面對勒索軟件怎么辦

正禾

當用戶因為勒索軟件導致業務中斷，企業通常會認為支付贖金是取回數據最劃算的辦法。但尷尬的是，這些支付出去的贖金，通常會被直接用于下一代勒索軟件的開發。所以很多企業正在無奈地用“金錢澆灌著勒索軟件的花朵”。正因如此，勒索攻擊正以驚人的速度不斷發展，勒索軟件家族也正在不斷的進化。那么，企業在如何一步步將威脅擋在門外呢？

■數據備份與恢復：備份，備份，再備份。

數據備份和恢復措施是發生被勒索事件挽回損失的重要工作，我們將此關鍵措施放在第一位。面對攻擊者的贖金勒索，需要清晰了解并考慮以下幾天來點：

當系統遭到徹底破壞的時候，受害組織在多大程度上能夠接受數據的丟失？

本地備份是否可用，或者異地備份的內容是否都被刪除或以其他的方式導致不可用？

如果本地備份介質的內容被刪除或不可使用，異地的備份是否可用？ 異地備份頻率如何？是否定期驗證過備份內容的有效性？數據是否可以正常使用？是否數據應急恢復流程或手冊？如果給出的答案是肯定了，那么備份恢復是企業的最后一道防線，在最壞的情況下，它將是企業最后的堡壘，而企業需要建不定期地進行數據備份策略，以確保在最壞的情況下有備份措施。

如果企業的業務在云上，可以使用不同方式的備份方法來解決數據備份問題，以確保在發生勒索事件后，盡可能的挽回損失。

推薦工具 ECS快照功能、RDS提供的數據備份功能、使用OSS存儲服務備份重要數據文件、由用戶制定的數據備份策略或方案等。

■云上賬號安全策略

云上針對租戶賬號提供賬號登錄雙因素驗證機制（MFA）、密碼安全策略和審計功能，企業可以方便地在自己的云上界面中啟用和關閉，以確保云服務賬號的安全性。

針對組織內部多角色場景，企業需要使用RAM服務為不同角色合理分配賬號并授權，以防止在運維管理活動中，出現意外操作而導致的安全風險。

■阻止惡意的初始化訪問

企業可以采用如下兩種方式，來阻止攻擊進入系統的“第一道門”：發現并修復業務系統存在的漏洞；或者拒絕點擊網絡釣魚等不明惡意鏈接和郵件/社交工程。如果攻擊者在目標網絡無法輕易地建立初始訪問，那么攻擊者更可能轉向其他較為容易進攻的目標。攻擊者也希望花費盡可能少的代價來取得相應的收益。如果無法輕易地建立初始訪問，這會增加他們尋找其他更容易進攻目標的可能性。

■搭建有容災能力的基礎架構

高性能、具有冗余的基礎架構能力是保障業務強固的基礎條件，在云環境下，可以通過SLB集群的方式搭建高可用架構，當出現某一個節點發生緊急問題時，可以有效避免單點故障問題，防止業務中斷的前提下，也可以防止數據丟失。

在資源允許的條件下，企業或組織可以搭建同城或異地容災備份系統，當主系統出現勒索事件后，可以快速切換到備份系統，從而保證業務的連續性。

推薦工具 SLB、RDS等高性能服務組合而成的容災架構

■強化網絡訪問控制

精細化的網絡管理是業務的第一道屏障。

對于大部分企業網絡而言，它們的網絡安全架構是“一馬平川”的，在業務塊之前，很少有業務分區分段。但隨著業務的增長和擴容，一旦發生入侵，影響面會是全局的。在這種情況下，通過有效的安全區域劃分、訪問控制和準入機制可以防止或減緩滲透范圍，可以阻止不必要的人員進入業務環境。

例如，可以限制ssh、RDP業務管理源地址、對數據庫連接源IP進行訪問控制，實現最小化訪問范圍，僅允許授信人員訪問，并對出口網絡行為實時分析和審計。具體可以從以下幾個方面實施：

推薦使用更安全的VPC網絡；

通過VPC和安全組劃分不同安全等級的業務區域，讓不同的業務處在不同的隔離空間；

配置入口/出口過濾防火墻策略，再次強調入口和出口均需進行過濾。主機彼此之間應當不能通過SMB（139/tcp、445/tcp）進行通信。如果設置了文件服務器，實際上就不需要進行這種通信。如果企業可以有效地禁用主機間的SMB通信，企業就可以防止攻擊者使用“通過散列表”所進行的逐步滲透。SMB通信應該僅限于應用分發平臺，文件共享或域控制器。

推薦工具 VPC、安全組

■定期進行外部端口掃描

端口掃描可以用來檢驗企業的弱點暴露情況。如果企業有一些服務連接到互聯網，需要確定哪些業務是必須要發布到互聯網上，哪些是僅內部訪問，公共互聯網的服務數量越少，攻擊者的攻擊范圍就越窄，從而遭受的安全風險就越小。

■定期進行安全測試發現存在的安全漏洞

企業公司IT管理人員需要定期對業務軟件資產進行安全漏洞探測，一旦確定有公開暴露的服務，應使用漏洞掃描工具對其進行掃描。盡快修復掃描漏洞，同時日常也應該不定期關注軟件廠商發布的安全漏洞信息和補丁信息，及時做好漏洞修復管理工作。

推薦工具 安全眾測產品、VPC網絡、安全組策略、主機安全、可管理的安全服務（MSS）

■常規的系統維護工作

制定并遵循實施IT軟件安全配置，對操作系統和軟件初始化安全加固，同時定期核查其有效性；

為Windows操作系統云服務器安裝防病毒軟件，并定期更新病毒庫；

確保定期更新補丁；

確保開啟日志記錄功能，并集中進行管理和審計分析；

確保合理的分配賬號、授權和審計功能，例如：為服務器、RDS數據庫建立不同權限賬號并啟用審計功能，如果有條件，可以實施類似堡壘機、VPN等更嚴格的訪問策略。

確保實施強密碼策略，并定期更新維護，對于所有操作行為嚴格記錄并審計；

確保對所有業務關鍵點進行實時監控，當發現異常時，立即介入處理。

推薦工具 主機安全產品

■重點關注業務代碼安全

大部分安全問題由于程序員的不謹慎或者在無意識的情況下埋下了安全隱患。代碼的安全直接影響到業務的風險，根據經驗來看，代碼層的安全需要程序員從一開始就將安全架構設計納入到整體軟件工程內，按照標準的軟件開發流程，在每個環節內關聯安全因素。以下是基于軟件開發流程將安全管控點落實到流程中的最佳實踐：

對于一般的企業來說，需要重點關注開發人員或軟件服務提供上的安全編碼和安全測試結果，尤其是對開發完畢的業務代碼安全要進行代碼審計評估和上線后的黑盒測試（也可以不定期地進行黑盒滲透測試）。

推薦工具 安全眾測產品、Web應用防火墻（WAF）、SDL標準流程

■建立全局的外部威脅和情報感知能力

安全是動態的對抗的過程，就跟打仗一樣，在安全事件發生之前，我們要時刻了解和識別外部不同各類風險，所以做安全的思路應該從防止安全入侵這種不可能的任務轉到了防止損失這一系列的關鍵任務上。

防范措施必不可少，但是基于預警、響應的時間差也同樣關鍵。而實現這種快速精準的預警能力需要對外面的信息了如指掌，切記“盲人摸象”，所以建立有效的監控和感知體系是實現安全管控措施是不可少的環節，更是安全防護體系策略落地的基礎條件。

推薦工具 大數據安全分析平臺，云上安全威脅態勢感知系統

■建立安全事件應急響應流程和預案

就像前面說的一樣，在安全攻防動態的過程中，我們可能很難100%地防御住所有的安全事件，也就是說，我們要為可能突發的安全事件準備好應急策略，在安全事件發生后，要通過組織快速響應、標準化的應急響應流程、規范的事件處置規范來降低安全事件發生的損失。

推薦工具 可管理的安全服務（MSS）、安全事件應急響應服務（SIEM）

從以上介紹看來，這些對抗攻擊的方式并沒有很高的難度。它們在企業信息安全日常實踐中都是常用的安全措施。但大部分企業沒有去做好基礎防御工作，主要還是因為沒有引起高度的重視，而一旦發生此類嚴重影響業務安全事件之后，后悔莫及。