企业是否会投入大量资金用于防范勒索软件攻击?也许会，但是企业的领导团队可能更愿意将资金花费在其他地方。

作为IT经理，其注意力经常关注在自己的工作职责上。例如管理团队、企业的数据、用户访问请求等。防范勒索软件攻击可能并不在IT经理的主要关注事项中。为了避免或减轻攻击带来的损害，需要采用勒索软件检测技术。

勒索软件检测：定义和重要性

在深入研究可以用来检测基础设施中勒索软件的五种方法之前，先了解勒索软件的基本情况。

勒索软件最早出现在20世纪80年代末。一位名叫Joseph Popp的攻击者通过诱使受害者使用他提供的软盘，能够隐藏他们硬盘上的文件。然后，他要求受害者支付费用来修复被勒索软件屏蔽的软件。

尽管勒索软件的技术和威胁多年来变得越来越复杂，但其攻击的前提仍然和Popp实施的勒索一样。勒索软件攻击威胁要公布受害者的重要数据，除非向他们支付赎金。

勒索软件攻击者可能以企业甚至企业中的个人为目标。2022年2月对瑞士一家机场的针对性攻击导致近24个航班停飞和延误。瑞士这家机场很快就遏制了威胁。尽管如此，在公众信任、时间和机会方面的损失仍然很大。

一些企业可能会培训员工发现勒索软件，或专注于内部网络安全实践，以应对这些攻击。不过，这可能还不足以保证其数据安全。检测勒索软件是一个持续的挑战，但有一些方法可以缓解这一挑战。关注特定的行为或检测企业基础设施中发生的变化，可以帮助减少运营环境中遭遇勒索攻击的可能性。

实时变化检测

快速有效的勒索病毒检测的关键是采用实时变化检测和文件完整性监控技术和流程。那么，什么是实时变更检测?实时更改检测是一种网络安全实践，通过这种检测可以配置网络来记录所有配置和数据更改。

这个过程为企业提供了一个易于跟踪的“面包屑”踪迹，可以用于跟踪未经授权的或可疑的活动，直到找到其源头，帮助企业在遭遇到重大损害发生之前识别勒索软件和其他威胁。

以下了解实时更改检测的五个核心支柱，为企业提供使用这些技术来检测和减轻勒索软件影响所需的工具。

(1)强化和可信基准测试

企业必须建立可信的互联网安全中心 (CIS)基准来管理其实时变更检测实践。可信基准测试是与互联网安全中心 (CIS)基础设施相关的基础配置和最佳实践。

采用系统强化实践有助于确保遵守互联网安全中心 (CIS)基准测试。企业可以实施的三个最有影响力的实践是：

• 完整性漂移：通过检查更改来监视系统和配置的完整性，使企业能够在需要时进行修复。
• 配置管理：深入了解环境，轻松识别未来的更改。
• 自动系统强化：使用像CimTrak这样的工具，可以自动监控不合规区域并消除漂移。这种做法还将减少勒索软件攻击者可以利用的入口点。

该技术对于利用高级报告实践持续扫描遵从性挑战并实时最小化漏洞至关重要。

(2)配置管理

接下来，需要检查系统配置标准。配置管理是指为网络、硬件和软件设置所需的操作状态的过程。此外，这个过程涉及维护系统的配置标准，以确保它们处于最佳位置。

配置管理的关键部分是确保关键IT资产不被恶意操作(如勒索软件攻击或意外)篡改。

如果没有适当的配置管理，将无法确保系统始终正常运行。此外，识别勒索软件攻击将更具挑战性，因为将很难识别何时发生了未经授权的更改。

变更控制是任何勒索软件检测技术的关键部分。接下来详细地讨论这个概念。

(3)变更控制

变更控制是指对环境中发生的变更负责的过程。

企业需要使用像CimTrak这样的工具来跟踪整个系统中的更改。CimTrak创建了系统中所有更改的详细审计跟踪，其中包括:

• 有什么样的变更
• 谁实施的变更
• 变更的地方
• 变更发生的时间
• 变更是如何进行的

这些数据对于帮助企业的团队追踪未经授权的更改的来源非常重要，这对于勒索软件检测工作非常重要。

但是仅仅识别未经授权的更改是不够的。为了保证网络安全，需要能够回滚或阻止这些更改。

(4)回滚、修复和更改预防

勒索软件检测技术不仅仅是在企业的系统中识别勒索软件威胁。为了保证其网络和数据的安全，企业需要有流程和工具来纠正未经授权的更改，以免造成重大损害。

企业需要采取如下的流程:

• 回滚：使用可以定期存储配置快照的工具。这一功能允许企业在最短的停机时间内恢复以前的设置。
• 更改修复：一旦检测到未经授权的更改，将希望立即采取行动。CimTrak允许“自我修复”，在检测到更改时自动逆转更改。
• 更改预防：对于某些核心设置或系统，可以选择完全阻止更改，而不是在更改发生后采取步骤回滚或修复。

强健的回滚、修复和更改预防技术可以帮助企业减轻勒索软件的影响，并维护持续兼容的基础设施。

可以选择的最后一种用于检测勒索软件和补救措施的方法是文件白名单。

(5)文件白名单

最后，企业可以在勒索软件检测技术中使用文件白名单或受信任的文件注册中心。文件白名单是将特定的更改(如供应商验证的补丁或更新的文件)标记为授权更改的实践。

采取这个步骤将消除由有效更改产生的更改噪声。这将使IT经理能够将其时间和注意力集中在真正对其网络安全工作最重要的变化上。

当使用文件白名单时，更改仍然会被记录下来，允许在必要时引用它们。但是，IT经理和其团队只会收到可能与恶意软件、零日攻击、流氓用户或其他威胁有关的攻击警报。这一过程让企业能够更有效地利用有限的时间来防止攻击和保护数据。

超越勒索软件检测：提高网络安全

检测和减轻勒索软件攻击的影响对企业网络安全工作至关重要。通过实现旨在持续监视网络合规性、未经授权的更改等的工具，可以改进企业的整体网络安全状况。

现代网络安全威胁需要创新的解决方案。CimTrak的文件完整性监控软件就是这样一种解决方案。CimTrak提供系统完整性保证，致力于实时识别、禁止和纠正未知或未经授权的更改。这使企业的团队能够在更短的时间内以更少的努力维护持续兼容的IT基础设施。