面對勒索軟件怎么辦

正禾

當(dāng)用戶因為勒索軟件導(dǎo)致業(yè)務(wù)中斷，企業(yè)通常會認(rèn)為支付贖金是取回數(shù)據(jù)最劃算的辦法。但尷尬的是，這些支付出去的贖金，通常會被直接用于下一代勒索軟件的開發(fā)。所以很多企業(yè)正在無奈地用“金錢澆灌著勒索軟件的花朵”。正因如此，勒索攻擊正以驚人的速度不斷發(fā)展，勒索軟件家族也正在不斷的進(jìn)化。那么，企業(yè)在如何一步步將威脅擋在門外呢？

■數(shù)據(jù)備份與恢復(fù)：備份，備份，再備份。

數(shù)據(jù)備份和恢復(fù)措施是發(fā)生被勒索事件挽回?fù)p失的重要工作，我們將此關(guān)鍵措施放在第一位。面對攻擊者的贖金勒索，需要清晰了解并考慮以下幾天來點：

當(dāng)系統(tǒng)遭到徹底破壞的時候，受害組織在多大程度上能夠接受數(shù)據(jù)的丟失？

本地備份是否可用，或者異地備份的內(nèi)容是否都被刪除或以其他的方式導(dǎo)致不可用？

如果本地備份介質(zhì)的內(nèi)容被刪除或不可使用，異地的備份是否可用？ 異地備份頻率如何？是否定期驗證過備份內(nèi)容的有效性？數(shù)據(jù)是否可以正常使用？是否數(shù)據(jù)應(yīng)急恢復(fù)流程或手冊？如果給出的答案是肯定了，那么備份恢復(fù)是企業(yè)的最后一道防線，在最壞的情況下，它將是企業(yè)最后的堡壘，而企業(yè)需要建不定期地進(jìn)行數(shù)據(jù)備份策略，以確保在最壞的情況下有備份措施。

如果企業(yè)的業(yè)務(wù)在云上，可以使用不同方式的備份方法來解決數(shù)據(jù)備份問題，以確保在發(fā)生勒索事件后，盡可能的挽回?fù)p失。

推薦工具 ECS快照功能、RDS提供的數(shù)據(jù)備份功能、使用OSS存儲服務(wù)備份重要數(shù)據(jù)文件、由用戶制定的數(shù)據(jù)備份策略或方案等。

■云上賬號安全策略

云上針對租戶賬號提供賬號登錄雙因素驗證機制（MFA）、密碼安全策略和審計功能，企業(yè)可以方便地在自己的云上界面中啟用和關(guān)閉，以確保云服務(wù)賬號的安全性。

針對組織內(nèi)部多角色場景，企業(yè)需要使用RAM服務(wù)為不同角色合理分配賬號并授權(quán)，以防止在運維管理活動中，出現(xiàn)意外操作而導(dǎo)致的安全風(fēng)險。

■阻止惡意的初始化訪問

企業(yè)可以采用如下兩種方式，來阻止攻擊進(jìn)入系統(tǒng)的“第一道門”：發(fā)現(xiàn)并修復(fù)業(yè)務(wù)系統(tǒng)存在的漏洞；或者拒絕點擊網(wǎng)絡(luò)釣魚等不明惡意鏈接和郵件/社交工程。如果攻擊者在目標(biāo)網(wǎng)絡(luò)無法輕易地建立初始訪問，那么攻擊者更可能轉(zhuǎn)向其他較為容易進(jìn)攻的目標(biāo)。攻擊者也希望花費盡可能少的代價來取得相應(yīng)的收益。如果無法輕易地建立初始訪問，這會增加他們尋找其他更容易進(jìn)攻目標(biāo)的可能性。

■搭建有容災(zāi)能力的基礎(chǔ)架構(gòu)

高性能、具有冗余的基礎(chǔ)架構(gòu)能力是保障業(yè)務(wù)強固的基礎(chǔ)條件，在云環(huán)境下，可以通過SLB集群的方式搭建高可用架構(gòu)，當(dāng)出現(xiàn)某一個節(jié)點發(fā)生緊急問題時，可以有效避免單點故障問題，防止業(yè)務(wù)中斷的前提下，也可以防止數(shù)據(jù)丟失。

在資源允許的條件下，企業(yè)或組織可以搭建同城或異地容災(zāi)備份系統(tǒng)，當(dāng)主系統(tǒng)出現(xiàn)勒索事件后，可以快速切換到備份系統(tǒng)，從而保證業(yè)務(wù)的連續(xù)性。

推薦工具 SLB、RDS等高性能服務(wù)組合而成的容災(zāi)架構(gòu)

■強化網(wǎng)絡(luò)訪問控制

精細(xì)化的網(wǎng)絡(luò)管理是業(yè)務(wù)的第一道屏障。

對于大部分企業(yè)網(wǎng)絡(luò)而言，它們的網(wǎng)絡(luò)安全架構(gòu)是“一馬平川”的，在業(yè)務(wù)塊之前，很少有業(yè)務(wù)分區(qū)分段。但隨著業(yè)務(wù)的增長和擴容，一旦發(fā)生入侵，影響面會是全局的。在這種情況下，通過有效的安全區(qū)域劃分、訪問控制和準(zhǔn)入機制可以防止或減緩滲透范圍，可以阻止不必要的人員進(jìn)入業(yè)務(wù)環(huán)境。

例如，可以限制ssh、RDP業(yè)務(wù)管理源地址、對數(shù)據(jù)庫連接源IP進(jìn)行訪問控制，實現(xiàn)最小化訪問范圍，僅允許授信人員訪問，并對出口網(wǎng)絡(luò)行為實時分析和審計。具體可以從以下幾個方面實施：

推薦使用更安全的VPC網(wǎng)絡(luò)；

通過VPC和安全組劃分不同安全等級的業(yè)務(wù)區(qū)域，讓不同的業(yè)務(wù)處在不同的隔離空間；

配置入口/出口過濾防火墻策略，再次強調(diào)入口和出口均需進(jìn)行過濾。主機彼此之間應(yīng)當(dāng)不能通過SMB（139/tcp、445/tcp）進(jìn)行通信。如果設(shè)置了文件服務(wù)器，實際上就不需要進(jìn)行這種通信。如果企業(yè)可以有效地禁用主機間的SMB通信，企業(yè)就可以防止攻擊者使用“通過散列表”所進(jìn)行的逐步滲透。SMB通信應(yīng)該僅限于應(yīng)用分發(fā)平臺，文件共享或域控制器。

推薦工具 VPC、安全組

■定期進(jìn)行外部端口掃描

端口掃描可以用來檢驗企業(yè)的弱點暴露情況。如果企業(yè)有一些服務(wù)連接到互聯(lián)網(wǎng)，需要確定哪些業(yè)務(wù)是必須要發(fā)布到互聯(lián)網(wǎng)上，哪些是僅內(nèi)部訪問，公共互聯(lián)網(wǎng)的服務(wù)數(shù)量越少，攻擊者的攻擊范圍就越窄，從而遭受的安全風(fēng)險就越小。

■定期進(jìn)行安全測試發(fā)現(xiàn)存在的安全漏洞

企業(yè)公司IT管理人員需要定期對業(yè)務(wù)軟件資產(chǎn)進(jìn)行安全漏洞探測，一旦確定有公開暴露的服務(wù)，應(yīng)使用漏洞掃描工具對其進(jìn)行掃描。盡快修復(fù)掃描漏洞，同時日常也應(yīng)該不定期關(guān)注軟件廠商發(fā)布的安全漏洞信息和補丁信息，及時做好漏洞修復(fù)管理工作。

