勒索病毒處置流程
目錄
一、 勒索病毒發(fā)作的特征
二、 勒索病毒的應(yīng)急響應(yīng)
(一) 當(dāng)在確定感染勒索病毒后��,我們首先要對(duì)感染的服務(wù)器或終端進(jìn)行斷網(wǎng)隔離處理。采取以下措施:
(二) 針對(duì)勒索病毒的特征����,如后綴名,勒索信等指紋特征��,嘗試確定勒索病毒所屬家族���,并查找是否存在解密的可能性�����。
(三) 斷網(wǎng)隔離被感染的機(jī)器�����,進(jìn)行以下排查工作:
1. 查看系統(tǒng)信息:
2. 排查CPU的占用情況�����,檢查是否有異常高占用的進(jìn)程�。
3. 排查可疑進(jìn)程:
4. 對(duì)檢查到的異常進(jìn)程進(jìn)行停止
5. 排查自啟動(dòng)項(xiàng)
6. 檢查是否存在未知的計(jì)劃任務(wù)
7. 檢查是否存在異常服務(wù)
8. 檢查異常外鏈行為,檢查是否存在高危端口的鏈接和與國(guó)外IP的鏈接�����。
9. 檢查是否存在未知特權(quán)用戶或者隱藏用戶
10. 日志審查
11. 異常文件檢查
12. 安裝殺毒軟件
三���、 勒索病毒預(yù)防與事后加固
(一) 勒索病毒的預(yù)防措施:
1. 合理的網(wǎng)絡(luò)隔離:
2. 嚴(yán)格且精準(zhǔn)的訪問控制:
3. 定期進(jìn)行資產(chǎn)梳理:
4. 定期漏洞排查:
5. 身份鑒別:
6. 軟件管理:
7. 供應(yīng)鏈管理:
8. 部署專業(yè)網(wǎng)絡(luò)安全產(chǎn)品:
9. 加強(qiáng)員工的網(wǎng)絡(luò)安全意識(shí):
10. 做好重要數(shù)據(jù)備份工作:
(二) 勒索病毒的事后加固
1. 利用備份數(shù)據(jù)進(jìn)行恢復(fù):
2. 恢復(fù)感染設(shè)備正常使用:
3. 進(jìn)行完整的溯源:
4. 加強(qiáng)網(wǎng)絡(luò)安全隱患修補(bǔ):
5. 加強(qiáng)終端安全防護(hù):
6. 構(gòu)建內(nèi)網(wǎng)威脅發(fā)現(xiàn)能力:
一�、勒索病毒發(fā)作的特征
如果發(fā)現(xiàn)大量統(tǒng)一后綴的文件����;發(fā)現(xiàn)勒索信在Linux/home、/usr等目錄�����,在Windows桌面或者是被加密文件的文件夾下�����。如果存在以上特征情況,證明感染了勒索病毒并且已經(jīng)發(fā)作�。
此時(shí)禁止插入U(xiǎn)盤或者是硬盤等移動(dòng)設(shè)備,因?yàn)椴糠掷账鞑《究赡軙?huì)感染移動(dòng)存儲(chǔ)設(shè)備����,盲目插入U(xiǎn)盤或硬盤會(huì)使數(shù)據(jù)被加密,進(jìn)一步擴(kuò)大感染的范圍���。
二��、勒索病毒的應(yīng)急響應(yīng)
(一)當(dāng)在確定感染勒索病毒后�,我們首先要對(duì)感染的服務(wù)器或終端進(jìn)行斷網(wǎng)隔離處理��。采取以下措施:
1.已感染的用戶�����,禁用網(wǎng)卡�����,同時(shí)拔掉機(jī)器的物理網(wǎng)線����。
(Linux中ifconfig [NIC_NAME] Down或者ifdown [NIC_NAME]來禁用網(wǎng)卡)
(Windows以管理員身份執(zhí)行命令行,輸入netsh interface set interface "網(wǎng)絡(luò)連接名字如:Ethernet0" disabled)
2.如果同一網(wǎng)段有多臺(tái)機(jī)器感染��,可通過交換機(jī)進(jìn)行斷網(wǎng)�����。
3.已感染關(guān)鍵崗位電腦和重要服務(wù)器�����,立即關(guān)機(jī)���,避免勒索病毒進(jìn)一步加密所有文件�。
4.專人整理感染機(jī)器列表�,供后續(xù)處置。同時(shí)可以通過使用專業(yè)的工具來提取勒索病毒文件名��、文件路徑���、文件大小��、文件簽名�����、md5值��、進(jìn)程路徑和名稱等特征���,使用域控��、單機(jī)或?qū)I(yè)桌面管理工具等進(jìn)行操作���,迅速進(jìn)行全網(wǎng)排查。對(duì)存在感染勒索病毒特征的機(jī)器�����,進(jìn)行斷網(wǎng)隔離�,并刪除勒索病毒文件和進(jìn)程,同時(shí)持續(xù)監(jiān)控是否繼續(xù)感染����,防止病毒的感染范圍進(jìn)一步擴(kuò)大���。
(二)針對(duì)勒索病毒的特征���,如后綴名,勒索信等指紋特征,嘗試確定勒索病毒所屬家族�,并查找是否存在解密的可能性。
(https://noransom.kaspersky.com/ 卡巴斯基勒索病毒恢復(fù)網(wǎng)站)
(https://www.nomoreransom.org/ 國(guó)際刑警組織反勒索病毒網(wǎng)站)
同時(shí)還有一部分勒索病毒是加密原文件副本再刪除原文件��,而原文件有些會(huì)用隨機(jī)數(shù)覆蓋����,有些并沒有。原文件沒有被覆蓋的情況我們就可以通過數(shù)據(jù)恢復(fù)的方式進(jìn)行恢復(fù)����。除了收費(fèi)的專業(yè)數(shù)據(jù)恢復(fù)可以嘗試使用 DiskGenius 等工具掃描磁盤進(jìn)行數(shù)據(jù)恢復(fù)。
(三)斷網(wǎng)隔離被感染的機(jī)器��,進(jìn)行以下排查工作:
1.查看系統(tǒng)信息:
Linux命令:
lscpu查看CPU信息
uname -a 查看操作系統(tǒng)的相關(guān)信息
Windows命令:
在命令行輸入msinfo32
2.排查CPU的占用情況���,檢查是否有異常高占用的進(jìn)程�����。
Linux命令:
查看CPU占用率命令:top -ef | more
top -S:累計(jì)顯示進(jìn)程的 CPU 使用時(shí)間�����。
top -p [PID]:僅顯示指定進(jìn)程ID的信息����。
Windows命令:
查看CPU占用率:Win+r進(jìn)入運(yùn)行欄,輸入resmon進(jìn)入資源監(jiān)視器���,即可查看CPU占用情況�。勒索病毒可能會(huì)占用較多的CPU資源�����,我們進(jìn)行CPU占用率排查可以幫助我們快速定位����。
3.排查可疑進(jìn)程:
在成功入侵后,攻擊者可以在計(jì)算機(jī)上開啟專屬的端口來訪問被害主機(jī)或植入病毒�,所以通過排查可疑端口能確定主機(jī)是否存在后門、是否被植入挖礦病毒等�,再根據(jù)端口的PID對(duì)可疑進(jìn)程對(duì)應(yīng)的程序排查,確定是否為惡意程序��。
Linux命令:
ps -ef | more
Linux的定位進(jìn)程命令ps -ef | grep CMD
Windows命令:
netstat -ano | find “ESTABLISHED”
Windows使用如下命令來進(jìn)一步定位:tasklist | find “5175(PID)”
4.對(duì)檢查到的異常進(jìn)程進(jìn)行停止
Linux命令 :
殺死進(jìn)程的命令:kill -9 PID
Windows命令:
殺死進(jìn)程�,直接在資源監(jiān)視器結(jié)束進(jìn)程即可�����。
5.排查自啟動(dòng)項(xiàng)
自啟動(dòng)項(xiàng)是系統(tǒng)開機(jī)時(shí)在前臺(tái)或者后臺(tái)運(yùn)行的程序,攻擊者有可能通過自啟動(dòng)項(xiàng)使用病毒后門等實(shí)現(xiàn)持久化控制�����。
Linux命令:
ls -alt/etc/init.d
Windows命令:
Win+r進(jìn)入輸入欄��,輸入taskschd.msc���,即可調(diào)出任務(wù)計(jì)劃程序�。
Win+r進(jìn)入輸入欄����,輸入powershell,進(jìn)入powershell命令行頁(yè)面����,輸入Get-ScheduledTask可以查看計(jì)劃任務(wù)的路徑,名稱�,狀態(tài)。
6.檢查是否存在未知的計(jì)劃任務(wù)
計(jì)劃任務(wù)是攻擊者維持權(quán)限的常用手段��。
Linux命令:
查看當(dāng)前的計(jì)劃任務(wù) crontab -l
Windows命令:
Win+r在運(yùn)行欄中輸入taskschd.msc可以查看任務(wù)的名稱�,狀態(tài),觸發(fā)器等信息����。
Win+r輸入Powershell�����,之后在Powershell命令行輸入Get-ScheduledTask可以查看計(jì)劃任務(wù)的路徑���,名稱,狀態(tài)����。
7.檢查是否存在異常服務(wù)
異常服務(wù)是攻擊者維持權(quán)限的常用手段,我們要重點(diǎn)注意服務(wù)狀態(tài)和啟動(dòng)類型��,檢查是否有異常服務(wù)�����。
Linux命令:systemctl list-unit-files
Windows命令:win+r調(diào)用出運(yùn)行欄輸入services.msc
8.檢查異常外鏈行為���,檢查是否存在高危端口的鏈接和與國(guó)外IP的鏈接����。
Linux命令:
netstat -tunlp
Windows命令:
netstat -ano
9.檢查是否存在未知特權(quán)用戶或者隱藏用戶
Linux命令:
1.查看所有用戶信息 cat /etc/passwd
用戶名:密碼:用戶ID:組ID:用戶說明:家目錄:登陸之后shell
最后顯示的 /bin/bash 表示該用戶可登錄; sbin/nologin不可登錄
2.root賬戶排查
輸入命令:
awk -F: '{if($3==0) print $1}' /etc/passwd
可查詢可登錄賬戶 UID 為0的賬戶,root是 UID為0的可登錄賬戶,如果出現(xiàn)其他為 0 的賬戶��,就要重點(diǎn)排查
3.查看所有可登錄賬戶
命令行輸入:
cat /etc/passwd | grep '/bin/bash'
4.查看最后登錄用戶以及相關(guān)日志
命令行輸入:lastb��,可查看顯示用戶錯(cuò)誤的登錄列表�,包括錯(cuò)誤的登錄方法���、IP 地址��、時(shí)間等
命令行輸入:lastlog�,查看最后登錄的日志信息
5.排查空口令賬戶
命令行輸入:
awk -F: 'length($2)==0 {print $1}' /etc/shadow
如果有用戶是空口令就會(huì)顯示出來
Windows命令
wmic useraccount get name,SID查看系統(tǒng)中的用戶信息
黑客創(chuàng)建的某些隱藏賬戶通過dos指令無法發(fā)現(xiàn)��, 但是當(dāng)我們查看注冊(cè)表時(shí)就可以發(fā)現(xiàn)�;通過注冊(cè)表檢查是否存在賬戶名為“xxx$”或修改注冊(cè)表創(chuàng)建的隱藏賬戶,再檢查是否存在可疑賬戶�����,并進(jìn)行禁用��。
注冊(cè)表路徑:給SAM目錄添加當(dāng)前用戶可讀寫屬性
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
同時(shí)�����,在此項(xiàng)下導(dǎo)出所有以 00000 開頭的項(xiàng),將所有導(dǎo)出的項(xiàng)與 000001F4 (該項(xiàng)對(duì)應(yīng)Administrator用戶)導(dǎo)出內(nèi)容做比較���,若其中的 F 值相同����,則表示可能為克隆賬戶?���。?����!
