6月10日,一则名为“某公司全球业务遭勒索软件攻击,部分生产线被迫停产”的新闻进入网络安全行业视野。该公司确认这是一次网络攻击,导致其部分全球业务陷入停顿。较早的一份报告表明,Snake勒索软件可能是罪魁祸首。与其他文件加密恶意软件一样,Snake会混淆文件和文档,攻击者以此为威胁以加密货币支付赎金。事实上,早在这之前,该公司就发布了一条推文,称其客户服务和金融服务因黑客攻击而“不可用”。巧合的是,4月27日,B站知名UP主“机智派对女郎”发布了一条视频——《我被勒索了!》。据视频介绍,当美遭遇网络攻击,被黑客勒索。公司斥资10万余元在内网搭建NAS系统,却在4月26日(投入使用第一天)遭到黑客攻击。所有正在制作的视频资料都被勒索软件加密,无法打开。近年来,企业被勒索病毒攻击的事件层出不穷,造成了诸多严重危害。企业上云,云企业面对勒索软件是否更安全?他们应该如何预防呢?云鼎实验室作为腾讯云安全卫士,一直致力于打造最安全的工业云。针对此类情况,腾讯安全云顶实验室的专家也给出了一些建议。如何识别自己是否感染了勒索病毒一般来说,勒索病毒会有一系列的恶意行为,主要包括对服务器的所有文件进行加密或者只对数据库文件进行加密(通常同时使用多种标准的加密算法进行加密,如作为AES、RSA);修改桌面墙纸或弹出提示窗口,显示勒索信息,要求受害者解密赎金(通常要求受害者在一定期限内支付数字货币)。其常见的攻击方式通常包括密码爆破攻击、钓鱼邮件攻击、利用系统和软件漏洞、网站木马攻击等。这些攻击方式会导致重要业务数据库严重受损、业务数据丢失、业务中断。即使按照指引按时支付赎金,也无法保证数据恢复,造成双重损失。当服务器或数据库无法正常工作时(例如无法登录服务器);访问服务器或数据库时出现勒索信息(如连接服务器或数据库时出现勒索信息);文件名被修改,加上后缀(比如在文件名后面,加上随机字符),那你很有可能成为勒索软件的受害者。云上勒索病毒,企业该如何防范勒索病毒的不断涌现,首先要维护租户的安全。对于高风险端口,企业应通过漏洞管理和基线检查等方式,主动发现潜在的漏洞风险,构筑安全防线,通过病毒查杀引擎实施主动防御。同时,还需要提前对数据进行备份,事后对数据进行恢复和解密,有效挽回损失。腾讯安全云顶实验室的专家提出了一些建议。从租户安全的角度。一方面,企业应做好基础安全防护,如对基础操作系统默认配置(高危服务端口、密码策略等)进行安全加固,降低云上风险资产;另一方面,建议关注腾讯云智能官方安全公告,及时扫描修复新出现的漏洞,避免新的安全威胁影响正常业务运营;同时关注人为造成的安全隐患或风险,定期对内部业务、运维操作等进行日志审计,同时可以使用泄漏监控功能(免费)由腾讯云安全运营中心提供,配置自定义规则,进行主动和被动监控,及时发现因人为疏忽造成的敏感信息泄露;最后,梳理核心业务场景,构建以业务为中心的安全防护体系,全面梳理业务数据流、业务支撑组件、业务入口、业务敏感凭证,并进行专项建设优化和持续运营。为了最大程度保护云上租户的安全,云鼎实验室构建了以主动响应为主的“租户安全运营中心”能力,通过云原生威胁情报、云端漏洞情报、全局漏洞防护、基础安全大数据分析和威胁监测等手段,实时分析全云安全态势,及时阻断云上批量漏洞利用行为。截至目前,平台漏洞情报能力已覆盖上百个情报源,服务超过100万台服务器和腾讯云数千家大客户,分钟级定位新兴安全漏洞及其影响。一天之内实现全网安全漏洞处置。同时,腾讯云还为用户构建云端漏洞拦截能力和数据泄露监控能力。前者可实现用户侧无感知的批量漏洞利用防护,后者提供全流程的敏感凭证泄露防护方案。通过事前凭证加固实践,提供事中托管管理、加密、轮换等运营凭证管理系统,事后提供主动+被动敏感凭证泄露监控能力,帮助用户终生规避泄露风险敏感凭证管理周期。全球SNAKES勒索软件事件中使用的恶意软件在检测程序代码中包含硬编码(如内部系统名称和相关公共IP地址)行为。除了保证云上租户的安全,从数据安全的角度,在日常数据备份的基础上,我们有三点建议。首先,在数据生产之初,关注数据分类、治理和政策。明确什么是机密数据、敏感数据、普通数据,然后根据不同级别的数据设置不同的安全策略。二是重视异常事件的监测分析。一方面为企业提供运维人员审计,异常行为预警,防止内部数据泄露。被拦截。最后,需要加强数据存储的容灾恢复能力,保证系统发生灾难时的数据安全和业务的快速恢复。总的来说,面对企业云上频繁发生的勒索事件,云鼎实验室建议大家提前做好相应的防御工作,做好监控数据备份和服务器加固。遇到此类问题时,需要有良好的应急机制,拒绝支付赎金,使用防火墙控制访问,隔离感染机器。之后记得进行数据恢复或数据解密,恢复重要数据,进行安全加固,防止二次感染,恢复正常运行。
