国际安全与技术研究所(IST)发布了“勒索软件防御蓝图”。该指南包括针对中小型企业(SMB)的防御措施建议,以防范和应对勒索软件和其他常见网络攻击。它侧重于识别、保护、响应和恢复符合美国国家标准与技术研究院(NIST)网络安全框架的格式。它的指南不涵盖美国国家标准与技术研究院(NIST)框架之一:检测能力。该报告建议中小企业应与网络安全服务提供商合作以启用此功能。这些建议是围绕保障措施制定的,包括14项基本保障措施和26项可操作保障措施。识别网络内容的安全措施国际安全与技术研究所推荐以下基本保护措施,以帮助确定SMB网络上需要保护的内容:建立并维护详细的企业资产清单。建立和维护软件清单。建立和维护数据管理流程。创建和维护帐户列表。中小型企业可能需要更多指导以了解其计算机和软件带来的风险。许多人使用较旧的技术,因为它是关键业务线应用程序所必需的。中小企业仅仅盘点自己的资产是不够的;需要评估风险,因为遗留资产和遗留软件仍在使用中。可操作的保护措施确保许可软件得到支持。保护网络基础设施的安全措施以下建议包括如何保护这些资产:建立和维护安全的配置过程。为网络基础设施建立和维护安全的配置过程。建立访问授权流程。建立访问撤销流程。建立和维护漏洞管理流程。建立并维护补救流程。建立和维护安全意识计划。SMB中的工作站使用不安全的密码,或者没有为本地和远程访问提供适当的保护。网络攻击者通常通过远程桌面访问或破解网络上相同的本地管理员密码来获得访问权限。更糟糕的是,当用户没有使用适当的网络访问权限时。中小型企业通常设置有域管理员权限并查看密码的部署方式,无论是传统的域和工作站设置还是云计算和Web应用程序,都需要查看多因素身份验证选项。接下来,看看如何管理和修补计算资源。仅依靠WindowsUpdate来管理计算机系统上的更新是不够的。需要查看维护和部署更新的选项。培训员工不要点击来自未知来源的链接是保护网络的最佳方法之一。无论采取何种保护措施,最好的防御措施是受过安全教育的最终用户不会点击链接并询问它是否合法。即使企业没有正式的网络钓鱼培训计划,也要确保用户了解诈骗和攻击。正如白皮书所指出的那样:“勒索软件有多个初始感染媒介,三种媒介占了大多数入侵尝试:一个使用远程桌面协议(RDP),这是一种用于远程管理Windows设备的协议。二一是网络钓鱼(通常来自信誉良好的恶意电子邮件来源,但旨在窃取凭据或敏感信息),三是利用软件漏洞。强化资产、软件和网络设备可以抵御这些主要攻击媒介,并弥补由于安全默认配置而可能存在的安全漏洞。未能禁用/删除默认帐户、更改默认密码和/或更改其他易受攻击的设置会增加被网络攻击利用的风险。本节中的保护措施要求小型企业在服务器上实施和管理防火墙,并管理公司网络和系统上的默认帐户。”推荐的可操作保护措施是:管理公司资产和软件的默认帐户。使用唯一的密码。禁用休眠帐户。将管理员权限限制为专用管理员帐户。对外公开的应用程序需要多因素身份验证。远程网络访问需要多重身份验证。管理访问需要多重身份验证。执行自动化操作系统补丁管理。执行自动化应用程序补丁管理。仅使用完全支持的浏览器和电子邮件客户端。使用DNS过滤服务。确保您的网络基础设施是最新的。部署和维护反恶意软件。配置自动反恶意软件签名更新。禁用可移动媒体的自动运行和自动播放。培训员工识别社会工程攻击。培训员工识别和报告安全事件。事件响应的保障措施SMB通常会忽略下一组事件响应建议:建立和维护用于报告事件的公司流程。建立和维护审计日志管理流程。企业通常希望他们的系统在发生安全事件后尽快恢复到正常水平,因此不确定某些SMB是否有适当的流程来报告事件。此处给出的建议是调查一种云计算服务,该服务会累积网络上的异常事件并发出警报。如果不了解日志记录试图说明的内容,日志记录是不够的。最好提供一种将这些事件与潜在问题警报相关联的服务。事件响应的可能保障措施包括指定人员管理事件处理。建立和维护用于报告安全事件的联系信息。收集审计日志。确保足够的审计日志存储。网络攻击后恢复的保障措施勒索软件可以通过备份轻松克服这一过程。该框架建议的基本保障措施是建立和维护数据恢复流程。以下是推荐的恢复保护措施:执行自动备份。保护恢复数据。建立和维护独立的恢复数据实例。SMB可能没有考虑或测试他们的恢复过程。备份可能无法正常工作,或者在勒索软件的情况下,尚未从网络重建的角度进行测试。蓝图文档包含指向推荐工具和资源的链接。对于没有IT经验的SMB,制作这些工具列表可能会令人生畏,因此也建议使用这些工具来检查顾问使用的工具。讨论他们使用什么流程,看看他们是否有可比较的资源。可操作的恢复保护措施包括:执行自动备份。保护恢复数据。建立和维护隔离的恢复数据实例。