10.日志審查
Linux命令:
系統(tǒng)日志是記錄系統(tǒng)中硬件����、軟件和系統(tǒng)問題的信息,同時(shí)還可以監(jiān)視系統(tǒng)中發(fā)生的事件�。用戶可以通過它來檢查錯(cuò)誤發(fā)生的原因,或者尋找受到攻擊時(shí)攻擊者留下的痕跡�����。
日志默認(rèn)存放位置:/var/log/
查看日志配置情況:more /etc/rsyslog.conf
日志文件 | 說明 |
/var/log/cron | 記錄了系統(tǒng)定時(shí)任務(wù)相關(guān)的日志 |
/var/log/cups | 記錄打印信息的日志 |
/var/log/dmesg | 記錄了系統(tǒng)在開機(jī)時(shí)內(nèi)核自檢的信息��,也可以使用dmesg命令直接查看內(nèi)核自檢信息 |
/var/log/mailog | 記錄郵件信息 |
/var/log/message | 記錄系統(tǒng)重要信息的日志。這個(gè)日志文件中會(huì)記錄Linux系統(tǒng)的絕大多數(shù)重要信息��,如果系統(tǒng)出現(xiàn)問題時(shí)���,首先要檢查的就應(yīng)該是這個(gè)日志文件 |
/var/log/btmp | 記錄錯(cuò)誤登錄日志,這個(gè)文件是二進(jìn)制文件���,不能直接vi查看�����,而要使用lastb命令查看 |
/var/log/lastlog | 記錄系統(tǒng)中所有用戶最后一次登錄時(shí)間的日志����,這個(gè)文件是二進(jìn)制文件��,不能直接vi�,而要使用lastlog命令查看 |
/var/log/wtmp | 永久記錄所有用戶的登錄、注銷信息���,同時(shí)記錄系統(tǒng)的啟動(dòng)���、重啟、關(guān)機(jī)事件。同樣這個(gè)文件也是一個(gè)二進(jìn)制文件�����,不能直接vi��,而需要使用last命令來查看 |
/var/log/utmp | 記錄當(dāng)前已經(jīng)登錄的用戶信息�,這個(gè)文件會(huì)隨著用戶的登錄和注銷不斷變化,只記錄當(dāng)前登錄用戶的信息�����。同樣這個(gè)文件不能直接vi�,而要使用w,who,users等命令來查詢 |
/var/log/secure | 記錄驗(yàn)證和授權(quán)方面的信息,只要涉及賬號(hào)和密碼的程序都會(huì)記錄����,比如SSH登錄,su切換用戶���,sudo授權(quán)��,甚至添加用戶和修改用戶密碼都會(huì)記錄在這個(gè)日志文件中 |
常用篩選命令:
grep命令詳細(xì)���;awk命令詳細(xì)�;uniq命令詳細(xì)�;sort命令詳細(xì);正則表達(dá)式詳細(xì)
1.定位有多少IP在爆破主機(jī)的root帳號(hào):
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
(從/var/log/secure中篩選文本中包含”Failed password for root”,輸出secure中的第11行����,進(jìn)行去重,同時(shí)確認(rèn)出現(xiàn)的次數(shù)��。)
2.定位有哪些IP在爆破:
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
3.爆破用戶名字典是什么:
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n"}'|uniq -c|sort -nr
4.登錄成功的IP有哪些:
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
5.登錄成功的日期��、用戶名��、IP:
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
Windows命令:
Windows日志包含以下元素:日期/時(shí)間���、事件類型、用戶�、計(jì)算機(jī)、事件ID�、來源、類別�、描述、數(shù)據(jù)等信息���。
包含三種日志類型
系統(tǒng)日志:記錄操作系統(tǒng)組件產(chǎn)生的事件��,主要包括驅(qū)動(dòng)程序���、系統(tǒng)組件和應(yīng)用軟件的崩潰以及數(shù)據(jù)丟失錯(cuò)誤等����。系統(tǒng)日志中記錄的時(shí)間類型由Windows NT/2000操作系統(tǒng)預(yù)先定義����。
默認(rèn):%SystemRoot%\System32\Winevt\Logs\System.evtx
