正禾

当用户因为勒索软件导致业务中断，企业通常会认为支付赎金是取回数据最划算的办法。但尴尬的是，这些支付出去的赎金，通常会被直接用于下一代勒索软件的开发。所以很多企业正在无奈地用“金钱浇灌着勒索软件的花朵”。正因如此，勒索攻击正以惊人的速度不断发展，勒索软件家族也正在不断的进化。那么，企业在如何一步步将威胁挡在门外呢？

■数据备份与恢复：备份，备份，再备份。

数据备份和恢复措施是发生被勒索事件挽回损失的重要工作，我们将此关键措施放在第一位。面对攻击者的赎金勒索，需要清晰了解并考虑以下几天来点：

当系统遭到彻底破坏的时候，受害组织在多大程度上能够接受数据的丢失？

本地备份是否可用，或者异地备份的内容是否都被删除或以其他的方式导致不可用？

如果本地备份介质的内容被删除或不可使用，异地的备份是否可用？ 异地备份频率如何？是否定期验证过备份内容的有效性？数据是否可以正常使用？是否数据应急恢复流程或手册？如果给出的答案是肯定了，那么备份恢复是企业的最后一道防线，在最坏的情况下，它将是企业最后的堡垒，而企业需要建不定期地进行数据备份策略，以确保在最坏的情况下有备份措施。

如果企业的业务在云上，可以使用不同方式的备份方法来解决数据备份问题，以确保在发生勒索事件后，尽可能的挽回损失。

推荐工具 ECS快照功能、RDS提供的数据备份功能、使用OSS存储服务备份重要数据文件、由用户制定的数据备份策略或方案等。

■云上账号安全策略

云上针对租户账号提供账号登录双因素验证机制（MFA）、密码安全策略和审计功能，企业可以方便地在自己的云上界面中启用和关闭，以确保云服务账号的安全性。

针对组织内部多角色场景，企业需要使用RAM服务为不同角色合理分配账号并授权，以防止在运维管理活动中，出现意外操作而导致的安全风险。

■阻止恶意的初始化访问

企业可以采用如下两种方式，来阻止攻击进入系统的“第一道门”：发现并修复业务系统存在的漏洞；或者拒绝点击网络钓鱼等不明恶意链接和邮件/社交工程。如果攻击者在目标网络无法轻易地建立初始访问，那么攻击者更可能转向其他较为容易进攻的目标。攻击者也希望花费尽可能少的代价来取得相应的收益。如果无法轻易地建立初始访问，这会增加他们寻找其他更容易进攻目标的可能性。

■搭建有容灾能力的基础架构

高性能、具有冗余的基础架构能力是保障业务强固的基础条件，在云环境下，可以通过SLB集群的方式搭建高可用架构，当出现某一个节点发生紧急问题时，可以有效避免单点故障问题，防止业务中断的前提下，也可以防止數据丢失。

在资源允许的条件下，企业或组织可以搭建同城或异地容灾备份系统，当主系统出现勒索事件后，可以快速切换到备份系统，从而保证业务的连续性。

推荐工具 SLB、RDS等高性能服务组合而成的容灾架构

■强化网络访问控制

精细化的网络管理是业务的第一道屏障。

对于大部分企业网络而言，它们的网络安全架构是“一马平川”的，在业务块之前，很少有业务分区分段。但随着业务的增长和扩容，一旦发生入侵，影响面会是全局的。在这种情况下，通过有效的安全区域划分、访问控制和准入机制可以防止或减缓渗透范围，可以阻止不必要的人员进入业务环境。

例如，可以限制ssh、RDP业务管理源地址、对数据库连接源IP进行访问控制，实现最小化访问范围，仅允许授信人员访问，并对出口网络行为实时分析和审计。具体可以从以下几个方面实施：