推薦工具 安全眾測產(chǎn)品、VPC網(wǎng)絡(luò)、安全組策略、主機安全、可管理的安全服務(wù)（MSS）

■常規(guī)的系統(tǒng)維護(hù)工作

制定并遵循實施IT軟件安全配置，對操作系統(tǒng)和軟件初始化安全加固，同時定期核查其有效性；

為Windows操作系統(tǒng)云服務(wù)器安裝防病毒軟件，并定期更新病毒庫；

確保定期更新補??；

確保開啟日志記錄功能，并集中進(jìn)行管理和審計分析；

確保合理的分配賬號、授權(quán)和審計功能，例如：為服務(wù)器、RDS數(shù)據(jù)庫建立不同權(quán)限賬號并啟用審計功能，如果有條件，可以實施類似堡壘機、VPN等更嚴(yán)格的訪問策略。

確保實施強密碼策略，并定期更新維護(hù)，對于所有操作行為嚴(yán)格記錄并審計；

確保對所有業(yè)務(wù)關(guān)鍵點進(jìn)行實時監(jiān)控，當(dāng)發(fā)現(xiàn)異常時，立即介入處理。

推薦工具 主機安全產(chǎn)品

■重點關(guān)注業(yè)務(wù)代碼安全

大部分安全問題由于程序員的不謹(jǐn)慎或者在無意識的情況下埋下了安全隱患。代碼的安全直接影響到業(yè)務(wù)的風(fēng)險，根據(jù)經(jīng)驗來看，代碼層的安全需要程序員從一開始就將安全架構(gòu)設(shè)計納入到整體軟件工程內(nèi)，按照標(biāo)準(zhǔn)的軟件開發(fā)流程，在每個環(huán)節(jié)內(nèi)關(guān)聯(lián)安全因素。以下是基于軟件開發(fā)流程將安全管控點落實到流程中的最佳實踐：

對于一般的企業(yè)來說，需要重點關(guān)注開發(fā)人員或軟件服務(wù)提供上的安全編碼和安全測試結(jié)果，尤其是對開發(fā)完畢的業(yè)務(wù)代碼安全要進(jìn)行代碼審計評估和上線后的黑盒測試（也可以不定期地進(jìn)行黑盒滲透測試）。

推薦工具 安全眾測產(chǎn)品、Web應(yīng)用防火墻（WAF）、SDL標(biāo)準(zhǔn)流程

■建立全局的外部威脅和情報感知能力

安全是動態(tài)的對抗的過程，就跟打仗一樣，在安全事件發(fā)生之前，我們要時刻了解和識別外部不同各類風(fēng)險，所以做安全的思路應(yīng)該從防止安全入侵這種不可能的任務(wù)轉(zhuǎn)到了防止損失這一系列的關(guān)鍵任務(wù)上。

防范措施必不可少，但是基于預(yù)警、響應(yīng)的時間差也同樣關(guān)鍵。而實現(xiàn)這種快速精準(zhǔn)的預(yù)警能力需要對外面的信息了如指掌，切記“盲人摸象”，所以建立有效的監(jiān)控和感知體系是實現(xiàn)安全管控措施是不可少的環(huán)節(jié)，更是安全防護(hù)體系策略落地的基礎(chǔ)條件。

推薦工具 大數(shù)據(jù)安全分析平臺，云上安全威脅態(tài)勢感知系統(tǒng)

■建立安全事件應(yīng)急響應(yīng)流程和預(yù)案

就像前面說的一樣，在安全攻防動態(tài)的過程中，我們可能很難100%地防御住所有的安全事件，也就是說，我們要為可能突發(fā)的安全事件準(zhǔn)備好應(yīng)急策略，在安全事件發(fā)生后，要通過組織快速響應(yīng)、標(biāo)準(zhǔn)化的應(yīng)急響應(yīng)流程、規(guī)范的事件處置規(guī)范來降低安全事件發(fā)生的損失。

推薦工具 可管理的安全服務(wù)（MSS）、安全事件應(yīng)急響應(yīng)服務(wù)（SIEM）

從以上介紹看來，這些對抗攻擊的方式并沒有很高的難度。它們在企業(yè)信息安全日常實踐中都是常用的安全措施。但大部分企業(yè)沒有去做好基礎(chǔ)防御工作，主要還是因為沒有引起高度的重視，而一旦發(fā)生此類嚴(yán)重影響業(yè)務(wù)安全事件之后，后悔莫及。