37
加密勒索事件防護
加密勒索事件防護
越來越多的用戶被加密事件困擾,加密軟件通過利用漏洞,成功入侵客戶業務服務器對對全盤數據進行加密勒索,導致用戶業務突然中斷、數據泄露和數據丟失,造成了嚴重的業務風險。
通過對雲上用戶調查分析,大部分用戶未按照最佳的安全使用方式使用了雲服務器資源,我們總結主要有以下2類主要問題:
1.關鍵賬號存在弱口令或無認證機製
- 服務器登錄關鍵賬號(root、administrator)密碼簡單或空密碼;
- 數據庫(Redis、MongoDB、MySQL、MSsql Server)等相關重要業務服務直接可以無密碼登錄。
2.無訪問控製策略,業務裸奔在互聯網上
- RDP、SSH、Redis、MongoDB、MySQL、MSsql Server等高危服務直接裸奔在互聯網上
3.服務器操作係統和軟件存在高危漏洞
惡意攻擊者可以利用服務器操作係統和應用服務軟件存在的高危漏洞,上傳加密勒索軟件,實現遠程利用攻擊。
以上三類問題是黑客利用成本較低的攻擊方式,對於數據庫被刪除等勒索攻擊事件,攻擊者不需要獲取賬號密碼就可以對業務造成重創。
為了確保雲上用戶盡可能的減少加密勒索軟件影響,阿裏雲推薦用戶按照以下措施可以有效降低您以及您的機構免受勒索軟件傷害。
1.數據備份與恢複:備份,備份,再備份。
可靠的數據備份可以將勒索軟件帶來的損失最小化,但同時也要對這些數據備份進行安全防護,避免被感染和損壞。
如果給出的答案是肯定了,那麼備份恢複是企業的最後一道防線,在最壞的情況下,它將是企業最後的堡壘,而企業需要建立不定期的進行數據備份策略以確保在最壞的情況有備份措施。
如果企業的業務在雲上,至少要備份兩份數據:本地備份和異地備份。
在雲上您可以像雲下環境一樣,使用不同方式的備份方法來解決數據備份問題,以確保在發生勒索事件後,盡可能的挽回損失。
推薦工具:ECS快照功能、RDS提供的數據備份功能、使用OSS存儲服務備份重要數據文件、由用戶製定的數據備份策略或方案等。
2. 關鍵業務賬號安全策略
- 阿裏雲主賬號
如果您的業務在雲上,您可能需要從接入雲環境開始(例如:使用雲服務商登陸雲服務管理控製台),就要關注安全。阿裏雲為您分配的賬號是所有雲上業務的第一把“關鍵鑰匙”,一旦您所擁有的最高權限的“鑰匙”泄露,黑客將從根本上掌握支撐雲上業務的所有雲服務資源,從而將直接威脅整體的雲上業務安全性。
雲上針對租戶賬號提供賬號登錄雙因素驗證機製(MFA)、密碼安全策略、和審計功能,企業可以方便的在自己的雲上界麵中啟用和關閉,以確保雲服務賬號的安全性。
針對組織內部多角色場景,企業需要使用RAM服務為不同角色合理分配賬號並授權,以防止在運維管理活動中,出現意外操作而導致的安全風險。
業務最高權限賬號
或許您在雲上選用了雲服務器,自己在這些雲服務器上部署了關鍵業務,例如:數據庫服務、文件服務、緩存等於數據強相關的核心重要服務,這些服務的最高管理員賬號的安全是保證業務持續可靠運行的必要條件。
您需要妥善設置好賬號名稱和密碼,我們為您提供以下建議:
1).不要降這些高危服務暴露在互聯網上,您可以參見“5.強化網絡訪問控製” 部分配置強訪問控製策略;
2).啟用認證鑒權功能;
3).禁止使用root賬號直接登錄;
4).如果您使用的是Windows係統,建議修改administrator默認名稱;
5).為所有服務配置強密碼,強密碼要求至少8個字符以上,包含大小寫字母、數字、特殊符號在內,不包含用戶名、真實姓名或公司名稱,不包含完整的單詞。
推薦工具:阿裏雲訪問控製服務(RAM服務)、對係統進行加固
3. 強化網絡訪問控製
精細化的網絡管理是業務的第一道屏障。
對於大部分企業網絡而言,它們的網絡安全架構是“一馬平川”的,在業務塊之前,很少有業務分區分段。但隨著業務的增長和擴容,一旦發生入侵,影響麵會是全局的。在這種情況下,通過有效的安全區域劃分、訪問控製和準入機製可以防止或減緩滲透範圍,可以阻止不必要的人員進入業務環境。
例如:可以限製SSH、RDP等管理協議、FTP、Redis、MongoDB、Memcached、MySQL、MSSQL-Server、Oracle等數據相關服務的連接源IP進行訪問控製,實現最小化訪問範圍,僅允許授信IP地址訪問,並對出口網絡行為實時分析和審計。具體可以從以下幾個方麵實施:
推薦使用更安全的VPC網絡;
- 通過VPC和安全組劃分不同安全等級的業務區域,讓不同的業務處在不同的隔離空間;
- 配置入口/出口過濾安全組防火牆策略,再次強調 -入口和出口均需進行過濾。
例如:
1.我們常用的數據庫服務是不需要再互聯網直接管理或訪問的,可以通過配置入方向的訪問控製策略防止數據庫服務暴露在互聯網上被黑客利用;
2.同時我們也可以配置更嚴格的內網訪問控製策略,例如:在內網入方向配置僅允許內網某IP訪問內網的某台數據庫服務器。
