您應該向勒索軟件攻擊者付款嗎？ 微軟說不

勒索軟件影響著大大小小的 PC 用戶，一些城市最近受到軟件的嚴重打擊和癱瘓數週，這些軟件會加密他們的數據並要求付款以使計算基礎設施再次運行。 勒索軟件通常還針對備份系統，使其無法恢復到已知良好的備份。

當面臨贖金要求時，關鍵基礎設施和數十萬人無法行使行政職能時，許多城市都想支付贖金，有些城市實際上已經讓步了。

然而，微軟在他們的建議中明確表示永遠不要向恐怖分子屈服：

我們從不鼓勵勒索軟件受害者支付任何形式的贖金要求。 支付贖金通常是昂貴的、危險的，而且只會增強攻擊者繼續其行動的能力； 歸根結底，這相當於為攻擊者拍拍背。 需要注意的最重要的事情是，向網絡犯罪分子付費以獲得勒索軟件解密密鑰並不能保證您的加密數據將被恢復。

不幸的是，微軟並沒有詳細說明該怎麼做，而是建議預防勝於治療，並表示：

……每個組織都應將網絡安全事件視為何時發生，而不是是否會發生。 擁有這種心態有助於組織在此類事件發生時快速有效地做出反應。

Microsoft 建議採用以下策略：

1. 使用有效的電子郵件過濾解決方案

根據本 24 年第 2018 卷 Microsoft 安全情報報告，垃圾郵件和網絡釣魚電子郵件仍然是勒索軟件感染最常見的傳遞方式。 為了在其入口點有效阻止勒索軟件，每個組織都需要採用電子郵件安全服務，以確保對進入和離開組織的所有電子郵件內容和標頭進行掃描，以查找垃圾郵件、病毒和其他高級惡意軟件威脅。 通過採用企業級電子郵件保護解決方案，針對組織的大多數網絡安全威脅將在入口和出口處被阻止。

2. 定期對軟硬件系統進行修補和有效的漏洞管理

許多組織仍然未能採用古老的網絡安全建議和針對網絡安全攻擊的重要防禦措施之一——軟件供應商發布後立即應用安全更新和補丁。 這種失敗的一個突出例子是 2017 年的 WannaCry 勒索軟件事件，這是互聯網歷史上最大的全球網絡安全攻擊之一，它使用了 Windows 網絡服務器消息塊 (SMB) 協議中的一個洩露漏洞，微軟為此發布了一個在第一次公開事件前將近兩個月的補丁。 定期修補和有效的漏洞管理計劃是防禦勒索軟件和其他形式的惡意軟件的重要措施，也是確保每個組織都不會成為勒索軟件受害者的正確步驟。

3. 使用最新的防病毒軟件和端點檢測和響應 (EDR) 解決方案

雖然僅擁有防病毒解決方案並不能確保對病毒和其他高級計算機威脅提供足夠的保護，但確保防病毒解決方案與其軟件供應商保持最新是非常重要的。 攻擊者在創建新病毒和漏洞利用方面投入巨資，而供應商則通過發布其防病毒數據庫引擎的每日更新來迎頭趕上。 擁有和更新防病毒解決方案的補充是使用 EDR 解決方案，從端點收集和存儲大量數據，並提供基於主機的實時文件級監控和系統可見性。 該解決方案生成的數據集和警報有助於阻止高級威脅，並且通常用於響應安全事件。

4. 將管理憑證和特權憑證與標準憑證分開

作為一名網絡安全顧問，我通常向客戶提供的第一個建議是將他們的系統管理帳戶與其標準用戶帳戶分開，並確保這些管理帳戶不能跨多個系統使用。 分離這些特權帳戶不僅可以實施適當的訪問控制，還可以確保單個帳戶的入侵不會導致整個 IT 基礎架構的入侵。 此外，使用多因素身份驗證 (MFA)、特權身份管理 (PIM) 和特權訪問管理 (PAM) 解決方案是有效打擊特權帳戶濫用的方法，也是減少憑據攻擊面的戰略方法。

5. 實施有效的應用程序白名單計劃

作為勒索軟件預防策略的一部分，限制可以在 IT 基礎架構中運行的應用程序非常重要。 應用程序白名單確保只有經過組織測試和批准的應用程序才能在基礎架構內的系統上運行。 雖然這可能很乏味並且會帶來一些 IT 管理挑戰，但這種策略已被證明是有效的。

6.定期備份關鍵系統和文件

恢復到已知良好狀態的能力是任何信息安全事件計劃中最關鍵的策略，尤其是勒索軟件。 因此，為確保此過程的成功，組織必須驗證其所有關鍵系統、應用程序和文件是否定期備份，並且這些備份定期測試以確保它們是可恢復的。 眾所周知，勒索軟件會加密或破壞它遇到的任何文件，並且通常會使它們無法恢復； 因此，至關重要的是，所有受影響的文件都可以從存儲在不受勒索軟件攻擊影響的輔助位置的良好備份中輕鬆恢復。

微軟還提供 模擬勒索軟件攻擊的工具。  Microsoft Secure Score 可幫助組織確定啟用哪些控件來幫助保護用戶、數據和設備。 它還將允許組織使用內置的機器學習將他們的分數與類似的配置文件進行比較，同時 攻擊模擬器 允許企業安全團隊運行模擬攻擊，包括模擬勒索軟件和網絡釣魚活動。 這將幫助他們了解員工的反應並相應地調整安全設置。

微軟當然還提供雲備份工具，旨在檢測對用戶數據的大規模操縱並阻止其進行。

閱讀更詳細 Microsoft 的檢測和響應團隊博客在這裡。