6月10日，一則名為“某企業全球業務遭勒索軟體攻擊，部分產線被迫暫停運營”的訊息進入了網路安全行業的視野。經該企業證實，這是一起網路攻擊事件，導致其全球部分業務陷入停頓狀態。早期的一份報告表明Snake勒索軟體可能是罪魁禍首。和其他檔案加密惡意軟體一樣，Snake會將檔案和文件混亂，攻擊者以此作為威脅要求支付加密貨幣贖金。其實早在此之前，該公司就釋出過一條推文，宣告其客戶服務和金融服務因駭客攻擊“不可用”。

       無獨有偶，4月27日，B 站知名 UP 主“機智的黨妹”釋出了一個影片——《我被勒索了！》。據影片介紹，黨妹遭遇網路攻擊，並被駭客勒索，公司花費十幾萬在內部網路搭建的一個 NAS 系統，卻在4月26 日（即投入使用第一天）遭遇駭客攻擊，導致現階段所有正在製作的影片素材全部被勒索軟體加密，無法開啟。

       近年來，企業受到勒索病毒攻擊的事件層出不窮，帶來了很多嚴重危害。隨著企業上雲，雲上企業面對勒索病毒是否更安全？又應該如何防範呢？雲鼎實驗室作為騰訊雲安全的護航者，一直以來都致力於打造最安全的產業雲。針對此類情況，騰訊安全雲鼎實驗室專家也有些建議。

如何甄別是否感染勒索病毒

       通常來說勒索病毒都會有一系列惡意行為，主要包括對伺服器的所有檔案或僅對資料庫檔案進行加密（一般同時使用多種標準加密演算法進行加密，比如AES、RSA）；修改桌面桌布或彈出提示視窗，顯示勒索訊息向受害者索要解密贖金（通常要求受害者限時內繳納數字貨幣）。

        而他們常見攻擊手段通常會有口令爆破攻擊、釣魚郵件攻擊、利用系統與軟體漏洞攻擊和網站掛馬攻擊等。這些攻擊手段都會造成嚴重危害重要業務資料庫遭受攻擊，丟失業務資料，導致業務中斷。即使根據指引按時繳納贖金，仍無法保證資料的恢復，造成雙重損失。

        當伺服器、資料庫無法正常運作（比如伺服器無法登入）；訪問伺服器、資料庫出現勒索提示資訊（比如連線伺服器或資料庫時出現索要贖金資訊）；檔名被修改，新增字尾名（比如在檔名後新增隨機字元），那麼你很有可能已經成為勒索病毒的受害者。

雲上勒索病毒，企業應如何防範

       勒索病毒的不斷湧現，首當其衝要做的就是維護租戶安全。企業端面對高危埠應透過漏洞管理、基線檢查的角度主動發現潛在的漏洞風險，構建安全防線，並透過病毒查殺引擎實現主動防禦。同時也要在事前做好資料的備份，事後進行資料的恢復和解密，有效挽回損失。騰訊安全雲鼎實驗室專家提出了一些建議。

       從租戶安全形度出發。一方面企業要做好基礎安全防護工作，如針對基礎作業系統預設配置（高危服務埠、口令策略等）進行安全加固，收斂雲上風險資產面；另一方面，建議關注騰訊雲官方安全公告漏洞情報，針對新出現的漏洞，及時進行掃描和修復處置，避免新增安全威脅影響業務正常執行；

       與此同時，關注人為帶來的安全隱患或風險，針對內部業務、運維操作等開展定期日誌審計，同時可利用騰訊雲安全運營中心提供的洩露監測功能（免費），配置自定義規則，進行主動和被動監測，及時發現人為疏忽導致的敏感資訊洩露行為；

       最後，就是梳理核心業務場景，構建以業務為中心的安全防護體系，針對業務資料流、業務支撐元件以及業務入口、業務敏感憑據進行全面梳理，進行專項建設最佳化和持續運營。

       為最大程度的保障雲上租戶安全，雲鼎實驗室構建了以主動響應為主的“租戶安全運營中臺”能力，透過雲原生威脅情報、雲漏洞情報、全域性漏洞防護、基礎安全大資料分析及威脅監測等手段，實時分析全雲安全態勢，及時阻斷雲上批次漏洞利用行為。

       截至目前，該中臺的漏洞情報能力已經覆蓋數百個情報源，並服務於騰訊雲100萬臺以上的伺服器和數千家大客戶，能夠在分鐘級定位新出現的安全漏洞及影響範圍，在日級以內實現全網的安全漏洞處置。

       與此同時，騰訊雲還面向使用者構建的雲端漏洞封堵能力和資料洩露監測能力，前者可實現使用者側無感知批次漏洞利用防護，後者則提供全流程的敏感憑據洩露防護解決方案，該方案透過事前憑據加固實踐、事中提供託管式管理、加密、輪換等操作憑據管理系統以及事後提供的主動+被動的敏感憑據洩露監測能力，可以幫助使用者在敏感憑據管理的全生命週期規避洩露風險，此次全球SNAKES勒索事件所使用的惡意軟體，則包含了檢查程式程式碼中硬編碼（如內部系統名稱和相關公共IP地址）行為。

       除了保障雲上租戶安全外，從資料安全形度，在做好日常資料的備份基礎上，我們還有三個建議。

       首先在資料生產之初，重點關注資料的分類、治理和策略。明確哪些是機密資料、敏感資料、普通資料，進而根據資料的不同等級，設定不同的安全策略。 

       其次，重視異常事件監測分析。一方面為企業提供運維人員操作審計，對異常行為進行告警，防止內部資料洩密，一方面對資料庫執行進行智慧化審計，對資料庫執行過程中的潛在風險進行挖掘，及時發現每一條異常行為並予以攔截。

       最後還要加強資料儲存災備和恢復能力，確保系統在遭受災難時資料的安全，以及業務的快速恢復。

       總的來說，面對頻發的企業雲上勒索事件，雲鼎實驗室方面建議大家事前做好相應的防禦，做好資料的監測備份和伺服器的加固。當遇到此類問題的時候還要有良好的應急機制，拒絕交付贖金，利用防火牆等進行訪問控制，隔離感染機器。事後記得進行資料恢復或資料解密，挽回重要資料，進行安全加固，防止再次感染，恢復正常運作。