅如此，欺骗式防御技术还可以缩短发现和遏制威胁的平均时间。

勒索软件攻击变得无处不在。对于企图从薄弱点入侵网络的犯罪分子来说，公司的规模和行业已经不再是什么问题。全球向远程工作模式的转变为不法分子打开了很多安全后门，他们正充分利用这一转变发动攻击。根据Fortinet全球威胁态势报告，截止到2020年底，每天有多达17,200台设备遭遇勒索软件侵害。

公司和机构并非无能为力应对这些威胁。但意味着他们可能不得不重新思考以及重组工作，不过现在已有保护工具能够有效防止勒索软件攻击。根据以上的九条建议，您可考虑需要采取哪些不同的措施，帮助您的组织籍此机会战胜这一重大威胁。

警惕！ “勒索”病毒大爆发，攻击仍在持续！是真的吗？

具体情况

病毒类型： 敲诈者病毒

勒索软件攻击模式：

漏洞攻击包、水坑式攻击、恶意广告，或者大规模的网络钓鱼活动。

感染方式：

邮件、网页、flash播放等。

病毒危害：

一旦勒索病毒发动攻击，并攻击成功，损失几乎无法阻挡。被感染病毒电脑中的文件被加密为sage文件，需支付上万元赎金才能恢复数据，然而也可能会有支付完赎金被骗的情况发生。

解决方式： 目前并无有效的解决办法，只能重装系统，但受感染的文件无法恢复。

应对方法：

1.数据备份和恢复措施是发生被勒索事件挽回损失的重要工作。建议各位老师及时对重要文件数据做好异地备份或云备份，以防感染病毒造成损失。

2.确保所使用电脑防火墙处于打开状态。

3.不要轻易打开不明邮件或链接。

网络攻击的主要4个类型

浏览器攻击

基于浏览器的网络攻击与第二种常见类型相关联。他们试图通过网络浏览器破坏机器，这是人们使用互联网的最常见方式之一。浏览器攻击通常始于合法但易受攻击的网站。攻击者攻击该站点并使用恶意软件感染该站点。当新访问者（通过Web浏览器）到达时，受感染的站点会尝试通过利用其浏览器中的漏洞将恶意软件强制进入其系统。

暴力破解

暴力破解攻击类似于打倒网络的前门。攻击者试图通过反复试验来发现系统或服务的密码，而不是试图欺骗用户下载恶意软件。这些网络攻击可能非常耗时，因此攻击者通常使用软件自动执行键入数百个密码的任务。

暴力破解攻击是遵循密码最佳实践的重要原因之一，尤其是在关键资源（如网络路由器和服务器）上。

长而复杂的密码比愚蠢的密码（例如“123456”，“qwerty”和“password”）更难以通过蛮力破解。请放心：这些是攻击者尝试的第一把钥匙。

拒绝服务（DDoS）攻击

拒绝服务攻击（也称为分布式拒绝服务攻击（DDoS））在网络安全攻击列表中排名第三，并且每年都在不断增强。

DDoS攻击试图淹没资源 例如网站，游戏服务器或DNS服务器 - 充斥着大量流量。通常，目标是减慢或崩溃系统。

但DDoS攻击的频率和复杂性正在增加。

蠕虫病毒

恶意软件通常需要用户交互才能开始感染。例如，此人可能必须下载恶意电子邮件附件，访问受感染的网站或将受感染的USB插入计算机。蠕虫攻击自行传播。它们是自我传播的恶意软件，不需要用户交互。通常，它们利用系统漏洞传播到本地网络之外。

WannaCry勒索软件在几天内感染了超过300,000台计算机，使用蠕虫技术攻击网络和计算机。

WannaCry针对一个广泛的Windows漏洞迅速破坏了一台机器。一旦机器被感染，恶意软件就会扫描连接的LAN和WAN，以查找并感染其他易受攻击的主机。

恶意软件攻击

当然，恶意软件是恶意软件创建用于伤害、劫持或监视感染系统的应用程序。目前尚不清楚为什么“蠕虫病毒攻击”不包含在此类别中 - 因为它们通常与恶意软件相关联。

无论如何，恶意软件很普遍并且众所周知。它传播的三种常见方式包括：

网络钓鱼电子邮件 攻击者创建邮件以诱使受害者陷入虚假的安全感，欺骗他们下载最终成为恶意软件的附件。

恶意网站 攻击者可以设置包含漏洞利用工具包的网站，这些漏洞利用工具包旨在查找网站访问者系统中的漏洞并使用它们将恶意软件强制到其系统中。这些网站还可用于将恶意软件伪装成合法下载。

