[不断更新]"永恒之蓝"勒索病毒防护全攻略,
摘要: 5.12号WCry2.0勒索软件蠕虫大面积爆发,漏洞主要利用4.14号NSA泄露的武器库中的微软0day,进行大面积感染和传播。由于采用了RSA和AES加密算法,影响巨大。本文将不断更新,深度解读勒索软件的前世今生,并提供更多安全防护最佳实践。
5.12号WCry 2.0勒索软件蠕虫大面积爆发,漏洞主要利用4.14号NSA泄露的武器库中的微软0day,进行大面积感染和传播。由于采用了RSA和AES加密算法,在没有获取密钥的情况下除了重装系统、恢复备份外没有第二条路可以走。这个勒索软件蠕虫给世界造成了巨大的破坏力,从英国的医院,到国内的中石油、公安内网、高校内网、地铁部分系统等都纷纷被感染。这次爆发的危机与以往不一样的在于很多国家关键基础设施被感染,导致无法正常工作。
在短短一天多的时间,全球近百个国家的超过10万家组织和机构被攻陷,其中包括1600家美国组织,11200家俄罗斯组织。包括西班牙电信巨头Telefonica,电力公司Iberdrola,能源供应商Gas Natural在内的西班牙公司的网络系统也都瘫痪。葡萄牙电信、美国运输巨头FedEx、瑞典某当地政府、俄罗斯第二大移动通信运营商Megafon都已曝出相关的攻击事件。
国内已经有29372家机构组织的数十万台机器感染WannaCrypt(永恒之蓝),被感染的组织和机构已经覆盖了几乎所有地区,影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域。目前被感染的电脑数字还在不断增长中。
勒索病毒并未中止,反而因变异体的出现呈愈演愈烈之势,今日作为病毒爆发后的中国第一个工作日,也迎来最大规模考验。
云栖社区将持续关注该病毒的最新动态
最新动态:
【0517】当“海盗”遇上黑客,拒付比特币的迪士尼只能请FBI出手了
【0516】借鉴人类疾病防疫机制,阿里云如何帮助用户应对大规模安全疫情?
【0516】重要通知 | 比特币勒索席卷全球,如何防范?
【0515】【勒索病毒蔓延!广东珠海公积金紧急停办!】
【0515】勒索病毒收款账户遭执法机构监视 已收到数万美元
【0515】【云栖风向标】VOL.1:加油站都被比特币勒索病毒黑了!还没关闭服务器445端口的抓紧
【0514】【速转身边开公司的朋友】连加油站都被比特币勒索病毒黑了!还没关闭服务器445端口的抓紧!
专家安全解读:
【0516】面对勒索软件,除了交赎金,还能怎么办?
【0516】加密勒索软件攻击趋势分析
【0515】道哥点评:全球比特币勒索事件暴露迷信物理隔离不靠谱
【0515】勒索病毒引出重大话题:公有云比私有云更安全?
【0515】WannaCry反思:传统安全理念遭遇马奇诺防线式溃败
【0515】蠕虫勒索软件WannaCrypt0r的行为分析
【0515】躲过了加密勒索,企业可能还有4大潜在安全风险
【0515】“永恒之蓝”勒索软件样本分析及一线案例处置分享
【0515】一张图看懂“永恒之蓝”勒索病毒处置流程
【0515】“永恒之蓝”勒索病毒安全事件应急指导手册(附工具包)
【0515】不容错过 | “永恒之蓝”勒索病毒安全处置FAQ
安全专家推荐:
阿里云对加密勒索事件防护建议:
WCry还在蔓延,周一上班的几点安全建议Win Server 2003-2016 加密勒索事件必打补丁合集
【企业IT管理员必读】WanaCrypt0r 2.0和ONION等勒索软件病毒应急处置方案
为了确保云上用户尽可能的减少加密勒索软件影响,阿里云推荐用户按照以下措施可以有效降低您以及您的机构免受勒索软件伤害。
1.数据备份与恢复:备份,备份,再备份。
可靠的数据备份可以将勒索软件带来的损失最小化,但同时也要对这些数据备份进行安全防护,避免被感染和损坏。
如果给出的答案是肯定了,那么备份恢复是企业的最后一道防线,在最坏的情况下,它将是企业最后的堡垒,而企业需要建立不定期的进行数据备份策略以确保在最坏的情况有备份措施。
如果企业的业务在云上,至少要备份两份数据:本地备份和异地备份。
