6月10日,一则名为“某企业全球业务遭勒索软件攻击,部分产线被迫暂停运营”的消息进入了网络安全行业的视野。经该企业证实,这是一起网络攻击事件,导致其全球部分业务陷入停顿状态。早期的一份报告表明Snake勒索软件可能是罪魁祸首。和其他文件加密恶意软件一样,Snake会将文件和文档混乱,攻击者以此作为威胁要求支付加密货币赎金。其实早在此之前,该公司就发布过一条推文,声明其客户服务和金融服务因黑客攻击“不可用”。
无独有偶,4月27日,B 站知名 UP 主“机智的党妹”发布了一个视频——《我被勒索了!》。据视频介绍,党妹遭遇网络攻击,并被黑客勒索,公司花费十几万在内部网络搭建的一个 NAS 系统,却在4月26 日(即投入使用第一天)遭遇黑客攻击,导致现阶段所有正在制作的视频素材全部被勒索软件加密,无法打开。
近年来,企业受到勒索病毒攻击的事件层出不穷,带来了很多严重危害。随着企业上云,云上企业面对勒索病毒是否更安全?又应该如何防范呢?云鼎实验室作为腾讯云安全的护航者,一直以来都致力于打造最安全的产业云。针对此类情况,腾讯安全云鼎实验室专家也有些建议。
如何甄别是否感染勒索病毒
通常来说勒索病毒都会有一系列恶意行为,主要包括对服务器的所有文件或仅对数据库文件进行加密(一般同时使用多种标准加密算法进行加密,比如AES、RSA);修改桌面壁纸或弹出提示窗口,显示勒索消息向受害者索要解密赎金(通常要求受害者限时内缴纳数字货币)。
而他们常见攻击手段通常会有口令爆破攻击、钓鱼邮件攻击、利用系统与软件漏洞攻击和网站挂马攻击等。这些攻击手段都会造成严重危害重要业务数据库遭受攻击,丢失业务数据,导致业务中断。即使根据指引按时缴纳赎金,仍无法保证数据的恢复,造成双重损失。
当服务器、数据库无法正常运作(比如服务器无法登录);访问服务器、数据库出现勒索提示信息(比如连接服务器或数据库时出现索要赎金信息);文件名被修改,添加后缀名(比如在文件名后添加随机字符),那么你很有可能已经成为勒索病毒的受害者。
云上勒索病毒,企业应如何防范
勒索病毒的不断涌现,首当其冲要做的就是维护租户安全。企业端面对高危端口应通过漏洞管理、基线检查的角度主动发现潜在的漏洞风险,构建安全防线,并通过病毒查杀引擎实现主动防御。同时也要在事前做好数据的备份,事后进行数据的恢复和解密,有效挽回损失。腾讯安全云鼎实验室专家提出了一些建议。
从租户安全角度出发。一方面企业要做好基础安全防护工作,如针对基础操作系统默认配置(高危服务端口、口令策略等)进行安全加固,收敛云上风险资产面;另一方面,建议关注腾讯云官方安全公告漏洞情报,针对新出现的漏洞,及时进行扫描和修复处置,避免新增安全威胁影响业务正常运行;
与此同时,关注人为带来的安全隐患或风险,针对内部业务、运维操作等开展定期日志审计,同时可利用腾讯云安全运营中心提供的泄露监测功能(免费),配置自定义规则,进行主动和被动监测,及时发现人为疏忽导致的敏感信息泄露行为;
最后,就是梳理核心业务场景,构建以业务为中心的安全防护体系,针对业务数据流、业务支撑组件以及业务入口、业务敏感凭据进行全面梳理,进行专项建设优化和持续运营。
为最大程度的保障云上租户安全,云鼎实验室构建了以主动响应为主的“租户安全运营中台”能力,通过云原生威胁情报、云漏洞情报、全局漏洞防护、基础安全大数据分析及威胁监测等手段,实时分析全云安全态势,及时阻断云上批量漏洞利用行为。
截至目前,该中台的漏洞情报能力已经覆盖数百个情报源,并服务于腾讯云100万台以上的服务器和数千家大客户,能够在分钟级定位新出现的安全漏洞及影响范围,在日级以内实现全网的安全漏洞处置。
与此同时,腾讯云还面向用户构建的云端漏洞封堵能力和数据泄露监测能力,前者可实现用户侧无感知批量漏洞利用防护,后者则提供全流程的敏感凭据泄露防护解决方案,该方案通过事前凭据加固实践、事中提供托管式管理、加密、轮换等操作凭据管理系统以及事后提供的主动+被动的敏感凭据泄露监测能力,可以帮助用户在敏感凭据管理的全生命周期规避泄露风险,此次全球SNAKES勒索事件所使用的恶意软件,则包含了检查程序代码中硬编码(如内部系统名称和相关公共IP地址)行为。
除了保障云上租户安全外,从数据安全角度,在做好日常数据的备份基础上,我们还有三个建议。
首先在数据生产之初,重点关注数据的分类、治理和策略。明确哪些是机密数据、敏感数据、普通数据,进而根据数据的不同等级,设置不同的安全策略。
其次,重视异常事件监测分析。一方面为企业提供运维人员操作审计,对异常行为进行告警,防止内部数据泄密,一方面对数据库运行进行智能化审计,对数据库运行过程中的潜在风险进行挖掘,及时发现每一条异常行为并予以拦截。
最后还要加强数据存储灾备和恢复能力,确保系统在遭受灾难时数据的安全,以及业务的快速恢复。
总的来说,面对频发的企业云上勒索事件,云鼎实验室方面建议大家事前做好相应的防御,做好数据的监测备份和服务器的加固。当遇到此类问题的时候还要有良好的应急机制,拒绝交付赎金,利用防火墙等进行访问控制,隔离感染机器。事后记得进行数据恢复或数据解密,挽回重要数据,进行安全加固,防止再次感染,恢复正常运作。
如若转载,请注明原文地址: