最近经常收到一些客户被勒索,而且询问情况后,很多都是服务器没有进行备份,或备份服务器未进行隔离(逻辑隔离)一并被加密,所以今天也想简单聊下针对被勒索前后的一些建议和意见吧.

前言:

既然被勒索,那么系统、应用程序肯定存在漏洞抑或系统存在弱口令,而且漏洞明显可被攻击者直接利用,也可能被攻击者盯了很久(有些可能是APT攻击)确定系统能够在加密后勒索一番后才实施的全网攻击.

一、勒索前

公司业务系统的重要性不言而喻,那么在进行系统、程序上线之前自然要进行整个安全检查,而针对那些单位有安全经费或有专门的安全人员就更好不过了,可以内容进行安全检测和检查;毕竟我国安全人才的稀缺还是很严重的,所以针对其他一些企业而言就只能请第三方安全公司进行全面的安全检测和检查,那么难道只能只能请第三方的公司进行安全检查了吗?

其实并非如此,如果你进行勒索统计,大部分单位被勒索的都是windows系统,为什么这么说?因为针对一些小的企业更多还是喜欢使用桌面化系统,这样不管是后期运维还是进行其他操作都要相对简单很多.但是有些单位可能会说,关于*inux系统我们很多不会使用或者运维以及使用起来太麻烦.

壹、网络层

1、互联网出口位置部署相关安全产品(FW、IDS、IPS、审计、堡垒极....根据系统重要性,特定部署安全设备)
2、网络各区域进行划分,不同区域的访问权限严格控制(DMZ到非DMZ区进行控制,非DMZ尽量控制指定端口可达DMZ服务)

……

贰、系统层

1、系统补丁及时更新
2、系统不用端口进行封堵135、137、138、139、445等(比如系统只使用80,其他端口一并封堵)
3、系统软防火墙记得开启(根据业务处理情况来进行添加相关策略)
4、系统安全策略进行配置梳理(根据梳理表格进行check)
5、更换远程连接端口(3389),如不需要建议采用TeamView进行远程管理
6、系统口令情况进行定期梳理和更换,一定不能出现弱口令的情况,而造成整个内网服务器被攻击

……

叁、应用层

1、时刻关注所使用程序是否存在漏洞并及时更新
2、可自行下载并安装互联网中的漏扫软件进行内网扫描处理
3、请第三方安全公司进行渗透测试,挖掘是否存在潜在安全问题

……

二、勒索中

应急....

如果单位部分服务器已经被勒索不要着急,一旦发现被勒索情况 ,首先进行断网处理以防内网扩散(注意:勒索不同挖矿类,不是抓包、策略添加进行封堵),让受影响服务器单独运行;查看被勒索病毒类型,并根据类型进行互联网查询是否有共享的解密软件尝试数据恢复.

如发现数据无法恢复,请及时联系攻击者留下的联系方式并获取密钥进行数据恢复处理.

可以按照以下步骤进行处理:

1、受影响服务器进行断网处理,隔离开未受影响服务器、PC办公端等.
2、收集系统、安全设备产生日志(为后期漏洞定位提供帮助)
3、病毒类型进行google等查询
4、病毒样本收集并移除外部,tar包保存
5、配置防火墙封堵445等共享服务端口,
….
……

三、勒索后

解密后自然尽快恢复网络、办公,但是肯定还是很担心服务器内或者其他未被加密的服务器内是否存在恶意病毒文件再进行传播;为了消除此类问题建议在同网段核心交换进行端口镜像,拉出一台分析设备进行网络行为分析查看内网主机某个端口是否存在进行外部请求或对内网某台主机进行恶意请求;并定位某台主机并独立出进行分析.

针对勒索后的网络安全环境的建设和维护可以参考勒索前的一些安全加固建议、并自行构造安全检查文档实行下去进行检查,确保其他未受影响主机不会再被攻击.

四、总结

国内一直关于勒索层出不穷,多数出现企业和医院类受影响的可能性较大;想要确保系统安全运行,养成好的安全管理(三分技术,七分管理)很大程度应对勒索.祝好运...

© Copyright 2019  

Powered by  si1ent  

皖ICP备19004273