防範勒索軟體的三個關鍵

阻止勒索軟體攻擊的最有效方式，便是阻止其進入您的組織。企業營運所需的應用程式和服務數量持續增加。結果導致攻擊範圍增加，包括網路、SaaS 型應用程式和端點等等，而防護措施未能發揮應有的效用。隨著威脅執行者變得更加嫻熟，發動新攻擊的速度比修復或修補弱點的速度更快。因此，組織需要開始全面思考本身的安全平台。

從偵測轉向預防

傳統的網路安全方法主要偏重於偵測和修復，但是這種做法已不再有效。為了防禦勒索軟體攻擊，必須從偵測轉變為預防。我們需要在攻擊感染組織並造成破壞之前便加以阻止。組織必須具備適當的安全架構，才能實現如此的轉變，該架構需要具備三個關鍵功能：

1.縮小攻擊範圍
2.預防已知威脅
3.辨識並預防未知威脅

1.縮小攻擊範圍

為了縮小攻擊範圍，您必須針對網路流量，以及應用程式、威脅和使用者行為掌握全面的可見度。您可能並不知道網路上發生的情況，攻擊者卻對此瞭若指掌並藉此乘虛而入。將活動分類有助於正確決定應該允許的活動，並突顯需要進一步調查的未知事件。藉由如此的可見度，您即可採取行動，例如阻止未知流量、識別進階攻擊，或僅啟用具有正當業務目的的應用程式。

流量經過分隔後，就需要實施基於應用程式和使用者的政策。這些政策存在變化無窮的排列組合，能夠限制特定使用者群組和網路特定部份對於某些應用程式進行的存取。憑藉高可見度和正確的政策，即可阻絕攻擊者在網路上發動惡意軟體攻擊所用的絕大多數方法。

若要進一步縮小攻擊範圍，您需要阻止所有危險和潛在危險的檔案類型。雖然並非所有檔案類型都有惡意，但是應該阻止用於惡意用途的機率較高的檔案類型。阻絕危險的檔案類型後，需要設定與您的風險承受能力相符的政策。應該阻止使用者從不合規的端點連線到重要的網路資源。

2.預防已知威脅

縮小攻擊範圍後，下一步就是預防已知威脅。若要這麼做，需要阻止已知的入侵、惡意軟體及命令與控制流量進入網路。阻止這些內容後，發動攻擊的成本就會上升，攻擊者被迫必須開發新的惡意軟體變種，且只能針對罕為人知的弱點發動新的攻擊，因此再發動攻擊的可能性會降低。

您也需要阻擋使用者接觸已知的惡意與網路釣魚 URL，以避免不慎下載惡意軟體或造成使用者的認證遭竊。阻止這些威脅即可完全消除上述風險。阻止這些已知威脅後，您需要掃描 SaaS 應用程式來尋找已知惡意軟體，因為利用它們來傳遞威脅的情況愈來愈多。應該阻止掃描所識別的任何惡意軟體和入侵。同時，還應該針對端點上的已知惡意軟體和入侵進行相同的程序。

3.辨識並預防未知威脅

阻止已知威脅後，必須識別並阻止任何未知威脅，因為攻擊者會繼續發動新的零時差入侵，開發新的勒索軟體變種。第一步需要偵測並分析檔案與 URL 內的未知威脅。提交新檔案時，必須觸發、分析和搜尋從未見過的惡意行為。此外，您需要盡快將防護措施自動推送到安全基礎架構的所有其他部分，以防威脅得逞。防護措施中應該包括相應脈絡，用於瞭解與攻擊相關的攻擊者、惡意軟體、活動和入侵指標。一旦識別並封鎖未知威脅或可疑行為趨勢之後，封鎖端點上的未知惡意軟體與入侵，以確保所有存取點安全無虞。

此過程的最終目標是使未知威脅變為已知，針對整個攻擊生命週期，面對不斷開發惡意軟體和入侵的攻擊者，快速採用新的防護措施，改善安全態勢。