Kaspersky的專家就8個最常見的加密勒索組織(Conti/Ryuk、Pysa、Clop、Hive、Lockbit2.0、RagnarLocker、BlackByte和BlackCat)所採用的策略、技術和程序作出了深入分析,比較他們在不同階段攻擊時所使用的方法和工具,得出結論是各組織的操作十分相似,並針對結果提出預防入侵的建議。
8項建議預防入侵
有興趣的人士可以瀏覽Kaspersky的Common TTPs of Modern Ransomware Groups完整報告,而就著分析的發現,專家們提出了預防入侵的8項建議:
- 過濾傳入流量 – 所有外圍設備都應該具備過濾政策,包括路由器、防火牆和IDS系統等,也不要忘記過濾垃圾和網絡釣魚電郵,更可以使用沙盒來核實電郵附件。
- 攔截惡意網站 – 限制存取已知的惡意網站,也可以考慮使用Intelligence data feed去維持最更新的網絡威脅清單。
- 使用Deep Packet Inspection (DPI) – 在gateway等級使用DPI級別的方案能讓你核查惡意程式的傳輸流量
- 封鎖惡意編碼 – 使用簽章來封鎖惡意程式
- RDP防護 – 盡可能關閉RDP,因如有原因不能停用,就能該打RDP port 3389的系統放在防火牆之後,並只容許透過VPN進行存取。
- 多重認證 – 於所有能夠遠距存取的位置使用多重登入認證、強力的密碼和自動帳號封鎖的策略。
- 列出允計的連線 – 使用硬件防火牆強制執行容許連線的IP限制
- 修補已知安全漏洞 – 在遙距傳取的系統和裝置上定時安裝安全漏洞補丁
額外的防護
如果想為機構配備額外的工具,協助盡早瓦解攻擊散播的途徑和調查事故,可以考慮EDR等級的方案,Kaspersky Endpoint Detecion and Response Expert更能通過雲端或本地部署。
資料來源:Kaspersky Blog