在云上您可以像云下环境一样,使用不同方式的备份方法来解决数据备份问题,以确保在发生勒索事件后,尽可能的挽回损失。
推荐工具:ECS快照功能、RDS提供的数据备份功能、使用OSS存储服务备份重要数据文件、由用户制定的数据备份策略或方案等。
ECS快照使用配置手册RDS数据备份功能配置手册自建数据库MySQL备份
2. 关键业务账号安全策略
- 阿里云主账号
如果您的业务在云上,您可能需要从接入云环境开始(例如:使用云服务商登陆云服务管理控制台),就要关注安全。阿里云为您分配的账号是所有云上业务的第一把“关键钥匙”,一旦您所拥有的最高权限的“钥匙”泄露,黑客将从根本上掌握支撑云上业务的所有云服务资源,从而将直接威胁整体的云上业务安全性。
云上针对租户账号提供账号登录双因素验证机制(MFA)、密码安全策略、和审计功能,企业可以方便的在自己的云上界面中启用和关闭,以确保云服务账号的安全性。
针对组织内部多角色场景,企业需要使用RAM服务为不同角色合理分配账号并授权,以防止在运维管理活动中,出现意外操作而导致的安全风险。
业务最高权限账号
或许您在云上选用了云服务器,自己在这些云服务器上部署了关键业务,例如:数据库服务、文件服务、缓存等于数据强相关的核心重要服务,这些服务的最高管理员账号的安全是保证业务持续可靠运行的必要条件。
您需要妥善设置好账号名称和密码,我们为您提供以下建议:
1).不要降这些高危服务暴露在互联网上,您可以参见“5.强化网络访问控制” 部分配置强访问控制策略;
2).启用认证鉴权功能;
3).禁止使用root账号直接登录;
4).如果您使用的是Windows系统,建议修改administrator默认名称;
5).为所有服务配置强密码,强密码要求至少8个字符以上,包含大小写字母、数字、特殊符号在内,不包含用户名、真实姓名或公司名称,不包含完整的单词。
推荐工具:阿里云访问控制服务(RAM服务)、对系统进行加固
3. 强化网络访问控制
精细化的网络管理是业务的第一道屏障。
对于大部分企业网络而言,它们的网络安全架构是“一马平川”的,在业务块之前,很少有业务分区分段。但随着业务的增长和扩容,一旦发生入侵,影响面会是全局的。在这种情况下,通过有效的安全区域划分、访问控制和准入机制可以防止或减缓渗透范围,可以阻止不必要的人员进入业务环境。
例如:可以限制SSH、RDP等管理协议、FTP、Redis、MongoDB、Memcached、MySQL、MSSQL-Server、Oracle等数据相关服务的连接源IP进行访问控制,实现最小化访问范围,仅允许授信IP地址访问,并对出口网络行为实时分析和审计。具体可以从以下几个方面实施:
推荐使用更安全的VPC网络;
通过VPC和安全组划分不同安全等级的业务区域,让不同的业务处在不同的隔离空间;
配置入口/出口过滤安全组防火墙策略,再次强调 -入口和出口均需进行过滤。
例如:
1.我们常用的数据库服务是不需要再互联网直接管理或访问的,可以通过配置入方向的访问控制策略防止数据库服务暴露在互联网上被黑客利用;
2.同时我们也可以配置更严格的内网访问控制策略,例如:在内网入方向配置仅允许内网某IP访问内网的某台数据库服务器。
通过以上对内外网的强访问控制,可以有效的为自身业务在网络入口加一把“锁”
推荐工具:VPC网络、安全组
4. 阻止恶意的初始化访问
通常采用如下两种方式实现第一次访问:发现并修复业务系统存在的漏洞或者拒绝点击网络钓鱼等不明恶意链接和邮件/社交工程,并保持谨慎态度。在攻击尚未开始之前,我们就可以采取措施来预防进攻的发生。如果攻击者在目标网络无法轻易地建立初始访问,那么攻击者更可能转向其他较为容易进攻的目标。攻击者也希望花费尽可能少的代价来取得相应的收益。如果无法轻易地建立初始访问,这会增加他们寻找其他更容易进攻目标的可能性。
5. 搭建具有容灾能力的基础架构
高性能、具有冗余的基础架构能力是保障业务强固的基础条件,在云环境下,可以通过SLB集群的方式搭建高可用架构,当出现某一个节点发生紧急问题时,可以有效避免单点故障问题,防止业务中断的前提下,也可以防止数据丢失。在资源允许的条件下,企业或组织可以搭建同城或异地容灾备份系统,当主系统出现发生勒索事件后,可以快速切换到备份系统,从而保证业务的连续性。
推荐工具:阿里云SLB、阿里云RDS等高性能服务组合而成的容灾架构
6. 定期进行外部端口扫描
端口扫描可以用来检验企业的弱点暴露情况。如果企业有一些服务连接到互联网,需要确定哪些业务是必须要发布到互联网上,哪些是仅内部访问,当公共互联网的服务数量越少,攻击者的攻击范围就越窄,从而遭受的安全风险就越小。
推荐工具:阿里云云盾安全管家服务
7. 定期进行安全测试发现存在的安全漏洞
企业公司IT管理人员需要定期对业务软件资产进行安全漏洞探测,一旦确定有公开暴露的服务,应使用漏洞扫描工具对其进行扫描。尽快修复扫描漏洞,同时日常也应该不定期关注软件厂商发布的安全漏洞信息和补丁信息,及时做好漏洞修复管理工作。
推荐工具:VPC网络、安全组、主机系统安全、阿里云云盾安全管家服务
8. 常规的系统维护工作
制定并遵循实施IT软件安全配置,对操作系统(Windows、Linux)和软件(FTP、Apache、Nginx、Tomcat、Mysql、MS-Sql Server、Redis、MongdoDB、Mecached等服务)初始化安全加固,同时并定期核查其有效性;
为Windows操作系统云服务器安装防病毒软件,并定期更新病毒库;
确保定期更新补丁;
修改administrator默认名称,为登录账号配置强口令;
确保开启日志记录功能,并集中进行管理和审计分析;
确保合理的分配账号、授权和审计功能,例如:为服务器、RDS数据库建立不同权限账号并启用审计功能,如果有条件,可以实施类似堡垒机、VPN等更严格的访问策略。
确保实施强密码策略,并定期更新维护,对于所有操作行为严格记录并审计;
确保对所有业务关键点进行实时监控,当发现异常时,立即介入处理。
推荐工具:阿里云云盾安骑士
9. 重点关注业务代码安全
事实上,大部分安全问题由于程序员的不谨慎或无意识的情况下埋下了安全隐患,代码的安全直接影响到业务的风险,根据经验来看,代码层的安全需要程序员从一开始就需要将安全架构设计纳入到整体软件工程内,按照标准的软件开发流程,在每个环节内关联安全因素。
对于一般的企业来说,需要重点关注开发人员或软件服务提供上的安全编码和安全测试结果,尤其是对开发完毕的业务代码安全要进行代码审计评估和上线后的黑盒测试(也可以不定期的进行黑盒渗透测试)。
推荐工具:阿里云云盾先知计划、阿里云云盾web应用防火墙(WAF)、SDL标准流程
10. 建立全局的外部威胁和情报感知能力
安全是动态的对抗的过程,就跟打仗一样,在安全事件发生之前,我们要时刻了解和识别外部不同各类风险,所以做安全的思路应该从防止安全入侵这种不可能的任务转到了防止损失这一系列的关键任务上,防范措施必不可少,但是基于预警、响应的时间差也同样关键。而实现这种快速精准的预警能力需要对外面的信息了如指掌,切记“盲人摸象”,所以建立有效的监控和感知体系是实现安全管控措施是不可少的环节,更是安全防护体系策略落地的基础条件。用户可以登录阿里云控制台,到云盾菜单里面免费开通阿里云态势感知服务,可以查看实时的外部攻击行为和内部漏洞(弱点)情况。
推荐工具:大数据安全分析平台、云上安全威胁态势感知系统
11. 建立安全事件应急响应流程和预案
在安全攻防动态的过程中,我们可能很难100%的防御住所有的安全事件,也就是说,我们要为可能突发的安全事件准备好应急策略,在安全事件发生后,要通过组织快速响应、标准化的应急响应流程、规范的事件处置规范来降低安全事件发生的损失。
推荐工具:可管理的安全服务(MSS)、安全事件应急响应服务
安全是一个持续性的对抗过程,云上用户需要重点关注并扎实做好安全防护工作,只有这样,才能保障业务持久可靠的运行。
相关加固文档:
Windows操作系统加固手册Linux操作系统加固手册FTP服务加固手册MySQL服务加固手册Redis服务加固手册MongoDB服务加固手册Memcached服务加固手册
推荐参加云栖社区话题讨论: