蓝盟-系统集成-蓝盟官网

蓝盟IT外包：勒索病毒感染后如何应对？-四大绝招

发布者：上海IT外包来源：www.linemore.com

勒索攻击这事并不新鲜，每年都会发生。即便在全球新冠疫情影响期间，网络世界里的攻击团伙也丝毫不受限制，反而愈演愈烈，勒索行业一直在“茁壮成长”。相比其它的恶意攻击，勒索攻击带来的破坏力更大，给很多行业造成严重的影响，如企业系统瘫痪，业务无法正常运行；医院信息系统暂停，患者无法及时就诊等等。
仅在去年12月，包括佳能、Garmin、柯尼卡美能达和嘉年华在内的主要消费者公司就成为主要勒索病毒攻击的受害者，从而导致支付数百万美元以换取文件访问权。
勒索病毒感染后应该如何应对？以下是四大绝招：
斩断源头
最重要的第一步，就是第一时间意识到出了问题。越早检测到勒索病毒攻击，受影响的数据就越少。这也直接影响恢复环境所需的时间。不过现实往往是企业看到了赎金文件后才认识到自己中招了，但损害已经造成。因此，拥有可以识别异常行为（例如异常文件共享）的网络安全解决方案，可以帮助快速隔离勒索病毒感染并在其进一步蔓延之前将其阻止。
通过部署具有微隔离防病毒扩散且能限定终端访问权限的edr体系可以有效防范，如果具有病毒诱捕模块，在关键的系统路径上放置和系统关键文件相似的文件，当该文件被加密时，可以马上定位该病毒程序，并经该病毒程序进行查杀并通告全网，该病毒有害，防止其他终端受到感染，第一时间对感染进行防范。
勒索病毒常常通过网络钓鱼电子邮件攻击——带有危险文件附件或超链接的电子邮件是攻击的主角，邮件网关等防御机制也是必须的。
快速止损
检测到感染后，需要立即隔离勒索病毒进程并阻止其进一步传播。如果是在公有云中，攻击通常来自远程或由勒索病毒进行加密的第三方应用程序或浏览器插件驱动的其他进程。只要挖掘并隔离勒索病毒攻击的来源就能帮助我们遏制感染，从而减轻对数据的破坏。这个过程必须自动化，在识别出感染后，自动化程序会通过删除可执行文件或扩展名来阻止攻击，并将受感染的文件隔离。
恢复业务
在大多数情况下，即使前两招用的很快，依然会有一部分数据被加密需要还原，这就需要有良好的备份计划和执行到位的备份体现才可以发挥作用。
1.所有重要文件必须3个副本，即一个主要文件和两个备份文件；
2.将文件备份在2种不同的媒介中；
3.至少1份副本在异地。
良好的数据备份，是恢复业务的救命稻草。
斩草除根
业务恢复后，一定要严格测试对数据和任何受影响的关键业务系统的访问权限，以确保成功恢复业务，一定要解决所有遗留的问题，然后再将整个业务系统重新投入生产。如果在检查过程中发现IT环境中的一些响应时间比平常慢，或者文件大小大于正常大小，则可能表明数据库或存储中仍存在一些未被处理的威胁。
最好的进攻才是好的防守。中招之后想要重新获得重要文件的访问权，只有两种选择：对抗或支付赎金，根据最近的一份报告，支付赎金的组织中约有42％的文件未被解密。现在针对企业的病毒攻击造成损失的比例中，勒索病毒的比例越来越大，如果良好的安全备份和攻击探测响应系统，企业的业务系统将面临一场巨大的灾难。

微软云

IT采购

弱电工程

系统集成

客户故事

蓝盟IT外包：勒索病毒感染后如何应对？-四大绝招

400-635-8089