恶意广告 聪明的攻击者已经发现了使用广告网络分发商品的方法。点击后，恶意广告可以将用户重定向到恶意软件托管网站。某些恶意广告攻击甚至不需要用户交互来感染系统。

网络攻击

面向公众的服务，例如Web应用程序和数据库 也是网络安全攻击的目标。

最常见的网络应用攻击：

跨站点脚本（XSS） 攻击者破坏易受攻击的网站或Web应用程序并注入恶意代码。当页面加载时，代码在用户的浏览器上执行恶意脚本。SQL注入（SQLi）攻击者不是将标准数据提交到文本框或其他数据输入字段，而是输入SQL语句来诱骗应用程序显示或操纵其数据。

Path Traversal 攻击者制定HTTP请求以绕过访问控制并导航到系统中的其他目录和文件。例如，路径遍历攻击可以授予攻击者访问站点Web服务器的核心文件的权限，而不是限于单个网站的内容。

扫描攻击扫描不是彻底的网络攻击，而是攻击前的侦察。攻击者使用广泛使用的扫描工具来探测面向公众的系统，以便更好地了解现有的服务，系统和安全性。

端口扫描器 用于确定系统开放端口的简单工具。存在几种类型，其中一些旨在防止被扫描目标的检测。

漏洞扫描程序 收集有关目标的信息，并将其与已知的安全漏洞进行比较。结果是系统上已知漏洞及其严重性的列表。

其他攻击

我们只能推测绑定到“其他”的网络攻击类型。也就是说，这里有一些常见的嫌疑人：

物理攻击 尝试以老式的方式摧毁或窃取网络架构或系统。被盗的笔记本电脑是一个常见的例子。

内部人员攻击 并非所有网络攻击都是由局外人执行的。愤怒的员工，犯罪的第三方承包商和笨拙的工作人员只是少数潜在的参与者。他们可以窃取和滥用访问凭据，滥用客户数据或意外泄露敏感信息。

高级持续性威胁 最先进的网络攻击由黑客精英团队执行，他们根据目标环境调整和定制技术。他们的目标通常是通过隐藏和“持久”来长时间窃取数据。

展开剩余内容

勒索病毒是什么

勒索病毒，该恶意软件会扫描电脑上的TCP 445端口（Server Message Block/SMB），以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付赎金。勒索金额为300至600美元。那么勒索病毒是什么呢？以下是我帮大家整理的关于勒索病毒是什么，供大家参考借鉴，希望可以帮助到有需要的`朋友。

勒索病毒是什么

勒索软件利用此前披露的Windows SMB服务漏洞（对应微软漏洞公告：MS17—010）攻击手段，向终端用户进行渗透传播，并向用户勒索比特币或其他价值物。

01综合CNCERT和国内网络安全企业已获知的样本情况和分析结果，该勒索软件在传播时基于445端口并利用SMB服务漏洞（MS17—010），总体可以判断是由于此前“Shadow Brokers”披露漏洞攻击工具而导致的后续黑产攻击威胁。

02当用户主机系统被该勒索软件入侵后，弹出如下勒索对话框，提示勒索目的并向用户索要比特币。而对于用户主机上的重要文件，如：照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，都被加密的文件后缀名被统一修改为“。WNCRY”。

03目前安全业界暂未能有效破除该勒索软的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。

应急处置

01及时升级Windows操作系统，及时更新Windows已发布的安全补丁，目前微软公司已发布相关补丁程序MS17—010，可通过微软公司正规渠道进行升级。

02及时关闭计算机、网络设备上的445端口。关闭445等端口（其他关联端口如：135、137、139）的外部网络访问权限，在服务器上关闭不必要的上述服务端口。

03关闭445端口

开始—运行输入regedit。确定后定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters，新建名为“SMBDeviceEnabled”的DWORD值，并将其设置为0，则可关闭445端口。

04在Windows电脑上运行系统自带的免费杀毒软件并启用Windows Updates的用户可以免受这次病毒的攻击。Windows 10的用户可以通过设置—Windows更新启用Windows Updates安装最新的更新，同时可以通过设置—Windows Defender，打开安全中心。

05做好信息系统业务和个人数据的备份。

06已感染病毒机器请立即断网，避免进一步传播感染。

常见的网络安全威胁中 哪些是主动攻击,哪些是被动攻击？

计算机网络上的通信面临以下的四种威胁： (1) 截获—从网络上窃听他人的通信内容。 (2) 中断—有意中断他人在网络上的通信。 (3) 篡改—故意篡改网络上传送的报文。 (4) 伪造—伪造信息在网络上传送。 主动攻击：更改信息和拒绝用户使用资源的攻击，攻击者对某个连接中通过的 PDU 进行各种处理。被动攻击：截获信息的攻击，攻击者只是观察和分析某一个协议数据单元 PDU 而不干扰信息流。 *防火墙 *数据加密 *网络检测入侵 *网络安全漏洞扫描 *访问控制技术 *其他防范措施