正禾

當用戶因為勒索軟件導致業(yè)務中斷，企業(yè)通常會認為支付贖金是取回數(shù)據(jù)最劃算的辦法。但尷尬的是，這些支付出去的贖金，通常會被直接用于下一代勒索軟件的開發(fā)。所以很多企業(yè)正在無奈地用“金錢澆灌著勒索軟件的花朵”。正因如此，勒索攻擊正以驚人的速度不斷發(fā)展，勒索軟件家族也正在不斷的進化。那么，企業(yè)在如何一步步將威脅擋在門外呢？

■數(shù)據(jù)備份與恢復：備份，備份，再備份。

數(shù)據(jù)備份和恢復措施是發(fā)生被勒索事件挽回損失的重要工作，我們將此關鍵措施放在第一位。面對攻擊者的贖金勒索，需要清晰了解并考慮以下幾天來點：

當系統(tǒng)遭到徹底破壞的時候，受害組織在多大程度上能夠接受數(shù)據(jù)的丟失？

本地備份是否可用，或者異地備份的內(nèi)容是否都被刪除或以其他的方式導致不可用？

如果本地備份介質(zhì)的內(nèi)容被刪除或不可使用，異地的備份是否可用？ 異地備份頻率如何？是否定期驗證過備份內(nèi)容的有效性？數(shù)據(jù)是否可以正常使用？是否數(shù)據(jù)應急恢復流程或手冊？如果給出的答案是肯定了，那么備份恢復是企業(yè)的最后一道防線，在最壞的情況下，它將是企業(yè)最后的堡壘，而企業(yè)需要建不定期地進行數(shù)據(jù)備份策略，以確保在最壞的情況下有備份措施。

如果企業(yè)的業(yè)務在云上，可以使用不同方式的備份方法來解決數(shù)據(jù)備份問題，以確保在發(fā)生勒索事件后，盡可能的挽回損失。

推薦工具 ECS快照功能、RDS提供的數(shù)據(jù)備份功能、使用OSS存儲服務備份重要數(shù)據(jù)文件、由用戶制定的數(shù)據(jù)備份策略或方案等。

■云上賬號安全策略

云上針對租戶賬號提供賬號登錄雙因素驗證機制（MFA）、密碼安全策略和審計功能，企業(yè)可以方便地在自己的云上界面中啟用和關閉，以確保云服務賬號的安全性。

針對組織內(nèi)部多角色場景，企業(yè)需要使用RAM服務為不同角色合理分配賬號并授權(quán)，以防止在運維管理活動中，出現(xiàn)意外操作而導致的安全風險。

■阻止惡意的初始化訪問

企業(yè)可以采用如下兩種方式，來阻止攻擊進入系統(tǒng)的“第一道門”：發(fā)現(xiàn)并修復業(yè)務系統(tǒng)存在的漏洞；或者拒絕點擊網(wǎng)絡釣魚等不明惡意鏈接和郵件/社交工程。如果攻擊者在目標網(wǎng)絡無法輕易地建立初始訪問，那么攻擊者更可能轉(zhuǎn)向其他較為容易進攻的目標。攻擊者也希望花費盡可能少的代價來取得相應的收益。如果無法輕易地建立初始訪問，這會增加他們尋找其他更容易進攻目標的可能性。

■搭建有容災能力的基礎架構(gòu)

高性能、具有冗余的基礎架構(gòu)能力是保障業(yè)務強固的基礎條件，在云環(huán)境下，可以通過SLB集群的方式搭建高可用架構(gòu)，當出現(xiàn)某一個節(jié)點發(fā)生緊急問題時，可以有效避免單點故障問題，防止業(yè)務中斷的前提下，也可以防止數(shù)據(jù)丟失。

在資源允許的條件下，企業(yè)或組織可以搭建同城或異地容災備份系統(tǒng)，當主系統(tǒng)出現(xiàn)勒索事件后，可以快速切換到備份系統(tǒng)，從而保證業(yè)務的連續(xù)性。

推薦工具 SLB、RDS等高性能服務組合而成的容災架構(gòu)

■強化網(wǎng)絡訪問控制

精細化的網(wǎng)絡管理是業(yè)務的第一道屏障。

對于大部分企業(yè)網(wǎng)絡而言，它們的網(wǎng)絡安全架構(gòu)是“一馬平川”的，在業(yè)務塊之前，很少有業(yè)務分區(qū)分段。但隨著業(yè)務的增長和擴容，一旦發(fā)生入侵，影響面會是全局的。在這種情況下，通過有效的安全區(qū)域劃分、訪問控制和準入機制可以防止或減緩滲透范圍，可以阻止不必要的人員進入業(yè)務環(huán)境。

例如，可以限制ssh、RDP業(yè)務管理源地址、對數(shù)據(jù)庫連接源IP進行訪問控制，實現(xiàn)最小化訪問范圍，僅允許授信人員訪問，并對出口網(wǎng)絡行為實時分析和審計。具體可以從以下幾個方面實施：