應(yīng)用程序日志:包含由應(yīng)用程序或系統(tǒng)程序記錄的事件,主要記錄程序運(yùn)行方面的事件��,例如數(shù)據(jù)庫(kù)程序可以在應(yīng)用程序日志中記錄文件錯(cuò)誤����,程序開發(fā)人員可以自行決定監(jiān)視哪些事件。
默認(rèn):%SystemRoot%\System32\Winevt\Logs\Application.evtx
安全日志:記錄系統(tǒng)的安全審計(jì)事件����,包含各種類型的登錄日志、對(duì)象訪問日志�、進(jìn)程追蹤日志、特權(quán)使用�、帳號(hào)管理、策略變更�����、系統(tǒng)事件。安全日志也是調(diào)查取證中最常用到的日志����。默認(rèn)設(shè)置下,安全性日志是關(guān)閉的�����,管理員可以使用組策略來啟動(dòng)安全性日志����,或者在注冊(cè)表中設(shè)置審核策略�,以便當(dāng)安全性日志滿后使系統(tǒng)停止響應(yīng)。
默認(rèn):%SystemRoot%\System32\Winevt\Logs\Security.evtx
常見的安全事件ID號(hào)
事件ID | 說明 |
4624 | 登錄成功 |
4625 | 登錄失敗 |
4634 | 注銷成功 |
4647 | 用戶啟動(dòng)的注銷 |
4672 | 使用超級(jí)用戶(如管理員)進(jìn)行登錄 |
4720 | 創(chuàng)建用戶 |
登錄類型
登錄類型 | 描述 | 說明 |
2 | 交互式登錄(Interactive) | 用戶在本地進(jìn)行登錄���。 |
3 | 網(wǎng)絡(luò)(Network) | 最常見的情況就是連接到共享文件夾或共享打印機(jī)時(shí)��。 |
4 | 批處理(Batch) | 通常表明某計(jì)劃任務(wù)啟動(dòng)�。 |
5 | 服務(wù)(Service) | 每種服務(wù)都被配置在某個(gè)特定的用戶賬號(hào)下運(yùn)行��。 |
7 | 解鎖(Unlock) | 屏保解鎖��。 |
8 | 網(wǎng)絡(luò)明文(NetworkCleartext) | 登錄的密碼在網(wǎng)絡(luò)上是通過明文傳輸?shù)模鏔TP���。 |
9 | 新憑證(NewCredentials) | 使用帶/Netonly參數(shù)的RUNAS命令運(yùn)行一個(gè)程序��。 |
10 | 遠(yuǎn)程交互���,(RemoteInteractive) | 通過終端服務(wù)、遠(yuǎn)程桌面或遠(yuǎn)程協(xié)助訪問計(jì)算機(jī)���。 |
11 | 緩存交互(CachedInteractive) | 以一個(gè)域用戶登錄而又沒有域控制器可用 |
其他一些應(yīng)用的日志:
IIS日志位置:
%SystemDrive%\inetpub\logs\LogFiles |
%SystemRoot%\System32\LogFiles\W3SVC1 |
%SystemDrive%\inetpub\logs\LogFiles\W3SVC1 |
%SystemDrive%\Windows\System32\LogFiles\HTTPERR |
Apache日志位置:
/var/log/httpd/access.log |
/var/log/apache/access.log |
/var/log/apache2/access.log |
/var/log/httpd-access.log |
Nginx日志位置:
默認(rèn)在 /usr/local/nginx/Togs 目錄下����,access.log 代表訪問日志error.log 代表錯(cuò)誤日志�。若沒有在默認(rèn)路徑下,則可以到nginx.conf 配置文件中香找�����。
Tomcat 日志的位置:
默認(rèn)在 TOMCAT HOME/Logs/ 目錄下��,有 catalina.out�、catalina.YYYY-MM- DD.og、localhost.YYYY-MM-DD.og.ocalhost access log.YYYY-MM-DD.txt�、host-manager.YYYY-MM-DD.g��、manager.YYYY-MM-DD.log 等幾類日志���。
WebLogic日志的位置:
在默認(rèn)情況下,WebLogic 有三種日志����,分別是 access og、server log 和 domain log
access.log |
$MW_HOME\user_projects\domains\\servers\\logs\access.log |
server.log |
$MW_HOME\user_projects\domains\\servers\\logs\.log |
domain.log |
