越来越多的用户被加密事件困扰,加密软件通过利用漏洞,成功入侵客户业务服务器对对全盘数据进行加密勒索,导致用户业务突然中断、数据泄露和数据丢失,造成了严重的业务风险。
通过对云上用户调查分析,大部分用户未按照最佳的安全使用方式使用了云服务器资源,我们总结主要有以下2类主要问题:
1.关键账号存在弱口令或无认证机制
服务器登录关键账号(root、administrator)密码简单或空密码;
数据库(Redis、MongoDB、MySQL、MSsql Server)等相关重要业务服务直接可以无密码登录。
2.无访问控制策略,业务裸奔在互联网上
RDP、SSH、redis、mongodb、mysql、MSsql Server等高危服务直接裸奔在互联网上
以上两类问题是黑客利用成本较低的攻击方式,对于数据库被删除等勒索攻击事件,攻击者不需要获取账号密码就可以对业务造成重创。
为了确保云上用户尽可能的减少加密勒索软件影响,阿里云推荐用户按照以下措施可以有效降低您以及您的机构免受勒索软件伤害。
一.数据备份与恢复:备份,备份,再备份。
可靠的数据备份可以将勒索软件带来的损失最小化,但同时也要对这些数据备份进行安全防护,避免被感染和损坏。
如果给出的答案是肯定了,那么备份恢复是企业的最后一道防线,在最坏的情况下,它将是企业最后的堡垒,而企业需要建立不定期的进行数据备份策略以确保在最坏的情况有备份措施。
如果企业的业务在云上,至少要备份两份数据:本地备份和异地备份。
在云上您可以像云下环境一样,使用不同方式的备份方法来解决数据备份问题,以确保在发生勒索事件后,尽可能的挽回损失。
推荐工具:ECS快照功能、RDS提供的数据备份功能、使用OSS存储服务备份重要数据文件、由用户制定的数据备份策略或方案等。
ECS快照使用配置手册
RDS数据备份功能配置手册
自建数据库MySQL备份
2. 关键业务账号安全策略
- 阿里云主账号
如果您的业务在云上,您可能需要从接入云环境开始(例如:使用云服务商登陆云服务管理控制台),就要关注安全。阿里云为您分配的账号是所有云上业务的第一把“关键钥匙”,一旦您所拥有的最高权限的“钥匙”泄露,黑客将从根本上掌握支撑云上业务的所有云服务资源,从而将直接威胁整体的云上业务安全性。
云上针对租户账号提供账号登录双因素验证机制(MFA)、密码安全策略、和审计功能,企业可以方便的在自己的云上界面中启用和关闭,以确保云服务账号的安全性。
针对组织内部多角色场景,企业需要使用RAM服务为不同角色合理分配账号并授权,以防止在运维管理活动中,出现意外操作而导致的安全风险。
- 业务最高权限账号
或许您在云上选用了云服务器,自己在这些云服务器上部署了关键业务,例如:数据库服务、文件服务、缓存等于数据强相关的核心重要服务,这些服务的最高管理员账号的安全是保证业务持续可靠运行的必要条件。
您需要妥善设置好账号名称和密码,我们为您提供以下建议:
1).不要降这些高危服务暴露在互联网上,您可以参见“5.强化网络访问控制” 部分配置强访问控制策略;
2).启用认证鉴权功能;
3).禁止使用root账号直接登录;
4).如果您使用的是Windows系统,建议修改administrator默认名称;
5).为所有服务配置强密码,强密码要求至少8个字符以上,包含大小写字母、数字、特殊符号在内,不包含用户名、真实姓名或公司名称,不包含完整的单词。
推荐工具:阿里云访问控制服务(RAM服务)、对系统进行加固
RAM服务配置手册
3. 强化网络访问控制
精细化的网络管理是业务的第一道屏障。
对于大部分企业网络而言,它们的网络安全架构是“一马平川”的,在业务块之前,很少有业务分区分段。但随着业务的增长和扩容,一旦发生入侵,影响面会是全局的。在这种情况下,通过有效的安全区域划分、访问控制和准入机制可以防止或减缓渗透范围,可以阻止不必要的人员进入业务环境。
例如:可以限制SSH、RDP等管理协议、FTP、Redis、MongoDB、Memcached、MySQL、MSSQL-Server、Oracle等数据相关服务的连接源IP进行访问控制,实现最小化访问范围,仅允许授信IP地址访问,并对出口网络行为实时分析和审计。具体可以从以下几个方面实施:
- 推荐使用更安全的VPC网络;
- 通过VPC和安全组划分不同安全等级的业务区域,让不同的业务处在不同的隔离空间;
- 配置入口/出口过滤安全组防火墙策略,再次强调 -入口和出口均需进行过滤。
例如:
1.我们常用的数据库服务是不需要再互联网直接管理或访问的,可以通过配置入方向的访问控制策略防止数据库服务暴露在互联网上被黑客利用;
2.同时我们也可以配置更严格的内网访问控制策略,例如:在内网入方向配置仅允许内网某IP访问内网的某台数据库服务器。
通过以上对内外网的强访问控制,可以有效的为自身业务在网络入口加一把“锁”
推荐工具:VPC网络、安全组
安全组配置手册
4. 阻止恶意的初始化访问
通常采用如下两种方式实现第一次访问:发现并修复业务系统存在的漏洞或者拒绝点击网络钓鱼等不明恶意链接和邮件/社交工程,并保持谨慎态度。在攻击尚未开始之前,我们就可以采取措施来预防进攻的发生。如果攻击者在目标网络无法轻易地建立初始访问,那么攻击者更可能转向其他较为容易进攻的目标。攻击者也希望花费尽可能少的代价来取得相应的收益。如果无法轻易地建立初始访问,这会增加他们寻找其他更容易进攻目标的可能性。
5. 搭建具有容灾能力的基础架构
高性能、具有冗余的基础架构能力是保障业务强固的基础条件,在云环境下,可以通过SLB集群的方式搭建高可用架构,当出现某一个节点发生紧急问题时,可以有效避免单点故障问题,防止业务中断的前提下,也可以防止数据丢失。在资源允许的条件下,企业或组织可以搭建同城或异地容灾备份系统,当主系统出现发生勒索事件后,可以快速切换到备份系统,从而保证业务的连续性。
推荐工具:阿里云SLB、阿里云RDS等高性能服务组合而成的容灾架构
6. 定期进行外部端口扫描
端口扫描可以用来检验企业的弱点暴露情况。如果企业有一些服务连接到互联网,需要确定哪些业务是必须要发布到互联网上,哪些是仅内部访问,当公共互联网的服务数量越少,攻击者的攻击范围就越窄,从而遭受的安全风险就越小。
推荐工具:阿里云云盾安全管家服务
7. 定期进行安全测试发现存在的安全漏洞
企业公司IT管理人员需要定期对业务软件资产进行安全漏洞探测,一旦确定有公开暴露的服务,应使用漏洞扫描工具对其进行扫描。尽快修复扫描漏洞,同时日常也应该不定期关注软件厂商发布的安全漏洞信息和补丁信息,及时做好漏洞修复管理工作。
推荐工具:VPC网络、安全组、主机系统安全、阿里云云盾安全管家服务
8. 常规的系统维护工作
- 制定并遵循实施IT软件安全配置,对操作系统(Windows、Linux)和软件(FTP、Apache、Nginx、Tomcat、Mysql、MS-Sql Server、Redis、MongdoDB、Mecached等服务)初始化安全加固,同时并定期核查其有效性;
- 为Windows操作系统云服务器安装防病毒软件,并定期更新病毒库;
- 确保定期更新补丁;
- 修改administrator默认名称,为登录账号配置强口令;
- 确保开启日志记录功能,并集中进行管理和审计分析;
- 确保合理的分配账号、授权和审计功能,例如:为服务器、RDS数据库建立不同权限账号并启用审计功能,如果有条件,可以实施类似堡垒机、VPN等更严格的访问策略。
- 确保实施强密码策略,并定期更新维护,对于所有操作行为严格记录并审计;
- 确保对所有业务关键点进行实时监控,当发现异常时,立即介入处理。
推荐工具:阿里云云盾安骑士
9. 重点关注业务代码安全
事实上,大部分安全问题由于程序员的不谨慎或无意识的情况下埋下了安全隐患,代码的安全直接影响到业务的风险,根据经验来看,代码层的安全需要程序员从一开始就需要将安全架构设计纳入到整体软件工程内,按照标准的软件开发流程,在每个环节内关联安全因素。
对于一般的企业来说,需要重点关注开发人员或软件服务提供上的安全编码和安全测试结果,尤其是对开发完毕的业务代码安全要进行代码审计评估和上线后的黑盒测试(也可以不定期的进行黑盒渗透测试)。
推荐工具:阿里云云盾先知计划、阿里云云盾web应用防火墙(WAF) 、SDL标准流程
10. 建立全局的外部威胁和情报感知能力
安全是动态的对抗的过程,就跟打仗一样,在安全事件发生之前,我们要时刻了解和识别外部不同各类风险,所以做安全的思路应该从防止安全入侵这种不可能的任务转到了防止损失这一系列的关键任务上,防范措施必不可少,但是基于预警、响应的时间差也同样关键。而实现这种快速精准的预警能力需要对外面的信息了如指掌,切记“盲人摸象”,所以建立有效的监控和感知体系是实现安全管控措施是不可少的环节,更是安全防护体系策略落地的基础条件。用户可以登录阿里云控制台,到云盾菜单里面免费开通阿里云态势感知服务,可以查看实时的外部攻击行为和内部漏洞(弱点)情况。
推荐工具:大数据安全分析平台、云上安全威胁态势感知系统
11. 建立安全事件应急响应流程和预案
在安全攻防动态的过程中,我们可能很难100%的防御住所有的安全事件,也就是说,我们要为可能突发的安全事件准备好应急策略,在安全事件发生后,要通过组织快速响应、标准化的应急响应流程、规范的事件处置规范来降低安全事件发生的损失。
推荐工具:可管理的安全服务(MSS)、安全事件应急响应服务
安全是一个持续性的对抗过程,云上用户需要重点关注并扎实做好安全防护工作,只有这样,才能保障业务持久可靠的运行。
相关加固文档:
FTP服务加固手册
MySQL服务加固手册
Redis服务加固手册
MongoDB服务加固手册