勒索病毒攻擊事件頻發,企業上云應如何應對
6月10日,一則名為“某企業全球業務遭勒索軟件攻擊,部分產線被迫暫停運營”的消息進入了網絡安全行業的視野。經該企業證實,這是一起網絡攻擊事件,導致其全球部分業務陷入停頓狀態。早期的一份報告表明Snake勒索軟件可能是罪魁禍首。和其他文件加密惡意軟件一樣,Snake會將文件和文檔混亂,攻擊者以此作為威脅要求支付加密貨幣贖金。其實早在此之前,該公司就發布過一條推文,聲明其客戶服務和金融服務因黑客攻擊“不可用”。
無獨有偶,4月27日,B 站知名 UP 主“機智的黨妹”發布了一個視頻——《我被勒索了!》。據視頻介紹,黨妹遭遇網絡攻擊,并被黑客勒索,公司花費十幾萬在內部網絡搭建的一個 NAS 系統,卻在4月26 日(即投入使用第一天)遭遇黑客攻擊,導致現階段所有正在制作的視頻素材全部被勒索軟件加密,無法打開。
近年來,企業受到勒索病毒攻擊的事件層出不窮,帶來了很多嚴重危害。隨著企業上云,云上企業面對勒索病毒是否更安全?又應該如何防范呢?云鼎實驗室作為騰訊云安全的護航者,一直以來都致力于打造最安全的產業云。針對此類情況,騰訊安全云鼎實驗室專家也有些建議。
如何甄別是否感染勒索病毒
通常來說勒索病毒都會有一系列惡意行為,主要包括對服務器的所有文件或僅對數據庫文件進行加密(一般同時使用多種標準加密算法進行加密,比如AES、RSA);修改桌面壁紙或彈出提示窗口,顯示勒索消息向受害者索要解密贖金(通常要求受害者限時內繳納數字貨幣)。
而他們常見攻擊手段通常會有口令爆破攻擊、釣魚郵件攻擊、利用系統與軟件漏洞攻擊和網站掛馬攻擊等。這些攻擊手段都會造成嚴重危害重要業務數據庫遭受攻擊,丟失業務數據,導致業務中斷。即使根據指引按時繳納贖金,仍無法保證數據的恢復,造成雙重損失。
當服務器、數據庫無法正常運作(比如服務器無法登錄);訪問服務器、數據庫出現勒索提示信息(比如連接服務器或數據庫時出現索要贖金信息);文件名被修改,添加后綴名(比如在文件名后添加隨機字符),那么你很有可能已經成為勒索病毒的受害者。
云上勒索病毒,企業應如何防范
勒索病毒的不斷涌現,首當其沖要做的就是維護租戶安全。企業端面對高危端口應通過漏洞管理、基線檢查的角度主動發現潛在的漏洞風險,構建安全防線,并通過病毒查殺引擎實現主動防御。同時也要在事前做好數據的備份,事后進行數據的恢復和解密,有效挽回損失。騰訊安全云鼎實驗室專家提出了一些建議。
從租戶安全角度出發。一方面企業要做好基礎安全防護工作,如針對基礎操作系統默認配置(高危服務端口、口令策略等)進行安全加固,收斂云上風險資產面;另一方面,建議關注騰訊云官方安全公告漏洞情報,針對新出現的漏洞,及時進行掃描和修復處置,避免新增安全威脅影響業務正常運行;
與此同時,關注人為帶來的安全隱患或風險,針對內部業務、運維操作等開展定期日志審計,同時可利用騰訊云安全運營中心提供的泄露監測功能(免費),配置自定義規則,進行主動和被動監測,及時發現人為疏忽導致的敏感信息泄露行為;
最后,就是梳理核心業務場景,構建以業務為中心的安全防護體系,針對業務數據流、業務支撐組件以及業務入口、業務敏感憑據進行全面梳理,進行專項建設優化和持續運營。
為最大程度的保障云上租戶安全,云鼎實驗室構建了以主動響應為主的“租戶安全運營中臺”能力,通過云原生威脅情報、云漏洞情報、全局漏洞防護、基礎安全大數據分析及威脅監測等手段,實時分析全云安全態勢,及時阻斷云上批量漏洞利用行為。
截至目前,該中臺的漏洞情報能力已經覆蓋數百個情報源,并服務于騰訊云100萬臺以上的服務器和數千家大客戶,能夠在分鐘級定位新出現的安全漏洞及影響范圍,在日級以內實現全網的安全漏洞處置。
與此同時,騰訊云還面向用戶構建的云端漏洞封堵能力和數據泄露監測能力,前者可實現用戶側無感知批量漏洞利用防護,后者則提供全流程的敏感憑據泄露防護解決方案,該方案通過事前憑據加固實踐、事中提供托管式管理、加密、輪換等操作憑據管理系統以及事后提供的主動+被動的敏感憑據泄露監測能力,可以幫助用戶在敏感憑據管理的全生命周期規避泄露風險,此次全球SNAKES勒索事件所使用的惡意軟件,則包含了檢查程序代碼中硬編碼(如內部系統名稱和相關公共IP地址)行為。
除了保障云上租戶安全外,從數據安全角度,在做好日常數據的備份基礎上,我們還有三個建議。
首先在數據生產之初,重點關注數據的分類、治理和策略。明確哪些是機密數據、敏感數據、普通數據,進而根據數據的不同等級,設置不同的安全策略。
其次,重視異常事件監測分析。一方面為企業提供運維人員操作審計,對異常行為進行告警,防止內部數據泄密,一方面對數據庫運行進行智能化審計,對數據庫運行過程中的潛在風險進行挖掘,及時發現每一條異常行為并予以攔截。
最后還要加強數據存儲災備和恢復能力,確保系統在遭受災難時數據的安全,以及業務的快速恢復。
總的來說,面對頻發的企業云上勒索事件,云鼎實驗室方面建議大家事前做好相應的防御,做好數據的監測備份和服務器的加固。當遇到此類問題的時候還要有良好的應急機制,拒絕交付贖金,利用防火墻等進行訪問控制,隔離感染機器。事后記得進行數據恢復或數據解密,挽回重要數據,進行安全加固,防止再次感染,恢復正常運作。
