如何让NAS 免遭“勒索”

■威海职业学院 赵永华

卡巴斯基在“2019年第三季度威胁演变报告”中表示，尽管通过Windows 访问服务器文件共享似乎是黑客进行攻击的最可能方式，但他们看到了专门设计用于攻击NAS(Network Attached Storage）的勒索软件新家族。

卡巴斯基安全技术人员表示，黑客扫描IP地址范围寻找暴露Web管理接口的NAS 设备，虽然需要进行身份验证才能访问NAS 管理，但其他具有漏洞的软件可能会使设备受到攻击。诸如eCh0raix 的勒索软件通过使用暴力攻击突破薄弱的登录凭据。一旦端点被感染，像Locky 这样的勒索软件就可以加密映射到设备的网络共享。CryptoFortress 走得更远，可以加密网络共享，而不管是否已配置映射驱动器。

可见，Windows 10 的受控文件夹访问功能可谓有的放矢，它将对敏感数据位置的访问限制为已批准的应用程序，从而有助于降低勒索软件加密数据的可能性。受控文件夹访问作为深度防御安全策略的一部分可能非常有用。

以前几乎没有针对NAS的加密勒索软件，但2019年，卡巴斯基就已发现许多专门针对NAS 的新勒索软件系列。这种趋势越来越明显，因为这种攻击非常有利可图，特别是用户还自以为NAS 非常可靠时。NAS 设备通常是作为完整的安全产品购买的，但时过境迁，魔高一丈。

所以需要赶紧加固NAS。NAS 通常用于存储备份，勒索软件的目标自然是劫持数据以勒索赎金，以希望您没有有效的备份或备份处于联机状态并且已作为攻击的一部分进行了加密。如何确保NAS 设备和备份安全？为此需要考虑以下措施：

1.确保您具有可用于从安全事件中恢复的备份的脱机副本。

2.使NAS设备保持最新，设备供应商将定期发布安全性和功能更新。

3.不要将NAS 暴露给公共互联网，如果需要远程访问，考虑使用VPN 而不是将NAS直接暴露给Internet。而且在需要远程访问时，启用SSL 和双因素身份验证。

4.启用NAS 附带的其他安全功能，某些NAS 设备包含集成的防病毒软件，可能需要手动启用它们；将默认设备密码更改为强密码。

5.遵循Windows 最佳安全实践，例如从用户中删除管理员特权，限制对特权Active Directory 帐户的使用，确保具有管理员访问权限的帐户具有唯一的密码，并使用应用程序控制来阻止不具有此权限的脚本。

6.许多为小型企业设计的NAS 设备都运行Linux 操作系统，但并不意味着它们不受攻击。