$MW_HOME\user_projects\domains\\servers\\logs\.log |
11.異常文件檢查
Linux命令:
1�����、查看敏感目錄��,如/tmp目錄下的文件�,同時(shí)注意隱藏文件夾,以“..”為名的文件夾具有隱藏屬性
2�、查找異常文件��,可以使用find命令來查找���,如 find /opt -iname "*" -atime 1 -type f 找出 /opt下,一天前訪問過的文件
3���、針對(duì)可疑文件可以使用stat filename查看文件的創(chuàng)建修改時(shí)間��。
Windows命令:
查看最近修改的文件win+r進(jìn)入運(yùn)行欄�����,輸入recent��。
在搜索欄輸入 *.后綴 即可搜索
12.安裝殺毒軟件
Liunx命令:
Clamav下載:http://www.clamav.net/download.html
安裝教程參照如下:
https://blog.csdn.net/oracle_drower/article/details/134421075
https://blog.csdn.net/qq_39564555/article/details/123300014
Windows命令:
1.病毒分析
PCHunter:http://www.xuetr.com
火絨劍:https://www.huorong.cn
Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
processhacker:https://processhacker.sourceforge.io/downloads.php
autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL:https://www.bleepingcomputer.com/download/otl/
SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector
2.病毒查殺
卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe(推薦理由:綠色版�����、最新病毒庫(kù))
大蜘蛛:http://free.drweb.ru/download+cureit+free(推薦理由:掃描快�����、一次下載只能用1周����,更新病毒庫(kù))
火絨安全軟件:https://www.huorong.cn
360殺毒:http://sd.#/download_center.html
3.病毒動(dòng)態(tài)
CVERC-國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心:http://www.cverc.org.cn
微步在線威脅情報(bào)社區(qū):https://x.threatbook.cn
火絨安全論壇:http://bbs.huorong.cn/forum-59-1.html
愛毒霸社區(qū):http://bbs.duba.net
騰訊電腦管家:http://bbs.guanjia.qq.com/forum-2-1.html
4.在線病毒掃描網(wǎng)站
http://www.virscan.org //多引擎在線病毒掃描網(wǎng) v1.02����,當(dāng)前支持 41 款殺毒引擎
https://habo.qq.com //騰訊哈勃分析系統(tǒng)
https://virusscan.jotti.org //Jotti惡意軟件掃描系統(tǒng)
http://www.scanvir.com //針對(duì)計(jì)算機(jī)病毒、手機(jī)病毒�、可疑文件等進(jìn)行檢測(cè)分析
三、勒索病毒預(yù)防與事后加固
(一)勒索病毒的預(yù)防措施:
1.合理的網(wǎng)絡(luò)隔離:
采用合理的網(wǎng)絡(luò)分區(qū),可以極大的限制勒索病毒的入侵和傳播�。如根據(jù)不同業(yè)務(wù)需要將網(wǎng)絡(luò)分為隔離區(qū)、內(nèi)網(wǎng)區(qū)�、外來接入?yún)^(qū)、內(nèi)網(wǎng)服務(wù)器區(qū)等�����,并限制不同分區(qū)間的網(wǎng)絡(luò)訪問��。在同一分區(qū)內(nèi)��,采用虛擬局域網(wǎng)技術(shù)隔離不同部門資產(chǎn)�,降低由于單一設(shè)備感染勒索病毒,導(dǎo)致勒索病毒在內(nèi)部網(wǎng)絡(luò)進(jìn)一步傳播的可能����。
2.嚴(yán)格且精準(zhǔn)的訪問控制:
對(duì)組織關(guān)鍵業(yè)務(wù)系統(tǒng)設(shè)置嚴(yán)格的訪問權(quán)限,如按照權(quán)限最小化原則開放必要的訪問權(quán)限�����、根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則等�。及時(shí)對(duì)訪問控制規(guī)則進(jìn)行更新����,刪除多余或無效的訪問控制規(guī)則�����,如定期對(duì)開放的訪問權(quán)限進(jìn)行梳理�,及時(shí)刪除因人員離職�、資產(chǎn)IP 變更后存留的訪問權(quán)限。
3.定期進(jìn)行資產(chǎn)梳理:
排查組織資產(chǎn)暴露情況����,梳理暴露資產(chǎn)真實(shí)范圍,梳理范圍涵蓋組織分公司����、下級(jí)機(jī)構(gòu)等相關(guān)資產(chǎn),梳理時(shí)間根據(jù)自身實(shí)際情況如每周�����、月����、半年等進(jìn)行資產(chǎn)梳理。按照最小化原則���,盡可能減少在資產(chǎn)互聯(lián)網(wǎng)上暴露����,特別是避免重要業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)等核心信息系統(tǒng)在互聯(lián)網(wǎng)上暴露�,同時(shí)對(duì)高危端口使用安全設(shè)備進(jìn)行修改或者限制。
4.定期漏洞排查:
對(duì)組織資產(chǎn)進(jìn)行漏洞排查�����,一旦發(fā)現(xiàn)資產(chǎn)存在安全漏洞�����,及時(shí)進(jìn)行修補(bǔ)���。采用漏洞掃描等設(shè)備和產(chǎn)品的����,對(duì)漏洞掃描設(shè)備進(jìn)行集中管理�����,建立完整�����、持續(xù)的漏洞發(fā)現(xiàn)和管理手段;具備導(dǎo)入第三方漏洞報(bào)告能力����,支持導(dǎo)入和分析主流廠家漏洞和配置核查掃描結(jié)果;針對(duì)掃描的漏洞結(jié)果加強(qiáng)漏洞知識(shí)庫(kù)關(guān)聯(lián),及時(shí)獲取漏洞信息和解決方案等����。
5.身份鑒別:
對(duì)用戶進(jìn)行身份標(biāo)識(shí)和鑒別,如保證身份標(biāo)識(shí)具有唯一性���、采用動(dòng)態(tài)口令等兩種或兩種以上身份鑒別���、具備防范口令暴力破解的能力、口令等身份鑒別信息符合復(fù)雜度要求并定期更換�、推行口令定期強(qiáng)制修改和出廠口令修改等。同時(shí)�����,通過采用掃描軟硬件對(duì)系統(tǒng)口令定期進(jìn)行安全性評(píng)估����,識(shí)別發(fā)現(xiàn)并及時(shí)消除弱口令安全風(fēng)險(xiǎn)�����。
6.軟件管理:
規(guī)范組織內(nèi)部軟件版本管理機(jī)制�,避免使用盜版或來路不明的軟件����,使用軟件風(fēng)險(xiǎn)評(píng)估系統(tǒng)或工具定期檢測(cè)關(guān)鍵業(yè)務(wù)系統(tǒng)使用的相關(guān)軟件版本,避免由于軟件版本低引發(fā)安全風(fēng)險(xiǎn)�。基于網(wǎng)絡(luò)流量對(duì)組織內(nèi)部訪問“風(fēng)險(xiǎn)網(wǎng)站”進(jìn)行檢測(cè)和阻斷�,降低由于下載和安裝惡意軟件,導(dǎo)致感染勒索病毒的可能��。
7.供應(yīng)鏈管理:
部署供應(yīng)鏈安全風(fēng)險(xiǎn)防控措施���,包括供應(yīng)鏈相關(guān)人員管理���、供應(yīng)鏈生命周期管理、采購(gòu)?fù)獍c供應(yīng)商管理����。采用的網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品�����、密碼產(chǎn)品等產(chǎn)品與服務(wù)的采購(gòu)和使用符合國(guó)家有關(guān)規(guī)定。與選定的供應(yīng)商簽訂協(xié)議����,明確供應(yīng)鏈各方履行的安全責(zé)任和義務(wù)���,定期審視��、評(píng)審和審核供應(yīng)商提供的服務(wù)���,對(duì)其變更服務(wù)內(nèi)容加以控制。
8.部署專業(yè)網(wǎng)絡(luò)安全產(chǎn)品:
在終端側(cè)��、網(wǎng)絡(luò)側(cè)等部署網(wǎng)絡(luò)安全產(chǎn)品��,并日常排查設(shè)備告警情況��。例如���,在終端側(cè)�����,部署殺毒軟件����、終端安全管理系統(tǒng)等安全軟件,不隨意退出安全軟件�����、關(guān)閉防護(hù)功能�、執(zhí)行放行操作等,并設(shè)立應(yīng)用軟件白名單��,及時(shí)保持白名單的準(zhǔn)確性����、完整性、實(shí)時(shí)性;在網(wǎng)絡(luò)側(cè)���,部署防火墻���,堡壘機(jī)等網(wǎng)絡(luò)安全設(shè)備,限制用戶對(duì)系統(tǒng)的訪問�;部署IPS流量監(jiān)測(cè)阻斷設(shè)備,以識(shí)別和阻斷勒索病毒的傳播��。
