6月10日，一則名為“某企業(yè)全球業(yè)務(wù)遭勒索軟件攻擊，部分產(chǎn)線被迫暫停運(yùn)營”的消息進(jìn)入了網(wǎng)絡(luò)安全行業(yè)的視野。經(jīng)該企業(yè)證實(shí)，這是一起網(wǎng)絡(luò)攻擊事件，導(dǎo)致其全球部分業(yè)務(wù)陷入停頓狀態(tài)。早期的一份報(bào)告表明Snake勒索軟件可能是罪魁禍?zhǔn)?。和其他文件加密惡意軟件一樣，Snake會(huì)將文件和文檔混亂，攻擊者以此作為威脅要求支付加密貨幣贖金。其實(shí)早在此之前，該公司就發(fā)布過一條推文，聲明其客戶服務(wù)和金融服務(wù)因黑客攻擊“不可用”。

[[331006]]

無獨(dú)有偶，4月27日，B 站知名 UP 主“機(jī)智的黨妹”發(fā)布了一個(gè)視頻——《我被勒索了!》。據(jù)視頻介紹，黨妹遭遇網(wǎng)絡(luò)攻擊，并被黑客勒索，公司花費(fèi)十幾萬在內(nèi)部網(wǎng)絡(luò)搭建的一個(gè) NAS 系統(tǒng)，卻在4月26 日(即投入使用第一天)遭遇黑客攻擊，導(dǎo)致現(xiàn)階段所有正在制作的視頻素材全部被勒索軟件加密，無法打開。

近年來，企業(yè)受到勒索病毒攻擊的事件層出不窮，帶來了很多嚴(yán)重危害。隨著企業(yè)上云，云上企業(yè)面對勒索病毒是否更安全?又應(yīng)該如何防范呢?云鼎實(shí)驗(yàn)室作為騰訊云安全的護(hù)航者，一直以來都致力于打造最安全的產(chǎn)業(yè)云。針對此類情況，騰訊安全云鼎實(shí)驗(yàn)室專家也有些建議。

如何甄別是否感染勒索病毒

通常來說勒索病毒都會(huì)有一系列惡意行為，主要包括對服務(wù)器的所有文件或僅對數(shù)據(jù)庫文件進(jìn)行加密(一般同時(shí)使用多種標(biāo)準(zhǔn)加密算法進(jìn)行加密，比如AES、RSA);修改桌面壁紙或彈出提示窗口，顯示勒索消息向受害者索要解密贖金(通常要求受害者限時(shí)內(nèi)繳納數(shù)字貨幣)。

而他們常見攻擊手段通常會(huì)有口令爆破攻擊、釣魚郵件攻擊、利用系統(tǒng)與軟件漏洞攻擊和網(wǎng)站掛馬攻擊等。這些攻擊手段都會(huì)造成嚴(yán)重危害重要業(yè)務(wù)數(shù)據(jù)庫遭受攻擊，丟失業(yè)務(wù)數(shù)據(jù)，導(dǎo)致業(yè)務(wù)中斷。即使根據(jù)指引按時(shí)繳納贖金，仍無法保證數(shù)據(jù)的恢復(fù)，造成雙重?fù)p失。

當(dāng)服務(wù)器、數(shù)據(jù)庫無法正常運(yùn)作(比如服務(wù)器無法登錄);訪問服務(wù)器、數(shù)據(jù)庫出現(xiàn)勒索提示信息(比如連接服務(wù)器或數(shù)據(jù)庫時(shí)出現(xiàn)索要贖金信息);文件名被修改，添加后綴名(比如在文件名后添加隨機(jī)字符)，那么你很有可能已經(jīng)成為勒索病毒的受害者。

云上勒索病毒，企業(yè)應(yīng)如何防范

勒索病毒的不斷涌現(xiàn)，首當(dāng)其沖要做的就是維護(hù)租戶安全。企業(yè)端面對高危端口應(yīng)通過漏洞管理、基線檢查的角度主動(dòng)發(fā)現(xiàn)潛在的漏洞風(fēng)險(xiǎn)，構(gòu)建安全防線，并通過病毒查殺引擎實(shí)現(xiàn)主動(dòng)防御。同時(shí)也要在事前做好數(shù)據(jù)的備份，事后進(jìn)行數(shù)據(jù)的恢復(fù)和解密，有效挽回?fù)p失。騰訊安全云鼎實(shí)驗(yàn)室專家提出了一些建議。

從租戶安全角度出發(fā)。一方面企業(yè)要做好基礎(chǔ)安全防護(hù)工作，如針對基礎(chǔ)操作系統(tǒng)默認(rèn)配置(高危服務(wù)端口、口令策略等)進(jìn)行安全加固，收斂云上風(fēng)險(xiǎn)資產(chǎn)面;另一方面，建議關(guān)注騰訊云官方安全公告漏洞情報(bào)，針對新出現(xiàn)的漏洞，及時(shí)進(jìn)行掃描和修復(fù)處置，避免新增安全威脅影響業(yè)務(wù)正常運(yùn)行;

