勒索软件对企业数据有着毁灭性的破坏力,而且企业中了勒索病毒后,如果没有相关的数据备份,要么承担损失,要么只能支付赎金。因此勒索软件的种类和扩散逐年递增,防御勒索软件工作成为了企业数据安全防护工作中的众矢之的。
勒索软件的传播途径和工作原理主要有两种:
1). 通过攻击windows服务器漏洞入侵到企业内网,然后再进行大面积的攻击感染。
2). 通过邮件、网站挂马、文件等方式,先感染个人电脑,然后攻击整个局域网。
目前最广泛的是第一种传播方式,一些企事业单位为了工作方便,把服务器的3389端口、文件共享端口都映射到互联网,就等于给黑客开了一个后门。攻击者的扫描程序一旦扫描到这些端口,就可以发起攻击。
所以,对勒索软件的防范,主要考虑以下方面(以WSG上网行为管理为例):
1. 用防火墙策略禁止相关端口
如下图,用防火墙策略,把135,137,138,139,445,3389端口都屏蔽掉。
2. 阻止来自国外的连接
攻击者的IP大部分都是来自国外,所以我们只要把国外的IP都屏蔽了,即可在源头上屏蔽掉绝大部分攻击。如图:
3. 开启入侵检测和防御
入侵检测模块可以检测勒索软件的攻击,一旦发现有攻击数据,立刻禁止其连入,从而阻止后续的攻击手段。如下图:
上面的几条措施,都是在网络层面来阻挡勒索软件的攻击,只要进行上述的配置,已经可以切断80%以上的攻击来源。但是,您还需要注意防范通过邮件、文件拷贝的病毒传播,建议通过在电脑上安装杀毒软件来进行单机的保护。