网信安全
    首页
    网信安全
    正文
    勒索病毒安全防护要点
    时间:2022年11月23日 14:52

     

    1.事前夯实风险防范基础

    (1) 全面摸清资产家底

    全面梳理本单位资产情况,建立完善、定期更新本单位资产台账,明确资产归属责任主体,摸清资产底数。

    定期开展安全基线排查和风险评估,全面掌握资产风险点位、安全措施等现状,强化资产安全防护。

    (2) 收敛互联网暴露面

    及时下线停用系统,按照最小化原则,减少资产在互联网上暴露,特别是避免重要业务系统、数据库等核心信息系统在互联网上暴露。

    关闭不必要的端口和服务,如远程访问服务3389端口和22端口,降低外来网络攻击风险。

    (3) 开展风险隐患排查

    定期开展漏洞隐患排查,针对采用的网络产品,及时进行版本升级,第一时间修补漏洞,采用漏洞扫描设备和产品的,对漏洞扫描设备进行集中管理,建立完整、持续的漏洞发现和管理手段,定期开展巡检,将供应链厂商产品,驻场人员等纳入网络安全管理范畴,定期开展供应链安全风险隐患排查。

    (4) 严格访问控制

    根据业务需要细致划分隔离区、内网区、接入区等网络域,限制网络域间的访问,并通过防火墙限制恶意地址连接、远程访问数据库等。

    按照权限最小化原则开放必要的访问权限,及时更新访问控制规则。

    采用动态口令等两种或两种以上进行身份鉴别,用户口令长度应不低于8位并定期更新。

    (5) 备份重要数据

    根据系统、文件和数据的重要程度分类分级进行数据存储和备份,主动加密存储和定期备份包括不同业务系统、存储位置等多源异构数据在内的重要敏感数据,并及时更新备份数据。

    对存储重要敏感数据的硬件设备采取全盘加密,加密存储数据的扇区等措施,防范因勒索攻击引发的数据泄露事件。

    (6) 强化安全监测

    在网络侧,部署流量监测、阻断等类型网络安全防护手段,加强针对勒索病毒通联行为的实时监测、封堵处置。

    在终端侧,安装具有主动防御功能的安全软件,不随意退出安全软件、关闭防护功能等,并设立和定期更新应用软件白名单。

    (7) 提升安全意识

    以培训、演练等形式提升勒索攻击风险防范意识。

    如:不点击来源不明的邮件附件;打开邮件附件前进行安全查杀;不从不明网站下载软件;不轻易运行脚本文件和可执行程序;不混用工作和私人外接设备;在工作设备与移动存储设备外接时,关闭移动存储设备自动播放功能并定期进行安全查杀。

    (8) 制定应急预案

    制定涵盖勒索攻击在内的网络安全突发事件应急预案,明确牵头部门、职责分工、应急流程和关键举措,一旦发生勒索攻击事件,立即启动预案,第一时间开展应急处置工作。

    综合采取实战攻防、沙盘推演等形式,开展以勒索攻击应急处置为核心的网络安全演练,提升实战化攻击防御能力。

    2.事中做好攻击应急响应

    (1) 隔离感染设备

    确认遭受勒索攻击后,立即采取断网、断电的方式隔离勒索病毒感染设备,关闭设备无线网络、蓝牙连接等,禁用网卡并拔掉感染设备全部外部存储设备。立即修改感染设备的登录密码、同一局域网下的其他设备密码、最高级系统管理员账号登录密码等。

    (2) 排查感染范围

    在已隔离感染设备的情况下,对勒索攻击影响业务系统、生产系统及备份数据等情况进行排查,根据感染设备异常访问、非法外联等情况,排查数据泄露情况,确认勒索攻击影响。

    对于感染情况不明的设备,提前进行磁盘备份,在隔离网内现场或线上排查,避免启动设备时因残留勒索病毒再次感染。

    (3) 研判攻击事件

    通过感染的勒索病毒涉及的勒索信息、加密文件、可疑样本、弹窗信息等对勒索病毒进行分析,提取勒索病毒通信特征、样本文件和传播途径等重要信息,并通过本地网络日志信息、勒索病毒样本文件等研判勒索攻击入侵渠道。第一时间向地方通信主管部门报告勒索攻击事件。

    (4) 及时开展处置

    充分调动本单位内部网络安全力量处置勒索攻击事件,将勒索病毒主控端恶意域名、恶意IP地址等加入本单位网络通信黑名单,阻断通联行为。

    利用勒索病毒解密工具、已公开的加密密钥、数据加密缺陷等尝试破解勒索病毒,恢复加密数据。

    必要时,积极联系具备应对勒索攻击专业能力的网络安全企业、机构等寻求协助。

    3.事后开展网络安全加固

    (1) 利用备份数据恢复数据

    根据遭受勒索攻击影响相关设备数据备份的情况,综合衡量恢复数据的时间成本和重要程度等因素,确认数据恢复范围、顺序及备份数据版本,利用备份数据进行数据恢复。

    (2) 排查修补网络安全风险

    深入排查和整改勒索攻击利用的网络安全防护薄强环节,重点排查弱口令、账户权限、口令更新和共用等问题,及时更新系统、软件、硬件等版本并修补漏洞。

    (3) 更新网络安全管理措施

    根据勒索攻击事件暴露出网络安全的问题,针对性修订完善网络安全管理工作制度,对遭受的勒索攻击事件进行复盘分析,并更新网络安全突发事件应急预案。

    (4) 补齐网络安全技术能力

    综合勒索攻击事件情况,深入查找本单位网络安全技术能力短板弱项,补齐补强覆盖网络安全威胁风险预警、监测处置、指挥调度等技术能力,强化勒索攻击防范应对。

    4.做好保障服务支撑

    (1) 强化勒索攻击全网监测预警

    综合运用基础电信网络监测处置技术手段,强化勒索病毒感染、通联等恶意行为实时监测,及时预警重大勒索攻击风险。

    根据勒索病毒特征,加强针对勒索病毒主控端恶意域名、恶意IP地址等的全网封堵,及时阻断勒索病毒传播。

    (2) 加强勒索攻击威胁信息共享

    依托网络安全威胁信息共享工作机制,汇聚勒索病毒样本特征、攻击情报等信息,进一步加强勒索攻击威胁信息共享,指导强化勒索攻击防范应对工作,加快提升勒索攻击防御合力。

    来源:http://www.ha.edu.cn/Ransomware/article.html?c=keypoint_0

    http://www.ha.edu.cn/Ransomware/article.html?c=keypoint_1

    http://www.ha.edu.cn/Ransomware/article.html?c=keypoint_2

    http://www.ha.edu.cn/Ransomware/article.html?c=keypoint_3    


    © 洛阳师范学院信息化中心 2022

    制作维护:洛阳师范学院信息化中心