用於商業上的傷害減輕步驟

保持合作夥伴設備的作業系統與應用程式都是已更新的。

  • 最重要的應用軟體必須安裝最新的安全性更新,也包括行動裝置在內。
  • 如果可以的話,啟用自動更新的選項。 安裝最新的更新檔不只讓裝置更為安全,也能運行的更順暢。
  • 評估是否需要防毒軟體與防惡意軟體產品,並且保持這些軟體在最新版本。
  • 定期的執行掃描能保障你的作業系統有效率的運行。
  • 考量使用中控式的更新管理與使用風險評估策略來決定哪個系統應該成為更新管理計畫的一部份。
  • 定期備份你的系統,線上或離線。 保持最新的備份是從勒索軟體攻擊中回覆的最有效方法。
  • 確認你的離線備份是存放在不同的位置(理想狀況是在第三地),不與你的網路或系統,雲端服務也盡可能執行此作法。 要謹記在心,勒索軟體會主動的把備份檔案作為目標,來增加受害者付出贖金取回資料的可能性。

要認清你的資產並且進行規劃。

敏感資料必須與一般性資料在處理上有所差異。

  • 將敏感資料儲存在被獨立區隔的地方。
  • 為了限制惡意入侵者在網路分段中移動,必須實作並確保有效的網路分段區隔。
  • 確保不同角色與安全等級的設定檔是分放在不同的區域中,對容易曝露在威脅中的部份進行隔離與限制存取。

對遠端桌面協定(RDP)進行安全存取

對網路資源存取要進行限制,尤其是RDP。 在風險評估後,若RDP對你的組織來說是絕對必須的,限制資源存取,並且進行多因子認證

監控資料洩露。

許多勒索軟體行為都伴隨著將資料公開的威脅以促使企業支付贖金。 越早偵測到資料外洩,越少資料被公開的傷害。 監視資料洩露可以深入了解哪些資料有曝露風險。

無法保證攻擊者不會公布資料或重複使用相同的資料進行額外勒索。 無論是否支付贖金,都要考慮這兩種情況。

測試你的系統。

定期針對你的網路安全進行滲透測試,並測試關鍵資料回存過程,以確保其如預期般運行。

降低惡意內容到達你的網路的可能性。

  • 停用腳本運行環境以及巨集。
  • 設定主動檢查系統內容,僅允許某些文件類型並阻止已知為惡意的網站、應用程式、協定等。
  • 在網路層次,考慮過濾網路流量,實施監控策略、過濾和阻止非法或惡意流量到達你的網路。
  • 實施基於實時威脅情報來源的黑名單/白名單規則,以防止使用者訪問惡意網站、惡意 IP 地址、網路釣魚 URL、匿名代理伺服器、Tor 網路和其他匿名服務等。

增加密碼強度並定期更改密馬。

  • 使用數字、符號並混合大小寫可以幫助你創造出較強的密碼。
  • 培訓和鼓勵你的員工在他們的工作和私人生活中使用強密碼,並推廣使用密碼管理器。

使用高強度認證。

需要多因子身份驗證才能訪問關鍵網路上的帳號,以最大程度地降低駭客使用被竊取或入侵的憑據來進行訪問的風險。

管理高權限帳號的使用。

  • 限制員工在公司網路設備上安裝和運行軟體應用程式的能力。
  • 確保運用帳號使用策略、使用者帳號控制和特權使用者訪問管理,來限制使用者和系統帳號。
  • 根據最小權限原則規劃存取權限,僅知原則和職責分離。 與一般使用者帳號相比,特權使用者帳號的潛在危害將導致更大的風險。

保護你的遠端辦公設備。

  • 實施諸如硬碟加密、休眠登出、隱私螢幕、強身份驗證、禁用藍牙以及可移動媒體控制和加密(例如 USB 隨身碟)等措施。
  • 實作一個遠端禁止訪問丟失或被盜設備的方法。

僅安裝來自受信任來源的應用程式。

在連接到企業網路的移動設備上,公司應該只允許安裝來自官方來源的應用程式。 作為一種選擇,可以考慮構建一個企業應用程式商店,終端使用者可以通過它存取、下載和安裝企業批准的應用程式。 諮詢你的安全供應商以獲取建議,或在內部構建你自己的安全機制。

對通過公共 Wi-Fi 網路訪問公司資料的行為要有所警惕。

一般來說,公共Wi-Fi網路是不安全的。 如果員工在機場或咖啡店使用免費 Wi-Fi 連接存取公司資料,則資料可能會曝露給惡意使用者。 建議企業在這方面制定有效的使用政策。

為你的員工提供網路安全教育和意識培訓。

  • 教育你的員工了解公司的線上安全政策。 花點時間提高對網路威脅的認識,尤其是網路釣魚和社交工程,以及如果他們遇到可疑活動該怎麼辦。
  • 考慮實施使用者培訓計劃,其中包括針對魚叉式網路釣魚的模擬攻擊,以阻止員工訪問惡意網站或打開惡意附件。
  • 為你的員工提供一種快速的方式來即時報告網路釣魚電子郵件並在他們這樣做時給予獎勵。 一個簡單的感謝彈出視窗或積分系統有助於促使員工保持警惕並報告他們發現的可疑情況。

探索網路責任保險。

考慮尋找一家保險代理人,在發生網路攻擊時提供保險。

啟用本地端防火牆。

打開本地端防火牆以幫助防止未經授權的存取。

停用Windows PowerShell。

若不使用,則停用Windows PowerShell。 某些勒索軟體變種是透過PowerShell來執行的。

感染了...下一步要做什麼?

  1. 1) 立即斷開連接,但不要關閉受感染設備的所有網路連接,無論是有線、無線還是行動電話。
  2. 2) 在非常嚴重的情況下,請考慮是否有必要關閉 Wi-Fi、禁用任何核心網路連接(包括交換機)以及斷開互聯網連接。
  3. 3) 重置憑據,包括密碼(尤其是管理員和其他系統帳號的密碼),但請確認你沒有將自己鎖定在恢復所需的系統之外。
  4. 4) 將事件報告給你國家的警察或其他主管當局。
  5. 5) 與調查攻擊的主管當局協調,保留所有證據:創建受影響系統的取證圖像(或系統快照),創建受影響系統的 RAM 轉存,並保留任何網路流量或其他網路流量日誌。
  6. 6) 訪問 www.nomoreransom.org,檢查你的企業是否感染了我們免費提供 decryption 工具 的勒索軟體變體之一。 如果不是這種情況,請繼續執行恢復步驟。
  7. 7) 安全清除受感染的設備並重新安裝作業系統。
  8. 8) 從備份恢復之前,請確認它沒有任何惡意軟體。 僅當你非常確信備份和連接它的設備是乾淨的時候,才可以進行恢復。
  9. 9) 將設備連接到乾淨的網路以下載、安裝和更新作業系統和所有其他軟體。
  10. 10) 安裝、更新和執行防病毒軟體。
  11. 11) 重新連接到你的網路。
  12. 12) 監控網路流量並執行防病毒掃描以確定是否仍有感染。