與此同時(shí)，關(guān)注人為帶來的安全隱患或風(fēng)險(xiǎn)，針對內(nèi)部業(yè)務(wù)、運(yùn)維操作等開展定期日志審計(jì)，同時(shí)可利用騰訊云安全運(yùn)營中心提供的泄露監(jiān)測功能(免費(fèi))，配置自定義規(guī)則，進(jìn)行主動(dòng)和被動(dòng)監(jiān)測，及時(shí)發(fā)現(xiàn)人為疏忽導(dǎo)致的敏感信息泄露行為;

最后，就是梳理核心業(yè)務(wù)場景，構(gòu)建以業(yè)務(wù)為中心的安全防護(hù)體系，針對業(yè)務(wù)數(shù)據(jù)流、業(yè)務(wù)支撐組件以及業(yè)務(wù)入口、業(yè)務(wù)敏感憑據(jù)進(jìn)行全面梳理，進(jìn)行專項(xiàng)建設(shè)優(yōu)化和持續(xù)運(yùn)營。

為最大程度的保障云上租戶安全，云鼎實(shí)驗(yàn)室構(gòu)建了以主動(dòng)響應(yīng)為主的“租戶安全運(yùn)營中臺”能力，通過云原生威脅情報(bào)、云漏洞情報(bào)、全局漏洞防護(hù)、基礎(chǔ)安全大數(shù)據(jù)分析及威脅監(jiān)測等手段，實(shí)時(shí)分析全云安全態(tài)勢，及時(shí)阻斷云上批量漏洞利用行為。

截至目前，該中臺的漏洞情報(bào)能力已經(jīng)覆蓋數(shù)百個(gè)情報(bào)源，并服務(wù)于騰訊云100萬臺以上的服務(wù)器和數(shù)千家大客戶，能夠在分鐘級定位新出現(xiàn)的安全漏洞及影響范圍，在日級以內(nèi)實(shí)現(xiàn)全網(wǎng)的安全漏洞處置。

與此同時(shí)，騰訊云還面向用戶構(gòu)建的云端漏洞封堵能力和數(shù)據(jù)泄露監(jiān)測能力，前者可實(shí)現(xiàn)用戶側(cè)無感知批量漏洞利用防護(hù)，后者則提供全流程的敏感憑據(jù)泄露防護(hù)解決方案，該方案通過事前憑據(jù)加固實(shí)踐、事中提供托管式管理、加密、輪換等操作憑據(jù)管理系統(tǒng)以及事后提供的主動(dòng)+被動(dòng)的敏感憑據(jù)泄露監(jiān)測能力，可以幫助用戶在敏感憑據(jù)管理的全生命周期規(guī)避泄露風(fēng)險(xiǎn)，此次全球SNAKES勒索事件所使用的惡意軟件，則包含了檢查程序代碼中硬編碼(如內(nèi)部系統(tǒng)名稱和相關(guān)公共IP地址)行為。

除了保障云上租戶安全外，從數(shù)據(jù)安全角度，在做好日常數(shù)據(jù)的備份基礎(chǔ)上，我們還有三個(gè)建議。

首先在數(shù)據(jù)生產(chǎn)之初，重點(diǎn)關(guān)注數(shù)據(jù)的分類、治理和策略。明確哪些是機(jī)密數(shù)據(jù)、敏感數(shù)據(jù)、普通數(shù)據(jù)，進(jìn)而根據(jù)數(shù)據(jù)的不同等級，設(shè)置不同的安全策略。

其次，重視異常事件監(jiān)測分析。一方面為企業(yè)提供運(yùn)維人員操作審計(jì)，對異常行為進(jìn)行告警，防止內(nèi)部數(shù)據(jù)泄密，一方面對數(shù)據(jù)庫運(yùn)行進(jìn)行智能化審計(jì)，對數(shù)據(jù)庫運(yùn)行過程中的潛在風(fēng)險(xiǎn)進(jìn)行挖掘，及時(shí)發(fā)現(xiàn)每一條異常行為并予以攔截。

最后還要加強(qiáng)數(shù)據(jù)存儲災(zāi)備和恢復(fù)能力，確保系統(tǒng)在遭受災(zāi)難時(shí)數(shù)據(jù)的安全，以及業(yè)務(wù)的快速恢復(fù)。

總的來說，面對頻發(fā)的企業(yè)云上勒索事件，云鼎實(shí)驗(yàn)室方面建議大家事前做好相應(yīng)的防御，做好數(shù)據(jù)的監(jiān)測備份和服務(wù)器的加固。當(dāng)遇到此類問題的時(shí)候還要有良好的應(yīng)急機(jī)制，拒絕交付贖金，利用防火墻等進(jìn)行訪問控制，隔離感染機(jī)器。事后記得進(jìn)行數(shù)據(jù)恢復(fù)或數(shù)據(jù)解密，挽回重要數(shù)據(jù)，進(jìn)行安全加固，防止再次感染，恢復(fù)正常運(yùn)作。