安全社区

WannaCry周年纪

        距离WannaCry勒索病毒大规模爆发已经过去了整整一年，这个大型勒索病毒事件带来的负面影响仍然难以消除。勒索病毒这个恶意软件大家族中的分支不断滋长蔓延，变种层出不穷，而政府、医疗行业成攻击重灾区，遭受前所未有的破坏。勒索病毒已发展成为威胁网络安全的重大毒瘤。

       在过去一年中,海峡信息公司参与了政府、医疗、企业等行业重要系统应急响应事件，通过精研勒索病毒防御技术并推出一系列的解决方案。再此重提勒索病毒，回顾发生的事件，旨为提高我们的安全意识及网络系统防护能力，让安全事件防范于未然。

受勒索病毒攻击的典型案例

【受害者：某一市基础设施系统】

      某运维人员私自开放远程桌面服务至互联网，被黑客不断口令暴力破解，最终使得系统被完全地掌握。

       该类机构长期依赖于互联网提供的基础设施服务，但相对缺少专业安全运维服务。导致整体安全防御能力薄弱，容易被病毒入侵。以上事件发生时，晚上22点04分被.TRUE病毒锁定，22点27分管理员才安装上杀毒软件，真的有点晚了！

【受害者：某一医院】

       该医院信息系统中部署有各种安全设备，可设置的服务器口令是相同的，几十台服务器同时被.ALOC1病毒锁定。导致业务系统长时间、大面积的中断，导致部分重要业务数据永久丢失。不仅影响医院日常的诊疗工作造成经济损失,更严重的是对医院的声誉造成负面影响。

【受害者：某医疗专网、部分机关单位】

        这些单位的系统已打安全补丁且部署各类网络安全防护设备，但为什么时长出现网速很慢很卡呢？

       这个情况是病毒已经先于安全防护，默默地潜伏在系统中，不断感染系统能使整个局域网瘫痪原因，无法正常使用。

抢占先机 制敌扼住勒索病的咽喉

       自2017年5月起，海峡信息多次发布勒索病毒相关公告及文章，其中提到的勒索病毒防范解决方案依然是准确有效的。但是这一年来，我们参与过的应急响应及安全建设工作中，发现众多系统安全漏洞还未修复，弱口令依然存在，网络区域未划分完善等等。

        勒索病毒的平台化、产业链生成，攻击手段不断进化，时刻都在考验着脆弱的信息系统。海峡信息通过长期监测与梳理，总结了勒索病毒应对预防措施，旨在帮助大家了解病毒新动态，并提高安全警惕。

强化安全宣传 提升安全意识

1) 系统开发、运维或管理人员应定期进行安全意识培训，学习了解各勒索软件的攻击途径，知悉自家系统还存在的安全隐患，定期更新病毒库， 要警惕陌生、可疑的文件，在生产环境上运行程序前应经过测试环境严格测试。

2) 系统开发、运维或管理人员使用的办公笔记本、电脑要安装杀毒软件，定期修改开机密码，密码需与服务器密码不同。

加强网络边界防护

1）建议将具有外网权限的主机进行单独隔离并严格控制其访问及被访问权限，仅开放必要的端口，防止其成为病毒跳板向内网传播；加强安全域之间的安全防护与安全策略细粒度，如在网络层控制445等危险端口的访问。

2）全面清查互联网开放的服务端口，禁止以任何端口开放RDP远程桌面及SMB协议到互联网。若业务需要必须开放，应严格控制访问地址IP。

服务器与业务终端的安全防护

1) 及时更新修复系统补丁，尤其针对MS17-010等高危安全漏洞应专项检测修补，对于版本过低的系统应及时迁移至支持补丁更新且稳定的操作系统版本，服务器众多的建议部署WSUS等更新服务器。

2) 关闭直接远程桌面登录途径，采用统一的终端管理软件，如堡垒机； 服务器进行安全策略加固，配置完善日志记录并至少保存180天。

3) 搭建容灾能力的基础架构，有效避免单点故障、防止数据丢失；重要程序及数据应定期或实时备份，备份数据应异地存储，避免本机感染勒索病毒后导致备份数据被同步锁定。