如何保护您的组织免受顶级恶意软件的侵害

图片：土坯股票

对于网络安全前线的人们来说，2021 年又是艰难的一年。随着网络攻击的数量和复杂性都在增加，组织处于防御状态，试图保护他们的网络、数据和端点免受损害。世界各国政府越来越多地加强对公共部门和私营部门的帮助。一项新的政府公告着眼于 2021 年的顶级恶意软件菌株，并就如何阻止它们提供建议。

检查最常见的恶意软件类型和菌株

周四发布的联合咨询来自美国网络安全和基础设施安全局 (CISA) 和澳大利亚网络安全中心 (ACSC)。如咨询中所述，网络犯罪分子经常使用恶意软件来破坏易受攻击的计算机和移动设备。目标是访问受感染的系统以窃取敏感信息或传递勒索软件。

恶意软件的示例包括病毒、蠕虫、特洛伊木马、勒索软件、间谍软件和 rootkit。2021 年，CISA 和 ACSC 确定的恶意软件类型最多的是远程访问木马 (RAT)、银行木马、信息窃取程序和勒索软件。其中大多数已经存在了五年多，给了它们充足的时间来演变成不同的变体。

更具体地说，咨询中挑选出的顶级恶意软件菌株是 Agent Tesla、AZORult、Formbook、Ursnif、LokiBot、MOUSEISLAND、NanoCore、Qakbot、Remcos、TrickBot 和 GootLoader。所有这些都已经存在了至少五年，而 Qakbot 和 Ursnif 已经徘徊了十多年。

Qakbot 和 TrickBot 受雇于在俄罗斯默许下运作的欧亚网络犯罪分子，用于创建僵尸网络以发起或促进勒索软件攻击。该公告称，TrickBot 恶意软件通常为 Conti 勒索软件提供初始访问权限，该软件在 2021 年上半年用于全球近 450 次勒索软件攻击。

在其他恶意软件中，Formbook、Agent Tesla 和 Remcos 在 2021 年被用于广泛的网络钓鱼活动。网络钓鱼电子邮件和相关网站利用对 COVID-19 大流行的恐惧和担忧从企业和个人那里窃取个人数据和敏感凭证。

“大多数恶意软件都利用网络钓鱼电子邮件和恶意附件，这本身并不令人惊讶，尤其是当传统的安全检测和过滤一直难以从非恶意中识别出恶意时，”威胁情报主管 Paul Laudanski 说在电子邮件安全提供商 Tessian。“今天的威胁参与者利用独特的网络钓鱼 URL，而一次性使用的 URL 使得安全机构验证目标位置变得特别困难。”

安全专家如何保护他们的组织免受恶意软件威胁

为了保护您的组织免受最新的恶意软件攻击，该公告提供了以下提示：

保持所有软件更新

请务必更新您的操作系统、应用程序和固件。但优先修补已知被利用的漏洞以及关键的安全漏洞，这些漏洞可以在面向互联网的系统上实现远程代码执行或拒绝服务攻击。为了帮助完成此过程，请考虑使用补丁管理系统。此外，注册 CISA 的免费网络卫生服务，该服务提供漏洞扫描。

实施多因素身份验证 

随时随地使用MFA 。此外，要求所有帐户都使用强密码，包括服务帐户。不允许密码在不同系统中使用或重复使用，或存储在攻击者可能访问的系统上。

保护和监控任何 RDP（远程桌面协议）实例 

RDP容易受到安全漏洞的影响，是恶意软件和勒索软件的主要载体之一，因为它可以让攻击者未经授权访问远程会话。如果您绝对需要 RDP，请限制其来源并强制 MFA 保护帐户凭据不被泄露。如果外部需要 RDP，请务必使用VPN或其他方法来验证和保护连接。还监控所有远程访问和 RDP 登录尝试，在一定次数的尝试后锁定帐户，并禁用任何未使用的 RDP 端口。

保持关键数据的离线备份 

备份应定期运行，至少每 90 天运行一次。请务必测试您的备份过程并确保备份与网络连接隔离。确保备份本身已加密，并且备份密钥也离线存储。

为您的用户提供安全培训 

正确的安全意识培训可以教会员工如何发现和避免恶意社会工程和网络钓鱼活动。确保员工在收到可疑的网络钓鱼电子邮件或其他威胁时知道该做什么以及与谁联系。