某大厂勒索病毒处置流程外泄,因显示要过期删除,所以引用过来。因文章很长,分两部分介绍,这是第二部分。
原文连接:https://mp.weixin.qq.com/s/bUZmhvSJy2Pt960ELVipyA
原创 隐雾安全 2024-03-15 09:00 四川
三、勒索病毒预防与事后加固
(一)勒索病毒的预防措施:
1.合理的网络隔离:
采用合理的网络分区,可以极大的限制勒索病毒的入侵和传播。如根据不同业务需要将网络分为隔离区、内网区、外来接入区、内网服务器区等,并限制不同分区间的网络访问。在同一分区内,采用虚拟局域网技术隔离不同部门资产,降低由于单一设备感染勒索病毒,导致勒索病毒在内部网络进一步传播的可能。
2.严格且精准的访问控制:
对组织关键业务系统设置严格的访问权限,如按照权限最小化原则开放必要的访问权限、根据访问控制策略设置访问控制规则等。及时对访问控制规则进行更新,删除多余或无效的访问控制规则,如定期对开放的访问权限进行梳理,及时删除因人员离职、资产IP 变更后存留的访问权限。
3.定期进行资产梳理:
排查组织资产暴露情况,梳理暴露资产真实范围,梳理范围涵盖组织分公司、下级机构等相关资产,梳理时间根据自身实际情况如每周、月、半年等进行资产梳理。按照最小化原则,尽可能减少在资产互联网上暴露,特别是避免重要业务系统、数据库等核心信息系统在互联网上暴露,同时对高危端口使用安全设备进行修改或者限制。
4.定期漏洞排查:
对组织资产进行漏洞排查,一旦发现资产存在安全漏洞,及时进行修补。采用漏洞扫描等设备和产品的,对漏洞扫描设备进行集中管理,建立完整、持续的漏洞发现和管理手段;具备导入第三方漏洞报告能力,支持导入和分析主流厂家漏洞和配置核查扫描结果;针对扫描的漏洞结果加强漏洞知识库关联,及时获取漏洞信息和解决方案等。
5.身份鉴别:
对用户进行身份标识和鉴别,如保证身份标识具有唯一性、采用动态口令等两种或两种以上身份鉴别、具备防范口令暴力破解的能力、口令等身份鉴别信息符合复杂度要求并定期更换、推行口令定期强制修改和出厂口令修改等。同时,通过采用扫描软硬件对系统口令定期进行安全性评估,识别发现并及时消除弱口令安全风险。
6.软件管理:
规范组织内部软件版本管理机制,避免使用盗版或来路不明的软件,使用软件风险评估系统或工具定期检测关键业务系统使用的相关软件版本,避免由于软件版本低引发安全风险。基于网络流量对组织内部访问“风险网站”进行检测和阻断,降低由于下载和安装恶意软件,导致感染勒索病毒的可能。
7.供应链管理:
部署供应链安全风险防控措施,包括供应链相关人员管理、供应链生命周期管理、采购外包与供应商管理。采用的网络设备、安全产品、密码产品等产品与服务的采购和使用符合国家有关规定。与选定的供应商签订协议,明确供应链各方履行的安全责任和义务,定期审视、评审和审核供应商提供的服务,对其变更服务内容加以控制。
8.部署专业网络安全产品:
在终端侧、网络侧等部署网络安全产品,并日常排查设备告警情况。例如,在终端侧,部署杀毒软件、终端安全管理系统等安全软件,不随意退出安全软件、关闭防护功能、执行放行操作等,并设立应用软件白名单,及时保持白名单的准确性、完整性、实时性;在网络侧,部署防火墙,堡垒机等网络安全设备,限制用户对系统的访问;部署IPS流量监测阻断设备,以识别和阻断勒索病毒的传播。
9.加强员工的网络安全意识:
以培训、演练等提高网络安全意识,在员工层面切断勒索病毒传播的入口。例如,在文件方面,不点击来源不明的邮件附件、打开邮件附件前进行安全查杀等;在网站方面,不从不明网站下载软件等;在外接设备方面,不混用工作和私人的外接设备、关闭移动存储设备自动播放功能并定期进行安全查杀等。
10.做好重要数据备份工作:
根据文件和数据的重要程度分类分级进行存储和备份,如主动加密存储重要、敏感的数据和文件,防范利用勒索病毒的双重或多重勒索行为。明确数据备份的范围、内容、周期等,定期采取本地备份、异地备份、云端备份等多种方式进行数据备份,增加遭受勒索病毒攻击且数据文件加密、损坏、丢失等情况下恢复数据的可能。
(二)勒索病毒的事后加固
1.利用备份数据进行恢复:
根据遭受勒索病毒攻击影响相关设备数据备份的情况,按照数据恢复要求、备份日志,衡量数据恢复时间成本、数据重要程度,确认数据恢复范围、顺序及备份数据版本,利用离线、异地、云端等备份数据恢复。
2.恢复感染设备正常使用:
感染勒索病毒设备再次投入使用的,在采取磁盘格式化、系统重装、删除可疑文件和程序、消除勒索信息和加密文件等措施的情况下,避免二次感染勒索病毒,再恢复设备正常使用。
3.进行完整的溯源:
通过对攻击的完整溯源,可以帮助企业发现存在的薄弱点,及时加以修复,同时也可以帮助企业发现攻击者的行为模式和特点,帮助企业形成立体的网络安全防线,从而提高对未来攻击的预警能力。
4.加强网络安全隐患修补:
在消除勒索病毒攻击影响的情况下,开展网络安全隐患排查和修补。例如,在权限管理方面,重点排查弱口令、账户权限、口令更新和共用等问题;在漏洞修补方面,及时更新系统、软件、硬件等漏洞补丁;在暴露面梳理方面,检查本企业在互联网上的暴露面,检查是否存在暴露的高危端口如(21,22,135,139,445等)。
5.加强终端安全防护:
确保终端设备和服务器上安装了有效的防病毒软件和EDR功能模块 ,防病毒软件可以扫描系统和文件,有效防止恶意文件落地;EDR可以更有效的防护恶意文件攻击、漏洞攻击,有效阻断安全威胁,同时会产生流量走向、内存活动、帐户信息以及异常操作等风险告警,帮助安全团队快速定位威胁和溯源入口。
6.构建内网威胁发现能力:
通过诱捕机制及时感知到恶意文件在内网无威胁探测阶段的异常行为,并进行预警,通过快速响应能够最大限度的减少甚至避免恶意文件对内部服务器造成的影响。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