9.加強(qiáng)員工的網(wǎng)絡(luò)安全意識(shí):
以培訓(xùn)、演練等提高網(wǎng)絡(luò)安全意識(shí)���,在員工層面切斷勒索病毒傳播的入口���。例如,在文件方面���,不點(diǎn)擊來源不明的郵件附件���、打開郵件附件前進(jìn)行安全查殺等;在網(wǎng)站方面����,不從不明網(wǎng)站下載軟件等;在外接設(shè)備方面,不混用工作和私人的外接設(shè)備����、關(guān)閉移動(dòng)存儲(chǔ)設(shè)備自動(dòng)播放功能并定期進(jìn)行安全查殺等。
10.做好重要數(shù)據(jù)備份工作:
根據(jù)文件和數(shù)據(jù)的重要程度分類分級(jí)進(jìn)行存儲(chǔ)和備份���,如主動(dòng)加密存儲(chǔ)重要��、敏感的數(shù)據(jù)和文件���,防范利用勒索病毒的雙重或多重勒索行為�����。明確數(shù)據(jù)備份的范圍�����、內(nèi)容����、周期等���,定期采取本地備份����、異地備份���、云端備份等多種方式進(jìn)行數(shù)據(jù)備份���,增加遭受勒索病毒攻擊且數(shù)據(jù)文件加密、損壞、丟失等情況下恢復(fù)數(shù)據(jù)的可能�����。
(二)勒索病毒的事后加固
1.利用備份數(shù)據(jù)進(jìn)行恢復(fù):
根據(jù)遭受勒索病毒攻擊影響相關(guān)設(shè)備數(shù)據(jù)備份的情況���,按照數(shù)據(jù)恢復(fù)要求�、備份日志���,衡量數(shù)據(jù)恢復(fù)時(shí)間成本���、數(shù)據(jù)重要程度,確認(rèn)數(shù)據(jù)恢復(fù)范圍�����、順序及備份數(shù)據(jù)版本���,利用離線、異地����、云端等備份數(shù)據(jù)恢復(fù)。
2.恢復(fù)感染設(shè)備正常使用:
感染勒索病毒設(shè)備再次投入使用的,在采取磁盤格式化��、系統(tǒng)重裝�����、刪除可疑文件和程序����、消除勒索信息和加密文件等措施的情況下,避免二次感染勒索病毒���,再恢復(fù)設(shè)備正常使用�。
3.進(jìn)行完整的溯源:
通過對(duì)攻擊的完整溯源���,可以幫助企業(yè)發(fā)現(xiàn)存在的薄弱點(diǎn)����,及時(shí)加以修復(fù)�����,同時(shí)也可以幫助企業(yè)發(fā)現(xiàn)攻擊者的行為模式和特點(diǎn),幫助企業(yè)形成立體的網(wǎng)絡(luò)安全防線,從而提高對(duì)未來攻擊的預(yù)警能力���。
4.加強(qiáng)網(wǎng)絡(luò)安全隱患修補(bǔ):
在消除勒索病毒攻擊影響的情況下�,開展網(wǎng)絡(luò)安全隱患排查和修補(bǔ)。例如�����,在權(quán)限管理方面�����,重點(diǎn)排查弱口令�、賬戶權(quán)限、口令更新和共用等問題�����;在漏洞修補(bǔ)方面�,及時(shí)更新系統(tǒng)、軟件��、硬件等漏洞補(bǔ)?���?;在暴露面梳理方面,檢查本企業(yè)在互聯(lián)網(wǎng)上的暴露面,檢查是否存在暴露的高危端口如(21,22,135,139,445等)��。
5.加強(qiáng)終端安全防護(hù):
確保終端設(shè)備和服務(wù)器上安裝了有效的防病毒軟件和EDR功能模塊 ��,防病毒軟件可以掃描系統(tǒng)和文件�,有效防止惡意文件落地;EDR可以更有效的防護(hù)惡意文件攻擊�����、漏洞攻擊�,有效阻斷安全威脅,同時(shí)會(huì)產(chǎn)生流量走向�����、內(nèi)存活動(dòng)����、帳戶信息以及異常操作等風(fēng)險(xiǎn)告警,幫助安全團(tuán)隊(duì)快速定位威脅和溯源入口���。
6.構(gòu)建內(nèi)網(wǎng)威脅發(fā)現(xiàn)能力:
通過誘捕機(jī)制及時(shí)感知到惡意文件在內(nèi)網(wǎng)無威脅探測(cè)階段的異常行為�,并進(jìn)行預(yù)警�����,通過快速響應(yīng)能夠最大限度的減少甚至避免惡意文件對(duì)內(nèi)部服務(wù)器造成的影響。
該文章在 2024/3/18 17:17:12 編輯過
400 186 1886
