安全社区
黑盾云安全社区,与你一起分享安全领域的知识与智慧
黑盾云安全社区,与你一起分享安全领域的知识与智慧
勒索病毒2018-08-24 16:06:49 21252次围观
2017年5月,勒索病毒全球大面积爆发,横扫150多个国家上百万台电脑,令无数企业和个人损失惨重,堪称信息安全史上的一次浩劫。
一年过去了,病毒的阴霾似乎已散去,逐渐淡出了我们的视线。然而,病毒的威胁真的离我们远去了吗?
遗憾的是,国内勒索病毒的疫情现在依然十分严峻,据国内安全监测机构的数据,勒索病毒现已发展到10多个变种,每天感染量高达10多万台电脑,特别是今年以来,勒索病毒的传播呈现出从撒网式攻击逐步转变为精准目标攻击。此外,勒索病毒攻击的目标对象越来越转向医疗、政府机构、学校、交通、能源、企业等对信息依赖性较强的机构。
勒索病毒的传播途径很多,可以利用SMB服务漏洞、RDP弱口令、电子邮件、网页挂马等多种途径在互联网传播,并通过U盘、系统漏洞、弱口令等方式在内网扩散。
勒索病毒的攻击方式正在不断发生改变,任何一个主机、网络存在的漏洞及问题都能成为新型勒索病毒的传播载体。海峡信息安全服务团队依据大量勒索病毒攻击事件应急响应处置经验,总结原因如下:
1.网络
安全域未根据网络区域职能进行安全域划分,缺少安全域间边界隔离。同时,随着业务的不断扩张,云计算虚拟化技术的应用导致网络边界的概念越来越模糊。一旦勒索病毒进入单位网络,将在全网传播肆虐,难以控制。
2.主机
服务器存在高风险安全漏洞和不安全配置,缺乏系统定期安全检测和加固机制,或由于系统版本过低等问题无法修复,导致安全漏洞一直存在,被病毒利用;
主机系统没有安装专业版杀毒软件,病毒库未及时更新,杀毒软件保护能力过弱。导致病毒可以修改进程白名单、退出乃至卸载杀毒软件;
3.安全管理
由于人员安全意识薄弱导致病毒可通过邮件、U盘、即时通信工具、非授权的软件等方式感染单位员工的电脑并传播进单位内网。
此外,IT运维工作更多关注于系统可用性维护,忽略了安全风险管控。数据备份、行为审计、安全评估、策略有效性检查等安全运维工作未得到重视与落实。甚至部分IT运维人员为了工作方便,私自开通远程运维通道,将核心系统资产暴露在互联网上,被病毒和黑客利用。
因此,预防“中招”就是关键
勒索病毒多层次防御体系
针对勒索病毒传播和感染途径,基于业务系统所面临的安全风险,应对单位信息系统进行全面的梳理与安全规划,在人员、网络、主机方面采取针对性方案,循环检验、长期监控、动态防御,构建多层次立体安全防御体系。
遏制病毒传播
勒索病毒总是通过网络安全防护最薄弱的地方传播,更加合理的划分网络安全域,能够减少勒索病毒可利用的脆弱点、控制病毒传播范围。应对网络进行结构梳理,划分安全域,例如:不同类型的应用系统不要部署在同一台服务器上、不同重要程度的应用系统应做网段隔离、不同类型的接入终端应做安全域划分与隔离;
为了实现更精细化的安全域划分、解决物理网络改造成本较高等难题,可采用多网隔离系统,在物理网络层之上形成虚拟网络层,可在虚拟网络层以几乎0成本的方式进行更加细致化的虚拟安全域划分。
做好边界防护措施,针对不同安全区域业务系统的开放程度及面临的安全风险,设定不同安全域之间的数据安全流转规则,核心资源不允许直接被外部访问。
通过防病毒网关实现对隐藏在网络数据流中的各类病毒进行过滤,可以对包括勒索病毒在内的网络病毒、蠕虫、间谍软件等各种广义病毒进行全面的拦截。有效防止病毒通过网络的在不同安全域中快速扩散。
病毒感染免疫
1.核心系统保护
针对服务器和数据库等高价值资产,采用主机安全检测与加固、构建可信计算环境,进行严格安全管控和保护
加强主机安全监测,实时监控重要服务器的webshell、隐藏账户、可疑进程、配置变更情况、网页后门及木马等入侵行为,并对攻击者非法行为进行预警阻断。
构建可信计算主机环境,利用主机安全软件,根据主机进程相关的所有文件信息进行哈希计算得到该进程的“身份”特征,基于进程“身份”建立可信进程行为白名单。一旦有勒索病毒或攻击者通过 0day 或未知威胁渗透到用户的主机进行勒索病毒加载、恶意后门加载等进程服务行为,主机防护系统能够实时响应、告警、阻断。
2.主机病毒保护
通过主机防病毒软件,加强主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库,实现主机恶意代码防护。通过自主分析和发现各种新型恶意软件等威胁行为,提升威胁行为的发现与防御的能力和时效性。构建智能化的恶意软件及各类威胁行为的监测、预警、防御系统。
事后数据恢复
1.关键数据容灾
建立长效的安全数据保护和备份机制,保护业务数据安全。利用数据容灾系统监控被保护数据的变化,实现I/O级的数据备份。一旦发现数据被篡改或加密,即可根据需要回滚任意时刻的数据,恢复业务信息系统。
2.个人数据保护
通过文档安全管理系统实现对个人文档的保护,对个人文档进行隐藏、云端备份等多重持续保护。
安全运营
规范系统运维,针对勒索病毒感染、传播所依赖的系统漏洞和不安全配置进行全面的发现、分析和修复。深入结合业务与系统需求进行风险管理,将安全融入流程,做到授权可控、操作过程可控、风险可控、事后可回溯。
海峡信息根据勒索病毒特性与危害,提供从人员到系统的针对性保护措施。构筑全网协同、智能驱动、高弹性自动化的安全防御长城。