如何预防勒索病毒?捍卫企业内外网安全. 2019-11-20
近日,多个芯片制造企业遭受到了罕见的病毒攻击事件。而此次发起攻击的正是臭名昭著的勒索病毒Wannacry。
该病毒首次大规模爆发于2017年5月,至少150个国家、30万名用户中招,造成损失达80亿美元,全球政府、教育、医院、能源、通信、制造业等关键基础设施行业都遭到了空前巨大的损失。
如何预防勒索病毒?捍卫企业内外网安全
据《2018年上半年中国网络安全报告》显示,国内共有近500万台主机感染勒索病毒,勒索病毒已经成为最大网络安全威胁之一。
WannaCry勒索病毒,是怎么一回事呢?
什么是勒索病毒
勒索病毒是通过网络勒索金钱或虚拟货币的常用方法,它是一种新型电脑病毒,主要以程序木马、网页挂马、邮件、文件共享等形式进行传播。勒索病毒利用各种加密算法加密目标用户的文件、应用程序、数据库信息和业务系统相关的重要信息,直到受害者支付赎金才能通过攻击者提供的密匙恢复访问。
勒索病毒主要入侵手段
2018年以来,已收到和处理了数十起用户核心业务服务器被黑客进行勒索的安全事件。从发起攻击的方式来看,账户暴力破击攻击、系统和软件漏洞、Windows文件共享、WebShell是勒索软件最常用的攻击手段。
一
账户暴力破解攻击,是指攻击者通过系统地组合所有可能性(例如登录时用到的账户名、密码),尝试所有的可能破解用户的账户名、密码等敏感信息的攻击手段。攻击者经常使用自动化脚本组合用户的账号和密码。由于许多服务器使用弱密码,极易被黑客暴力破解,所以暴力破解入侵服务器一直以来都是成功率较高、感染范围较大的一种攻击方式。
二
通过系统漏洞和软件漏洞传播扩散已经成为勒索软件的第二大攻击方式,去年震惊世界的WannaCry勒索病毒就是利用微软的永恒之蓝漏洞进行传播。WannaCry的本质是一个蠕虫病毒,该蠕虫利用永恒之蓝漏洞感染一台主机后,会自动启动漏洞利用模块将所有本地子网内的主机作为目标,并且也将局域网外的随机IP网段作为攻击目标,从而实现在全球范围内快速传播。尽管微软已经在2017年3月公布了这个漏洞的补丁,但是还有许多未打补丁的主机受在到此次WannaCry事件传播的影响。
如何预防勒索病毒
应急处置(已经中招)
对已经中招勒索病毒的用户,主要任务在于避免勒索病毒在内网中进一步扩散,并快速恢复数据及业务,云宝为您总结以下措施:
1.第一时间隔离被感染主机与其他主机,防止勒索病毒的进一步扩散。
2.对被感染主机所在区域的主机进行安全风险排查,包括黑客账户、开放端口、漏洞、不安全配置(弱密码等)、恶意程序(木马后门)等。
3.利用备份数据重新搭建全新的平台。新平台搭建完成后,对主机进行安全加固,防止再次感染勒索病毒。
预防方案(提前预防)
一旦勒索病毒攻击成功,已经对数据进行加密,用户损失是几乎无法避免的,因此提前预防是重中之重。在这里,云宝为您总结以下四大绝招和所需服务:
1)数据备份
预防勒索病毒最重要的就是要做好数据备份。可靠的数据备份可以将勒索病毒带来的损失最小化,用户可以利用备份数据快速恢复平台和业务。因此,在对业务系统及数据进行备份的同时,还需要验证备份系统及备份数据的可用性,一旦主系统遭受攻击,保障备份业务系统可以立即启用;同时,做好主系统与备份系统的安全隔离工作,避免两系统同时被感染、被攻击。
推荐服务与工具:云服务器备份,云硬盘备份,云数据库RDS提供的数据备份功能等。
2)网络访问控制
精细化的网络管理是业务的第一道屏障。通过有效的安全区域划分、访问控制和准入机制可以防止或减缓渗透范围,可以阻止不必要的人员进入业务环境。例如典型的网站架构从外到内可以划分成Web服务器区、中间件服务器区、数据库服务器区等,并且只允许外部用户访问Web服务器区,Web服务器区只能与中间件服务器区单向通信,不能直接访问数据库服务器区等。
推荐服务与工具:虚拟私有网络(VPC)、安全组
3)主机安全加固
●检测与加固弱密码:配置好系统登录密码策略,避免使用弱密码,要使用符合密码策略的强密码,避免多系统使用同一密码或免密登录。妥善管理密码信息,并定期修改密码。
●检测与修复漏洞:企业IT管理人员需要定期对操作系统和业务软件资产进行安全漏洞扫描,并且尽快修复扫描发现的漏洞。同时,日常也应该定期关注软件厂商发布的安全漏洞信息和补丁信息,及时做好漏洞修复管理工作。
●关闭非必要端口:根据业务模型确定使用哪些端口,关闭非必要使用的端口,特别是Windows文件共享服务、远程桌面控制、Telnet和SNMP等不必要、不安全服务所使用的端口。
推荐服务与工具:
●企业主机安全服务:能够检测主机存在的弱口令、不安全配置、漏洞和开放端口等信息,并给出修复与加固建议,运维人员可以根据建议对主机进行安全加固。
●安全专家服务:通过其中的主机安全加固服务,由国家信息安全测评中心的专业人员对主机进行安全加固。
4)阻止入侵行为
攻击者的入侵行为是投放勒索病毒的前奏与主要手段。用户需要安装主机安全软件,对所有业务关键点进行实时监控,当发现入侵行为时,立即介入处理,防止攻击者入侵成功后投毒。
推荐服务与工具:企业主机安全服务的入侵检测功能能够有效检测和阻断账户暴力破解攻击、WebShell(网站后门)、与木马后门等恶意程序。