推薦使用更安全的VPC網(wǎng)絡；

通過VPC和安全組劃分不同安全等級的業(yè)務區(qū)域，讓不同的業(yè)務處在不同的隔離空間；

配置入口/出口過濾防火墻策略，再次強調(diào)入口和出口均需進行過濾。主機彼此之間應當不能通過SMB（139/tcp、445/tcp）進行通信。如果設置了文件服務器，實際上就不需要進行這種通信。如果企業(yè)可以有效地禁用主機間的SMB通信，企業(yè)就可以防止攻擊者使用“通過散列表”所進行的逐步滲透。SMB通信應該僅限于應用分發(fā)平臺，文件共享或域控制器。

推薦工具 VPC、安全組

■定期進行外部端口掃描

端口掃描可以用來檢驗企業(yè)的弱點暴露情況。如果企業(yè)有一些服務連接到互聯(lián)網(wǎng)，需要確定哪些業(yè)務是必須要發(fā)布到互聯(lián)網(wǎng)上，哪些是僅內(nèi)部訪問，公共互聯(lián)網(wǎng)的服務數(shù)量越少，攻擊者的攻擊范圍就越窄，從而遭受的安全風險就越小。

■定期進行安全測試發(fā)現(xiàn)存在的安全漏洞

企業(yè)公司IT管理人員需要定期對業(yè)務軟件資產(chǎn)進行安全漏洞探測，一旦確定有公開暴露的服務，應使用漏洞掃描工具對其進行掃描。盡快修復掃描漏洞，同時日常也應該不定期關注軟件廠商發(fā)布的安全漏洞信息和補丁信息，及時做好漏洞修復管理工作。

推薦工具 安全眾測產(chǎn)品、VPC網(wǎng)絡、安全組策略、主機安全、可管理的安全服務（MSS）

■常規(guī)的系統(tǒng)維護工作

制定并遵循實施IT軟件安全配置，對操作系統(tǒng)和軟件初始化安全加固，同時定期核查其有效性；

為Windows操作系統(tǒng)云服務器安裝防病毒軟件，并定期更新病毒庫；

確保定期更新補?。?/p>

確保開啟日志記錄功能，并集中進行管理和審計分析；

確保合理的分配賬號、授權(quán)和審計功能，例如：為服務器、RDS數(shù)據(jù)庫建立不同權(quán)限賬號并啟用審計功能，如果有條件，可以實施類似堡壘機、VPN等更嚴格的訪問策略。

確保實施強密碼策略，并定期更新維護，對于所有操作行為嚴格記錄并審計；

確保對所有業(yè)務關鍵點進行實時監(jiān)控，當發(fā)現(xiàn)異常時，立即介入處理。

推薦工具 主機安全產(chǎn)品

■重點關注業(yè)務代碼安全

大部分安全問題由于程序員的不謹慎或者在無意識的情況下埋下了安全隱患。代碼的安全直接影響到業(yè)務的風險，根據(jù)經(jīng)驗來看，代碼層的安全需要程序員從一開始就將安全架構(gòu)設計納入到整體軟件工程內(nèi)，按照標準的軟件開發(fā)流程，在每個環(huán)節(jié)內(nèi)關聯(lián)安全因素。以下是基于軟件開發(fā)流程將安全管控點落實到流程中的最佳實踐：

對于一般的企業(yè)來說，需要重點關注開發(fā)人員或軟件服務提供上的安全編碼和安全測試結(jié)果，尤其是對開發(fā)完畢的業(yè)務代碼安全要進行代碼審計評估和上線后的黑盒測試（也可以不定期地進行黑盒滲透測試）。

推薦工具 安全眾測產(chǎn)品、Web應用防火墻（WAF）、SDL標準流程

■建立全局的外部威脅和情報感知能力

安全是動態(tài)的對抗的過程，就跟打仗一樣，在安全事件發(fā)生之前，我們要時刻了解和識別外部不同各類風險，所以做安全的思路應該從防止安全入侵這種不可能的任務轉(zhuǎn)到了防止損失這一系列的關鍵任務上。

防范措施必不可少，但是基于預警、響應的時間差也同樣關鍵。而實現(xiàn)這種快速精準的預警能力需要對外面的信息了如指掌，切記“盲人摸象”，所以建立有效的監(jiān)控和感知體系是實現(xiàn)安全管控措施是不可少的環(huán)節(jié)，更是安全防護體系策略落地的基礎條件。

推薦工具 大數(shù)據(jù)安全分析平臺，云上安全威脅態(tài)勢感知系統(tǒng)

■建立安全事件應急響應流程和預案

就像前面說的一樣，在安全攻防動態(tài)的過程中，我們可能很難100%地防御住所有的安全事件，也就是說，我們要為可能突發(fā)的安全事件準備好應急策略，在安全事件發(fā)生后，要通過組織快速響應、標準化的應急響應流程、規(guī)范的事件處置規(guī)范來降低安全事件發(fā)生的損失。

推薦工具 可管理的安全服務（MSS）、安全事件應急響應服務（SIEM）

從以上介紹看來，這些對抗攻擊的方式并沒有很高的難度。它們在企業(yè)信息安全日常實踐中都是常用的安全措施。但大部分企業(yè)沒有去做好基礎防御工作，主要還是因為沒有引起高度的重視，而一旦發(fā)生此類嚴重影響業(yè)務安全事件之后，后悔莫及。