安全知识 | 如何防范处理勒索软件?
发布时间:2022年10月19日
分享到

一、勒索软件态势分析

勒索软件将近有30年的发展历史,在这30年中勒索攻击技术也在不段升级更新,我们可以将这段历史大致分为三个阶段:萌芽期、活跃期、高发期。

二、勒索软件常见技术分析

1. 攻击阶段 勒索软件在攻击目标时最开始获取权限的手段通 常为WEB漏洞、端口爆破、社会工程学三种方式。

2. 内网横向阶段 勒索软件在传播过程中主要基于RDP 远程桌面协 议、SSH 协议、SMB 协议、IPC 协议、及域内 GPO 组 策略等方式传播,其中 RDP 远程桌面协议、SSH 协议、 SMB 协议较为常见。

3. 勒索软件加密方式分析 不同的勒索软件分别使用了不同的加密算法加密 文件,基本涉及到的加密算法有 RSAAESECDHChaCHA20Salsa20,一般采用两种加密方式进行加密, 如:RSA+AESECDH+ChaCha20 等。

、勒索软件防范措施

1. 资产管理

1)资产台账 针对内部所有设备,从主机 IP/网段、系统版本、 部署位置、承载服务、责任人、联系方式等维度,建立 资产台账,便于资产的统筹分配以及快速定位。

2)互联网映射 检查负载均衡(AD)、防火墙(AF)的互联网映 射策略,收缩边缘资产,禁止将测试(不成熟)业务、 不必要业务映射至互联网,收敛互联网暴露面,避免遭受更大范围的攻击。

3)弱口令巡检 定期开展弱口令巡检,通过安全态势感知(SIP) 的弱口令感知模块,或生成社工弱口令尝试扫描,定期 检查网络环境中弱口令状况。 使密码复杂度在符合四分之三原则基础之上,摒弃具有明显身份特征或社工特征的密码。

4)收敛应用层资产威胁 定期使用终端防护软件(CWPP)或终端防护软件(EDR),监测应用层端口开放、账户信息、主机服务、 web框架等内容。杜绝危险端口开放、隐藏账户或异常账户新增、异 常服务、异常进程或脆弱web框架等潜在威胁。

2. 风险管理

1)网络安全自查 积极开展网络安全自查,开展基线检查和风险评估,对圈定的、优先级较高的检查项进行重点关注。不断自查,检视问题,提升软件层面抵抗风险能力。

2)完善应急预案 提升理论和流程方面抗风险能力。

3)组织应急演练 结合单位实际情况,设计不同场景的应急处置环境, 模拟不同突发情况下的应急处置流程,反复锻炼并提升 应急的实践及协作水平,提升应急处置的抗风险能力。

3. 网络设备配置 各项网络设备、安全设备升级到最新版本,将特征 库、病毒库更新到最新。负载均衡(AD)、防火墙(AF)等出口设备,严 格控制映射策略。内网及外网防火墙,封堵 445135-1393389 等敏感端口。安全感知设备,可开启弱密码感知策略,定期收集 弱密码。交换机、路由器做好网段划分,逻辑隔离。 终端杀毒软件,定期开展病毒扫描。

4. 备份管理 日常管理、生产、运维工作中,为抵御勒索软件的 攻击,防止因意外情况导致系统被加密,需定期对网络 环境中的数据、日志、应用等资料进行备份,增加网络 环境的容错性,以应对突发情况导致的数据篡改、破坏 或丢失,备份方式包括全量备份、差异备份、增量备份等。

1)数据备份 敏感数据定期备份,尤其是承载用户数据、重要生 产数据。可选择增量备份、全量备份等形式,便于数据 的回溯。 存储数据的介质需满足可用性、可靠性要求,妥善 存放。

2)日志备份 网络环境中部署的各大终端、服务器、应用程序, 应及时做好日志记录和备份留存,且应至少留存 6 个月日志记录。

3)应用备份 对应用的代码、包、配置环境等项目材料进行备份。

5. 完善流程 安全、高效的生产和管理工作,离不开健全的流程 制度。为协助单位企业有可落地可参考的流程制度,打通生产到管理等各个环节的枢纽,各单位企业内部需尽 量完善一系列流程,如指导运维工作的运维规章制度、指导安全生产的流程规章制度、应用 PDCERF 方法学 的应急响应预案等。

6. 加强安全意识 安全生产最大的隐患在于人员,钓鱼、社工、投毒、弱密码这些关键因素都与人员的安全意识息息相关。要做好整体的安全加固和防御能力提升,就要切实提升人 员的安全意识。 针对高管、生产、运维或全员群体,可通过安全讲 座、案例分析,不定时开展不同场景不同方式的钓鱼演练,铸就单位企业内部安全防护的高墙。