您的用户是攻击者最好的目标。请按照以下步骤更好地保护他们:
似乎没有一天没有一次勒索软件攻击不成为头条新闻。许多这些攻击是从哪里来的?在您用户的电子邮件收件箱中。
到目前为止,您知道您的用户既是您的第一道防线,也是最薄弱的环节,您不仅需要为进入您办公室的所有电子邮件添加额外的垃圾邮件过滤器,还需要培训您的用户识别他们何时被网络钓鱼. 此外,您可能希望强化操作系统,使其对攻击更具弹性。最近,Microsoft提出了其中一些建议。
以下是保护您的用户免受最近鱼叉式网络钓鱼活动的一些关键方法:
(1)确保所有电子邮件都通过某种过滤系统。无论是本地邮件服务器还是基于云的电子邮件服务,您都必须有一个过滤系统来查找攻击模式。即使您仍然拥有本地邮件服务器,拥有与其他服务器共享信息的服务也意味着您可以看到出现的模式。通常,如果您的本地邮件服务器发生任何事情,这些邮件卫生平台还提供邮件存储和转发。安装这种解决方案对于使用电子邮件服务器的任何人来说都是必要的。
如果预算是一个问题,您应该调查开源、社区或免费解决方案,以更好地保护您的公司。Security Onion等解决方案可以作为 Linux 发行版添加到您的网络中,用于威胁搜寻、企业安全监控和日志管理。最近发布了Security Onion的2.3.50 版本以及培训视频。Snort是另一个开源平台,可以给您的网络中添加额外的保护和监控功能。
(2)根据对您的网络的潜在影响确定修补的优先级。在许多组织中,补丁不是立即安装的,而是在经过全面测试后部署的。这可能意味着数周没有部署更新。应该优先为那些过去曾成为目标或可能被视为潜在目标的用户打补丁。检查系统上安装的所有软件,以确保供应商支持和维护所有软件。特别注意操作系统补丁以及可能使用的任何基于浏览器的工具,例如 PDF 查看软件。
确保您的修补团队随时了解任何受到主动攻击的漏洞,以确保您的公司受到保护。查看过去的修补交互以及工作站是否对更新产生任何副作用。如果工作站没有打补丁的历史问题,您可以加速部署。应该调查补丁工具的使用,例如 Config manager、Batch Patch或任何数量的补丁管理工具。将更快地部署更新到受影响的工作站作为 2021 年剩余时间的目标。如果您通常要等待一个月才能部署更新,请查看是否可以在三周内进行部署。然后在两周内推动您的测试流程部署。缩短更新发布和更新部署之间的时间间隔。
(3)限制浏览器和文件共享平台的使用。此限制可能很麻烦,但可能有必要最好地保护用户免受有针对性的攻击。与您的员工讨论这些限制,以确保他们了解文件共享平台的风险。在我自己的公司,我们最近调整了我们的政策,使其更具限制性。太多的文件共享平台可以被欺骗,这使得攻击者更容易诱骗您的用户打开恶意链接。在特定平台上标准化,并将其传达给您的客户、合作伙伴和用户。确保门户有品牌,流程得到解释和记录,并确保您的员工知道不要规避流程。
(4)为您的 Windows 10 部署启用攻击面减少规则。您能够使用 Microsoft 365 E5 和 Enterprise 许可证监控和实施 ASR 规则,但即使使用仅限 Professional 的网络,您也可以启用保护以更好地保护您的网络。具体打开以下攻击面减少规则来阻止或审计与此威胁相关的活动。您需要启用阻止 JavaScript 或 VBScript 启动下载的可执行内容。正如 Microsoft 在其控制台中指出的那样,这不是常见的业务线用途,但业务线应用程序有时会使用脚本来下载和启动安装程序。此安全控制仅适用于装有 Windows 10 版本 1709 或更高版本以及 Windows Server 2019 的计算机。如果您具有 Microsoft 365 ATP 访问权限,您可以查看控制台以查看它对您的网络有何影响(如果有)。
如果您可以部署推荐的保护措施而对您的环境几乎没有影响,此用户影响报告会立即提醒您。如果您无权访问此报告,请将 ASR 规则设置为“警告”设置,以确定您是否会受到影响。
请注意,在 Microsoft Endpoint Manager 中配置以下三种攻击面减少规则时,不支持警告模式(如果使用组策略配置攻击面减少规则,则支持警告模式):
l 阻止 JavaScript 或 VBScript 启动下载的可执行内容 (GUID d3e037e1-3eb8-44c8-a917-57927947596d)
l 通过 WMI 事件订阅阻止持久性 (GUID e6db77e5-3df2-4cf1-b95a-636979351e5b)
l 使用针对勒索软件的高级保护 (GUID c1db55ab-c21a-4637-bb3f-a12568109d35)
要启用使用组策略,请打开组策略管理控制台,右键单击要配置的组策略对象,然后选择“编辑”。在组策略管理编辑器中,转到计算机配置并选择“管理模板”。将树展开到 Windows 组件,然后转到“Microsoft Defender 防病毒”,然后转到“Microsoft Defender Exploit Guard”,然后转到“减少攻击面”。选择“配置攻击面减少规则”并选择“启用”。然后,您可以在选项部分为每个规则设置单独的状态。输入 d3e037e1-3eb8-44c8-a917-57927947596d 的值名称和值 6 开始,然后是 1。
您的用户是最好的攻击者的目标。即使没有Microsoft 365 E5许可证,请确保您使用这些 ASR 规则来保护您的工作站。
原文网址:https://www.csoonline.com/article/3620868/4-steps-to-prevent-spear-phishing.html
沃通WoTrus原创翻译整理,转载请注明来源