事前举措
由于勒索攻击高强度加密算法的难破解性和数字货币交易方式的隐蔽性, 解决勒索攻击的首要是构建“安全能力前置”,提升自身的“免疫力” 。
建议按照如下加固方式开展事前勒索防护:
- 收敛互联网暴露面: 定期扫描外部端口,保证公开范围最小化。
- 减少系统风险入口: 定期开展漏洞扫描及系统风险配置参数扫描,第一时间修复漏洞及风险项,减小系统风险等级。同时,应关注软件厂商发布的安全漏洞信息和补丁信息,及时做好漏洞管理和修复工作。
- 加强网络访问控制: 各企业应具有明确的网络安全区域划分、访问限制规则,最小化开放访问权限,及时更新访问控制规则。
- 关键数据备份: 加强重要数据备份工作,可靠的数据备份可以最小化勒索软件带来的损失。需要主动加密存储和定期备份关键业务数据,并合理设置备份保留策略,确保被勒索攻击后存在有效副本可以恢复数据。
- 加强帐号权限管控: 通过身份管理、细粒度权限控制等访问控制规则为企业不同角色分配帐号并授权,同时应提升特权账户的安全性。在另一方面,企业关键业务资产,需要妥善设置并保存帐号及口令信息。关键资产上,配置双因素认证鉴别登录人员身份,可有效防范系统爆破风险。
- 搭建高可靠业务架构: 采用集群模式的云服务部署模式。当某一个节点发生紧急问题,业务切换至备用节点,提升业务系统可靠性能力,也可防止数据丢失。在资源允许的条件下,企业或组织可以搭建同城或异地容灾备份系统,当主系统出现发生勒索事件后,可以快速切换到备份系统,从而保证业务的连续性。
- 制定安全事件应急预案: 建立应对勒索病毒攻击等网络安全突发事件的应急组织体系和管理机制,明确工作原则、职责分工、应急流程、关键措施等。一旦发生勒索病毒攻击事件,立即启动内部网络安全应急预案,标准化开展应急处置工作来减轻、消除勒索病毒攻击影响。
- 加强企业员工安全意识: 通过培训、演练等方式提高员工网络安全意识,明确国家网络安全法令及公司网络安全规范,能够识别网络钓鱼等常见的网络安全攻击,具备一定的事件处理能力,知晓安全事件带来的后果和影响。
事中举措
当一个入侵者绕过防御机制时,如果您能及时发现并阻断,便可避免灾难的发生。
建议按照如下处理方式开展事中勒索防护:
迅速隔离感染设备: 确保在遭受勒索攻击后,立即采取断网、断电等方式切断勒索病毒外联扩散行为。及时修改感染设备的密码及同一局域网其他设备密码。
及时处置告警入侵事件: 确保对业务资源进行实时安全检测,可及时隔离阻断勒索病毒运行、拦截勒索主控端恶意IP及尝试爆破攻击源IP,阻断其运行、通信及联接行为。
事后举措
当前勒索攻击发展迅速,任何工具都无法提供100%防护。所以,在事后应及时恢复业务、开展网络安全加固以减弱勒索攻击带来的影响。
建议按照如下处理方式开展事后勒索恢复:
- 利用备份数据恢复数据: 根据遭受勒索攻击的设备备份情况,确认数据恢复范围、顺序及备份版本,利用备份副本恢复数据。
- 排查修复网络风险: 根据勒索攻击路径识别系统薄弱点,重点排查并修复系统薄弱项。