6月10日,一則名為“某企業全球業務遭勒索軟體攻擊,部分產線被迫暫停運營”的訊息進入了網路安全行業的視野。經該企業證實,這是一起網路攻擊事件,導致其全球部分業務陷入停頓狀態。早期的一份報告表明Snake勒索軟體可能是罪魁禍首。和其他檔案加密惡意軟體一樣,Snake會將檔案和文件混亂,攻擊者以此作為威脅要求支付加密貨幣贖金。其實早在此之前,該公司就釋出過一條推文,宣告其客戶服務和金融服務因駭客攻擊“不可用”。
無獨有偶,4月27日,B 站知名 UP 主“機智的黨妹”釋出了一個影片——《我被勒索了!》。據影片介紹,黨妹遭遇網路攻擊,並被駭客勒索,公司花費十幾萬在內部網路搭建的一個 NAS 系統,卻在4月26 日(即投入使用第一天)遭遇駭客攻擊,導致現階段所有正在製作的影片素材全部被勒索軟體加密,無法開啟。
近年來,企業受到勒索病毒攻擊的事件層出不窮,帶來了很多嚴重危害。隨著企業上雲,雲上企業面對勒索病毒是否更安全?又應該如何防範呢?雲鼎實驗室作為騰訊雲安全的護航者,一直以來都致力於打造最安全的產業雲。針對此類情況,騰訊安全雲鼎實驗室專家也有些建議。
如何甄別是否感染勒索病毒
通常來說勒索病毒都會有一系列惡意行為,主要包括對伺服器的所有檔案或僅對資料庫檔案進行加密(一般同時使用多種標準加密演算法進行加密,比如AES、RSA);修改桌面桌布或彈出提示視窗,顯示勒索訊息向受害者索要解密贖金(通常要求受害者限時內繳納數字貨幣)。
而他們常見攻擊手段通常會有口令爆破攻擊、釣魚郵件攻擊、利用系統與軟體漏洞攻擊和網站掛馬攻擊等。這些攻擊手段都會造成嚴重危害重要業務資料庫遭受攻擊,丟失業務資料,導致業務中斷。即使根據指引按時繳納贖金,仍無法保證資料的恢復,造成雙重損失。
當伺服器、資料庫無法正常運作(比如伺服器無法登入);訪問伺服器、資料庫出現勒索提示資訊(比如連線伺服器或資料庫時出現索要贖金資訊);檔名被修改,新增字尾名(比如在檔名後新增隨機字元),那麼你很有可能已經成為勒索病毒的受害者。
雲上勒索病毒,企業應如何防範
勒索病毒的不斷湧現,首當其衝要做的就是維護租戶安全。企業端面對高危埠應透過漏洞管理、基線檢查的角度主動發現潛在的漏洞風險,構建安全防線,並透過病毒查殺引擎實現主動防禦。同時也要在事前做好資料的備份,事後進行資料的恢復和解密,有效挽回損失。騰訊安全雲鼎實驗室專家提出了一些建議。
從租戶安全形度出發。一方面企業要做好基礎安全防護工作,如針對基礎作業系統預設配置(高危服務埠、口令策略等)進行安全加固,收斂雲上風險資產面;另一方面,建議關注騰訊雲官方安全公告漏洞情報,針對新出現的漏洞,及時進行掃描和修復處置,避免新增安全威脅影響業務正常執行;
與此同時,關注人為帶來的安全隱患或風險,針對內部業務、運維操作等開展定期日誌審計,同時可利用騰訊雲安全運營中心提供的洩露監測功能(免費),配置自定義規則,進行主動和被動監測,及時發現人為疏忽導致的敏感資訊洩露行為;
最後,就是梳理核心業務場景,構建以業務為中心的安全防護體系,針對業務資料流、業務支撐元件以及業務入口、業務敏感憑據進行全面梳理,進行專項建設最佳化和持續運營。
為最大程度的保障雲上租戶安全,雲鼎實驗室構建了以主動響應為主的“租戶安全運營中臺”能力,透過雲原生威脅情報、雲漏洞情報、全域性漏洞防護、基礎安全大資料分析及威脅監測等手段,實時分析全雲安全態勢,及時阻斷雲上批次漏洞利用行為。
截至目前,該中臺的漏洞情報能力已經覆蓋數百個情報源,並服務於騰訊雲100萬臺以上的伺服器和數千家大客戶,能夠在分鐘級定位新出現的安全漏洞及影響範圍,在日級以內實現全網的安全漏洞處置。
與此同時,騰訊雲還面向使用者構建的雲端漏洞封堵能力和資料洩露監測能力,前者可實現使用者側無感知批次漏洞利用防護,後者則提供全流程的敏感憑據洩露防護解決方案,該方案透過事前憑據加固實踐、事中提供託管式管理、加密、輪換等操作憑據管理系統以及事後提供的主動+被動的敏感憑據洩露監測能力,可以幫助使用者在敏感憑據管理的全生命週期規避洩露風險,此次全球SNAKES勒索事件所使用的惡意軟體,則包含了檢查程式程式碼中硬編碼(如內部系統名稱和相關公共IP地址)行為。
除了保障雲上租戶安全外,從資料安全形度,在做好日常資料的備份基礎上,我們還有三個建議。
首先在資料生產之初,重點關注資料的分類、治理和策略。明確哪些是機密資料、敏感資料、普通資料,進而根據資料的不同等級,設定不同的安全策略。
其次,重視異常事件監測分析。一方面為企業提供運維人員操作審計,對異常行為進行告警,防止內部資料洩密,一方面對資料庫執行進行智慧化審計,對資料庫執行過程中的潛在風險進行挖掘,及時發現每一條異常行為並予以攔截。
最後還要加強資料儲存災備和恢復能力,確保系統在遭受災難時資料的安全,以及業務的快速恢復。
總的來說,面對頻發的企業雲上勒索事件,雲鼎實驗室方面建議大家事前做好相應的防禦,做好資料的監測備份和伺服器的加固。當遇到此類問題的時候還要有良好的應急機制,拒絕交付贖金,利用防火牆等進行訪問控制,隔離感染機器。事後記得進行資料恢復或資料解密,挽回重要資料,進行安全加固,防止再次感染,恢復正常運作。