推荐使用更安全的VPC网络；

通过VPC和安全组划分不同安全等级的业务区域，让不同的业务处在不同的隔离空间；

配置入口/出口过滤防火墙策略，再次强调入口和出口均需进行过滤。主机彼此之间应当不能通过SMB（139/tcp、445/tcp）进行通信。如果设置了文件服务器，实际上就不需要进行这种通信。如果企业可以有效地禁用主机间的SMB通信，企业就可以防止攻击者使用“通过散列表”所进行的逐步渗透。SMB通信应该仅限于应用分发平台，文件共享或域控制器。

推荐工具 VPC、安全组

■定期进行外部端口扫描

端口扫描可以用来检验企业的弱点暴露情况。如果企业有一些服务连接到互联网，需要确定哪些业务是必须要发布到互联网上，哪些是仅内部访问，公共互联网的服务数量越少，攻击者的攻击范围就越窄，从而遭受的安全风险就越小。

■定期进行安全测试发现存在的安全漏洞

企业公司IT管理人员需要定期对业务软件资产进行安全漏洞探测，一旦确定有公开暴露的服务，应使用漏洞扫描工具对其进行扫描。尽快修复扫描漏洞，同时日常也应该不定期关注软件厂商发布的安全漏洞信息和补丁信息，及时做好漏洞修复管理工作。

推荐工具 安全众测产品、VPC网络、安全组策略、主机安全、可管理的安全服务（MSS）

■常规的系统维护工作

制定并遵循实施IT软件安全配置，对操作系统和软件初始化安全加固，同时定期核查其有效性；

为Windows操作系统云服务器安装防病毒软件，并定期更新病毒库；

确保定期更新补丁；

确保开启日志记录功能，并集中进行管理和审计分析；

确保合理的分配账号、授权和审计功能，例如：为服务器、RDS数据库建立不同权限账号并启用审计功能，如果有条件，可以实施类似堡垒机、VPN等更严格的访问策略。

确保实施强密码策略，并定期更新维护，对于所有操作行为严格记录并审计；

确保对所有业务关键点进行实时监控，当发现异常时，立即介入处理。

推荐工具 主机安全产品

■重点关注业务代码安全

大部分安全问题由于程序员的不谨慎或者在无意识的情况下埋下了安全隐患。代码的安全直接影响到业务的风险，根据经验来看，代码层的安全需要程序员从一开始就将安全架构设计纳入到整体软件工程内，按照标准的软件开发流程，在每个环节内关联安全因素。以下是基于软件开发流程将安全管控点落实到流程中的最佳实践：

对于一般的企业来说，需要重点关注开发人员或软件服务提供上的安全编码和安全测试结果，尤其是对开发完毕的业务代码安全要进行代码审计评估和上线后的黑盒测试（也可以不定期地进行黑盒渗透测试）。

推荐工具 安全众测产品、Web应用防火墙（WAF）、SDL标准流程

■建立全局的外部威胁和情报感知能力

安全是动态的对抗的过程，就跟打仗一样，在安全事件发生之前，我们要时刻了解和识别外部不同各类风险，所以做安全的思路应该从防止安全入侵这种不可能的任务转到了防止损失这一系列的关键任务上。

防范措施必不可少，但是基于预警、响应的时间差也同样关键。而实现这种快速精准的预警能力需要对外面的信息了如指掌，切记“盲人摸象”，所以建立有效的监控和感知体系是实现安全管控措施是不可少的环节，更是安全防护体系策略落地的基础条件。

推荐工具 大数据安全分析平台，云上安全威胁态势感知系统

■建立安全事件应急响应流程和预案

就像前面说的一样，在安全攻防动态的过程中，我们可能很难100%地防御住所有的安全事件，也就是说，我们要为可能突发的安全事件准备好应急策略，在安全事件发生后，要通过组织快速响应、标准化的应急响应流程、规范的事件处置规范来降低安全事件发生的损失。

推荐工具 可管理的安全服务（MSS）、安全事件应急响应服务（SIEM）

从以上介绍看来，这些对抗攻击的方式并没有很高的难度。它们在企业信息安全日常实践中都是常用的安全措施。但大部分企业没有去做好基础防御工作，主要还是因为没有引起高度的重视，而一旦发生此类严重影响业务安全事件之后，后悔莫及。