正禾

當(dāng)用戶因?yàn)槔账鬈浖?dǎo)致業(yè)務(wù)中斷，企業(yè)通常會(huì)認(rèn)為支付贖金是取回?cái)?shù)據(jù)最劃算的辦法。但尷尬的是，這些支付出去的贖金，通常會(huì)被直接用于下一代勒索軟件的開發(fā)。所以很多企業(yè)正在無奈地用“金錢澆灌著勒索軟件的花朵”。正因如此，勒索攻擊正以驚人的速度不斷發(fā)展，勒索軟件家族也正在不斷的進(jìn)化。那么，企業(yè)在如何一步步將威脅擋在門外呢？

■數(shù)據(jù)備份與恢復(fù)：備份，備份，再備份。

數(shù)據(jù)備份和恢復(fù)措施是發(fā)生被勒索事件挽回?fù)p失的重要工作，我們將此關(guān)鍵措施放在第一位。面對(duì)攻擊者的贖金勒索，需要清晰了解并考慮以下幾天來點(diǎn)：

當(dāng)系統(tǒng)遭到徹底破壞的時(shí)候，受害組織在多大程度上能夠接受數(shù)據(jù)的丟失？

本地備份是否可用，或者異地備份的內(nèi)容是否都被刪除或以其他的方式導(dǎo)致不可用？

如果本地備份介質(zhì)的內(nèi)容被刪除或不可使用，異地的備份是否可用？ 異地備份頻率如何？是否定期驗(yàn)證過備份內(nèi)容的有效性？數(shù)據(jù)是否可以正常使用？是否數(shù)據(jù)應(yīng)急恢復(fù)流程或手冊(cè)？如果給出的答案是肯定了，那么備份恢復(fù)是企業(yè)的最后一道防線，在最壞的情況下，它將是企業(yè)最后的堡壘，而企業(yè)需要建不定期地進(jìn)行數(shù)據(jù)備份策略，以確保在最壞的情況下有備份措施。

如果企業(yè)的業(yè)務(wù)在云上，可以使用不同方式的備份方法來解決數(shù)據(jù)備份問題，以確保在發(fā)生勒索事件后，盡可能的挽回?fù)p失。

推薦工具 ECS快照功能、RDS提供的數(shù)據(jù)備份功能、使用OSS存儲(chǔ)服務(wù)備份重要數(shù)據(jù)文件、由用戶制定的數(shù)據(jù)備份策略或方案等。

■云上賬號(hào)安全策略

云上針對(duì)租戶賬號(hào)提供賬號(hào)登錄雙因素驗(yàn)證機(jī)制（MFA）、密碼安全策略和審計(jì)功能，企業(yè)可以方便地在自己的云上界面中啟用和關(guān)閉，以確保云服務(wù)賬號(hào)的安全性。

針對(duì)組織內(nèi)部多角色場(chǎng)景，企業(yè)需要使用RAM服務(wù)為不同角色合理分配賬號(hào)并授權(quán)，以防止在運(yùn)維管理活動(dòng)中，出現(xiàn)意外操作而導(dǎo)致的安全風(fēng)險(xiǎn)。

■阻止惡意的初始化訪問

企業(yè)可以采用如下兩種方式，來阻止攻擊進(jìn)入系統(tǒng)的“第一道門”：發(fā)現(xiàn)并修復(fù)業(yè)務(wù)系統(tǒng)存在的漏洞；或者拒絕點(diǎn)擊網(wǎng)絡(luò)釣魚等不明惡意鏈接和郵件/社交工程。如果攻擊者在目標(biāo)網(wǎng)絡(luò)無法輕易地建立初始訪問，那么攻擊者更可能轉(zhuǎn)向其他較為容易進(jìn)攻的目標(biāo)。攻擊者也希望花費(fèi)盡可能少的代價(jià)來取得相應(yīng)的收益。如果無法輕易地建立初始訪問，這會(huì)增加他們尋找其他更容易進(jìn)攻目標(biāo)的可能性。

■搭建有容災(zāi)能力的基礎(chǔ)架構(gòu)

高性能、具有冗余的基礎(chǔ)架構(gòu)能力是保障業(yè)務(wù)強(qiáng)固的基礎(chǔ)條件，在云環(huán)境下，可以通過SLB集群的方式搭建高可用架構(gòu)，當(dāng)出現(xiàn)某一個(gè)節(jié)點(diǎn)發(fā)生緊急問題時(shí)，可以有效避免單點(diǎn)故障問題，防止業(yè)務(wù)中斷的前提下，也可以防止數(shù)據(jù)丟失。

在資源允許的條件下，企業(yè)或組織可以搭建同城或異地容災(zāi)備份系統(tǒng)，當(dāng)主系統(tǒng)出現(xiàn)勒索事件后，可以快速切換到備份系統(tǒng)，從而保證業(yè)務(wù)的連續(xù)性。

推薦工具 SLB、RDS等高性能服務(wù)組合而成的容災(zāi)架構(gòu)

■強(qiáng)化網(wǎng)絡(luò)訪問控制

精細(xì)化的網(wǎng)絡(luò)管理是業(yè)務(wù)的第一道屏障。

對(duì)于大部分企業(yè)網(wǎng)絡(luò)而言，它們的網(wǎng)絡(luò)安全架構(gòu)是“一馬平川”的，在業(yè)務(wù)塊之前，很少有業(yè)務(wù)分區(qū)分段。但隨著業(yè)務(wù)的增長(zhǎng)和擴(kuò)容，一旦發(fā)生入侵，影響面會(huì)是全局的。在這種情況下，通過有效的安全區(qū)域劃分、訪問控制和準(zhǔn)入機(jī)制可以防止或減緩滲透范圍，可以阻止不必要的人員進(jìn)入業(yè)務(wù)環(huán)境。

例如，可以限制ssh、RDP業(yè)務(wù)管理源地址、對(duì)數(shù)據(jù)庫連接源IP進(jìn)行訪問控制，實(shí)現(xiàn)最小化訪問范圍，僅允許授信人員訪問，并對(duì)出口網(wǎng)絡(luò)行為實(shí)時(shí)分析和審計(jì)。具體可以從以下幾個(gè)方面實(shí)施：

推薦使用更安全的VPC網(wǎng)絡(luò)；

通過VPC和安全組劃分不同安全等級(jí)的業(yè)務(wù)區(qū)域，讓不同的業(yè)務(wù)處在不同的隔離空間；

配置入口/出口過濾防火墻策略，再次強(qiáng)調(diào)入口和出口均需進(jìn)行過濾。主機(jī)彼此之間應(yīng)當(dāng)不能通過SMB（139/tcp、445/tcp）進(jìn)行通信。如果設(shè)置了文件服務(wù)器，實(shí)際上就不需要進(jìn)行這種通信。如果企業(yè)可以有效地禁用主機(jī)間的SMB通信，企業(yè)就可以防止攻擊者使用“通過散列表”所進(jìn)行的逐步滲透。SMB通信應(yīng)該僅限于應(yīng)用分發(fā)平臺(tái)，文件共享或域控制器。

推薦工具 VPC、安全組

■定期進(jìn)行外部端口掃描

端口掃描可以用來檢驗(yàn)企業(yè)的弱點(diǎn)暴露情況。如果企業(yè)有一些服務(wù)連接到互聯(lián)網(wǎng)，需要確定哪些業(yè)務(wù)是必須要發(fā)布到互聯(lián)網(wǎng)上，哪些是僅內(nèi)部訪問，公共互聯(lián)網(wǎng)的服務(wù)數(shù)量越少，攻擊者的攻擊范圍就越窄，從而遭受的安全風(fēng)險(xiǎn)就越小。

■定期進(jìn)行安全測(cè)試發(fā)現(xiàn)存在的安全漏洞

企業(yè)公司IT管理人員需要定期對(duì)業(yè)務(wù)軟件資產(chǎn)進(jìn)行安全漏洞探測(cè)，一旦確定有公開暴露的服務(wù)，應(yīng)使用漏洞掃描工具對(duì)其進(jìn)行掃描。盡快修復(fù)掃描漏洞，同時(shí)日常也應(yīng)該不定期關(guān)注軟件廠商發(fā)布的安全漏洞信息和補(bǔ)丁信息，及時(shí)做好漏洞修復(fù)管理工作。

推薦工具 安全眾測(cè)產(chǎn)品、VPC網(wǎng)絡(luò)、安全組策略、主機(jī)安全、可管理的安全服務(wù)（MSS）

■常規(guī)的系統(tǒng)維護(hù)工作

制定并遵循實(shí)施IT軟件安全配置，對(duì)操作系統(tǒng)和軟件初始化安全加固，同時(shí)定期核查其有效性；

為Windows操作系統(tǒng)云服務(wù)器安裝防病毒軟件，并定期更新病毒庫；

確保定期更新補(bǔ)?。?/p>

確保開啟日志記錄功能，并集中進(jìn)行管理和審計(jì)分析；

確保合理的分配賬號(hào)、授權(quán)和審計(jì)功能，例如：為服務(wù)器、RDS數(shù)據(jù)庫建立不同權(quán)限賬號(hào)并啟用審計(jì)功能，如果有條件，可以實(shí)施類似堡壘機(jī)、VPN等更嚴(yán)格的訪問策略。

確保實(shí)施強(qiáng)密碼策略，并定期更新維護(hù)，對(duì)于所有操作行為嚴(yán)格記錄并審計(jì)；

確保對(duì)所有業(yè)務(wù)關(guān)鍵點(diǎn)進(jìn)行實(shí)時(shí)監(jiān)控，當(dāng)發(fā)現(xiàn)異常時(shí)，立即介入處理。

推薦工具 主機(jī)安全產(chǎn)品

■重點(diǎn)關(guān)注業(yè)務(wù)代碼安全

大部分安全問題由于程序員的不謹(jǐn)慎或者在無意識(shí)的情況下埋下了安全隱患。代碼的安全直接影響到業(yè)務(wù)的風(fēng)險(xiǎn)，根據(jù)經(jīng)驗(yàn)來看，代碼層的安全需要程序員從一開始就將安全架構(gòu)設(shè)計(jì)納入到整體軟件工程內(nèi)，按照標(biāo)準(zhǔn)的軟件開發(fā)流程，在每個(gè)環(huán)節(jié)內(nèi)關(guān)聯(lián)安全因素。以下是基于軟件開發(fā)流程將安全管控點(diǎn)落實(shí)到流程中的最佳實(shí)踐：

對(duì)于一般的企業(yè)來說，需要重點(diǎn)關(guān)注開發(fā)人員或軟件服務(wù)提供上的安全編碼和安全測(cè)試結(jié)果，尤其是對(duì)開發(fā)完畢的業(yè)務(wù)代碼安全要進(jìn)行代碼審計(jì)評(píng)估和上線后的黑盒測(cè)試（也可以不定期地進(jìn)行黑盒滲透測(cè)試）。

推薦工具 安全眾測(cè)產(chǎn)品、Web應(yīng)用防火墻（WAF）、SDL標(biāo)準(zhǔn)流程

■建立全局的外部威脅和情報(bào)感知能力

安全是動(dòng)態(tài)的對(duì)抗的過程，就跟打仗一樣，在安全事件發(fā)生之前，我們要時(shí)刻了解和識(shí)別外部不同各類風(fēng)險(xiǎn)，所以做安全的思路應(yīng)該從防止安全入侵這種不可能的任務(wù)轉(zhuǎn)到了防止損失這一系列的關(guān)鍵任務(wù)上。

防范措施必不可少，但是基于預(yù)警、響應(yīng)的時(shí)間差也同樣關(guān)鍵。而實(shí)現(xiàn)這種快速精準(zhǔn)的預(yù)警能力需要對(duì)外面的信息了如指掌，切記“盲人摸象”，所以建立有效的監(jiān)控和感知體系是實(shí)現(xiàn)安全管控措施是不可少的環(huán)節(jié)，更是安全防護(hù)體系策略落地的基礎(chǔ)條件。

推薦工具 大數(shù)據(jù)安全分析平臺(tái)，云上安全威脅態(tài)勢(shì)感知系統(tǒng)

■建立安全事件應(yīng)急響應(yīng)流程和預(yù)案

就像前面說的一樣，在安全攻防動(dòng)態(tài)的過程中，我們可能很難100%地防御住所有的安全事件，也就是說，我們要為可能突發(fā)的安全事件準(zhǔn)備好應(yīng)急策略，在安全事件發(fā)生后，要通過組織快速響應(yīng)、標(biāo)準(zhǔn)化的應(yīng)急響應(yīng)流程、規(guī)范的事件處置規(guī)范來降低安全事件發(fā)生的損失。

推薦工具 可管理的安全服務(wù)（MSS）、安全事件應(yīng)急響應(yīng)服務(wù)（SIEM）

從以上介紹看來，這些對(duì)抗攻擊的方式并沒有很高的難度。它們?cè)谄髽I(yè)信息安全日常實(shí)踐中都是常用的安全措施。但大部分企業(yè)沒有去做好基礎(chǔ)防御工作，主要還是因?yàn)闆]有引起高度的重視，而一旦發(fā)生此類嚴(yán)重影響業(yè)務(wù)安全事件之后，后悔莫及。