通過以上對內外網的強訪問控製,可以有效的為自身業務在網絡入口加一把“鎖”
推薦工具:VPC網絡、安全組
4. 阻止惡意的初始化訪問
通常采用如下兩種方式實現第一次訪問:發現並修複業務係統存在的漏洞或者拒絕點擊網絡釣魚等不明惡意鏈接和郵件/社交工程,並保持謹慎態度。在攻擊尚未開始之前,我們就可以采取措施來預防進攻的發生。如果攻擊者在目標網絡無法輕易地建立初始訪問,那麼攻擊者更可能轉向其他較為容易進攻的目標。攻擊者也希望花費盡可能少的代價來取得相應的收益。如果無法輕易地建立初始訪問,這會增加他們尋找其他更容易進攻目標的可能性。
5. 搭建具有容災能力的基礎架構
高性能、具有冗餘的基礎架構能力是保障業務強固的基礎條件,在雲環境下,可以通過SLB集群的方式搭建高可用架構,當出現某一個節點發生緊急問題時,可以有效避免單點故障問題,防止業務中斷的前提下,也可以防止數據丟失。在資源允許的條件下,企業或組織可以搭建同城或異地容災備份係統,當主係統出現發生勒索事件後,可以快速切換到備份係統,從而保證業務的連續性。
推薦工具:阿裏雲SLB、阿裏雲RDS等高性能服務組合而成的容災架構
6. 定期進行外部端口掃描
端口掃描可以用來檢驗企業的弱點暴露情況。如果企業有一些服務連接到互聯網,需要確定哪些業務是必須要發布到互聯網上,哪些是僅內部訪問,當公共互聯網的服務數量越少,攻擊者的攻擊範圍就越窄,從而遭受的安全風險就越小。
推薦工具:阿裏雲雲盾安全管家服務
7. 定期進行安全測試發現存在的安全漏洞
企業公司IT管理人員需要定期對業務軟件資產進行安全漏洞探測,一旦確定有公開暴露的服務,應使用漏洞掃描工具對其進行掃描。盡快修複掃描漏洞,同時日常也應該不定期關注軟件廠商發布的安全漏洞信息和補丁信息,及時做好漏洞修複管理工作。
推薦工具:VPC網絡、安全組、主機係統安全、阿裏雲雲盾安全管家服務
8. 常規的係統維護工作
- 製定並遵循實施IT軟件安全配置,對操作係統(Windows、Linux)和軟件(FTP、Apache、Nginx、Tomcat、Mysql、MS-Sql Server、Redis、MongdoDB、Mecached等服務)初始化安全加固,同時並定期核查其有效性;
- 為Windows操作係統雲服務器安裝防病毒軟件,並定期更新病毒庫;
- 確保定期更新補丁;
- 修改administrator默認名稱,為登錄賬號配置強口令;
- 確保開啟日誌記錄功能,並集中進行管理和審計分析;
- 確保合理的分配賬號、授權和審計功能,例如:為服務器、RDS數據庫建立不同權限賬號並啟用審計功能,如果有條件,可以實施類似堡壘機、VPN等更嚴格的訪問策略。
- 確保實施強密碼策略,並定期更新維護,對於所有操作行為嚴格記錄並審計;
- 確保對所有業務關鍵點進行實時監控,當發現異常時,立即介入處理。
推薦工具:阿裏雲雲盾安騎士
9. 重點關注業務代碼安全
事實上,大部分安全問題由於程序員的不謹慎或無意識的情況下埋下了安全隱患,代碼的安全直接影響到業務的風險,根據經驗來看,代碼層的安全需要程序員從一開始就需要將安全架構設計納入到整體軟件工程內,按照標準的軟件開發流程,在每個環節內關聯安全因素。
對於一般的企業來說,需要重點關注開發人員或軟件服務提供上的安全編碼和安全測試結果,尤其是對開發完畢的業務代碼安全要進行代碼審計評估和上線後的黑盒測試(也可以不定期的進行黑盒滲透測試)。
推薦工具:阿裏雲雲盾先知計劃、阿裏雲雲盾web應用防火牆(WAF)、SDL標準流程
10. 建立全局的外部威脅和情報感知能力
安全是動態的對抗的過程,就跟打仗一樣,在安全事件發生之前,我們要時刻了解和識別外部不同各類風險,所以做安全的思路應該從防止安全入侵這種不可能的任務轉到了防止損失這一係列的關鍵任務上,防範措施必不可少,但是基於預警、響應的時間差也同樣關鍵。而實現這種快速精準的預警能力需要對外麵的信息了如指掌,切記“盲人摸象”,所以建立有效的監控和感知體係是實現安全管控措施是不可少的環節,更是安全防護體係策略落地的基礎條件。用戶可以登錄阿裏雲控製台,到雲盾菜單裏麵免費開通阿裏雲態勢感知服務,可以查看實時的外部攻擊行為和內部漏洞(弱點)情況。
推薦工具:大數據安全分析平台、雲上安全威脅態勢感知係統
11. 建立安全事件應急響應流程和預案
在安全攻防動態的過程中,我們可能很難100%的防禦住所有的安全事件,也就是說,我們要為可能突發的安全事件準備好應急策略,在安全事件發生後,要通過組織快速響應、標準化的應急響應流程、規範的事件處置規範來降低安全事件發生的損失。
推薦工具:可管理的安全服務(MSS)、安全事件應急響應服務
安全是一個持續性的對抗過程,雲上用戶需要重點關注並紮實做好安全防護工作,隻有這樣,才能保障業務持久可靠的運行。
相關加固文檔:
最後更新:2017-05-15 10:04:00