當(dāng)前，以勒索攻擊為代表的網(wǎng)絡(luò)攻擊危害持續(xù)加深，安全419關(guān)注到，中國(guó)信息通信研究院研究制定《勒索攻擊防護(hù)要點(diǎn)》，旨在聚焦風(fēng)險(xiǎn)化解重點(diǎn)環(huán)節(jié)，夯實(shí)風(fēng)險(xiǎn)防范基礎(chǔ)，切實(shí)加強(qiáng)勒索攻擊應(yīng)急處置、安全加固等重點(diǎn)工作。

　　一、事前夯實(shí)風(fēng)險(xiǎn)防范基礎(chǔ)

　　01 全面摸清資產(chǎn)家底

　　全面梳理本單位資產(chǎn)情況，建立完善、定期更新本單位資產(chǎn)臺(tái)賬，明確資產(chǎn)歸屬責(zé)任主體，摸清資產(chǎn)底數(shù)。

　　定期開展安全基線排查和風(fēng)險(xiǎn)評(píng)估，全面掌握資產(chǎn)風(fēng)險(xiǎn)點(diǎn)位、安全措施等現(xiàn)狀，強(qiáng)化資產(chǎn)安全防護(hù)。

　　02 收斂互聯(lián)網(wǎng)暴露面

　　及時(shí)下線停用系統(tǒng)，按照最小化原則，減少資產(chǎn)在互聯(lián)網(wǎng)上暴露，特別是避免重要業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)等核心信息系統(tǒng)在互聯(lián)網(wǎng)上暴露。

　　關(guān)閉不必要的端口和服務(wù)，如遠(yuǎn)程訪問服務(wù)3389端口和22端口，降低外來網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。

　　03 開展風(fēng)險(xiǎn)隱患排查

　　定期開展漏洞隱患排查，針對(duì)采用的網(wǎng)絡(luò)產(chǎn)品，及時(shí)進(jìn)行版本升級(jí)，第一時(shí)間修補(bǔ)漏洞。采用漏洞掃描設(shè)備和產(chǎn)品，對(duì)漏洞掃描設(shè)備進(jìn)行集中管理，建立完整、持續(xù)的漏洞發(fā)現(xiàn)和管理手段，定期開展巡檢，將供應(yīng)鏈廠商產(chǎn)品、駐場(chǎng)人員等納入網(wǎng)絡(luò)安全管理范疇，定期開展供應(yīng)鏈安全風(fēng)險(xiǎn)隱患排查。

　　04 嚴(yán)格訪問控制

　　根據(jù)業(yè)務(wù)需要細(xì)致劃分隔離區(qū)、內(nèi)網(wǎng)區(qū)、接入?yún)^(qū)等網(wǎng)絡(luò)域，限制網(wǎng)絡(luò)域間的訪問，并通過防火墻限制惡意地址連接、遠(yuǎn)程訪問數(shù)據(jù)庫(kù)等。

　　按照權(quán)限最小化原則開放必要的訪問權(quán)限，及時(shí)更新訪問控制規(guī)則。

　　采用動(dòng)態(tài)口令等兩種或兩種以上進(jìn)行身份鑒別，用戶口令長(zhǎng)度應(yīng)不低于8位并定期更新。

　　05 備份重要數(shù)據(jù)

　　根據(jù)系統(tǒng)、文件和數(shù)據(jù)的重要程度分類分級(jí)進(jìn)行數(shù)據(jù)存儲(chǔ)和備份，主動(dòng)加密存儲(chǔ)和定期備份包括不同業(yè)務(wù)系統(tǒng)、存儲(chǔ)位置等多源異構(gòu)數(shù)據(jù)在內(nèi)的重要敏感數(shù)據(jù)，并及時(shí)更新備份數(shù)據(jù)。對(duì)存儲(chǔ)重要敏感數(shù)據(jù)的硬件設(shè)備采取全盤加密、加密存儲(chǔ)數(shù)據(jù)的扇區(qū)等措施，防范因勒索攻擊引發(fā)的數(shù)據(jù)泄露事件。

　　06 強(qiáng)化安全監(jiān)測(cè)

　　在網(wǎng)絡(luò)側(cè)，部署流量監(jiān)測(cè)、阻斷等類型網(wǎng)絡(luò)安全防護(hù)手段，加強(qiáng)針對(duì)勒索病毒通聯(lián)行為的實(shí)時(shí)監(jiān)測(cè)、封堵處置。

　　在終端側(cè)，安裝具有主動(dòng)防御功能的安全軟件，不隨意退出安全軟件、關(guān)閉防護(hù)功能等，并設(shè)立和定期更新應(yīng)用軟件白名單。

　　07 提升安全意識(shí)

　　以培訓(xùn)、演練等形式提升勒索攻擊風(fēng)險(xiǎn)防范意識(shí)：不點(diǎn)擊來源不明的郵件附件；打開郵件附件前進(jìn)行安全查殺；不從不明網(wǎng)站下載軟件；不輕易運(yùn)行腳本文件和可執(zhí)行程序；不混用工作和私人外接設(shè)備；在工作設(shè)備與移動(dòng)存儲(chǔ)設(shè)備外接時(shí)，關(guān)閉移動(dòng)存儲(chǔ)設(shè)備自動(dòng)播放功能并定期進(jìn)行安全查殺。

　　08 制定應(yīng)急預(yù)案

　　制定涵蓋勒索攻擊在內(nèi)的網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案，明確牽頭部門、職責(zé)分工、應(yīng)急流程和關(guān)鍵舉措，一旦發(fā)生勒索攻擊事件，立即啟動(dòng)預(yù)案，第一時(shí)間開展應(yīng)急處置工作。綜合采取實(shí)戰(zhàn)攻防、沙盤推演等形式，開展以勒索攻擊應(yīng)急處置為核心的網(wǎng)絡(luò)安全演練，提升實(shí)戰(zhàn)化攻擊防御能力。

　　二、事中做好攻擊應(yīng)急響應(yīng)

　　09 隔離感染設(shè)備

　　確認(rèn)遭受勒索攻擊后，立即采取斷網(wǎng)、斷電的方式隔離勒索病毒感染設(shè)備，關(guān)閉設(shè)備無線網(wǎng)絡(luò)、藍(lán)牙連接等，禁用網(wǎng)卡并拔掉感染設(shè)備全部外部存儲(chǔ)設(shè)備。立即修改感染設(shè)備的登錄密碼、同一局域網(wǎng)下的其他設(shè)備密碼、最高級(jí)系統(tǒng)管理員賬號(hào)登錄密碼等。

　　10 排查感染范圍

　　在已隔離感染設(shè)備的情況下，對(duì)勒索攻擊影響業(yè)務(wù)系統(tǒng)、生產(chǎn)系統(tǒng)及備份數(shù)據(jù)等情況進(jìn)行排查，根據(jù)感染設(shè)備異常訪問、非法外聯(lián)等情況，排查數(shù)據(jù)泄霍情況，確認(rèn)勸索攻擊影響。

　　對(duì)于感染情況不明的設(shè)備，提前進(jìn)行磁盤備份，在隔離網(wǎng)內(nèi)現(xiàn)場(chǎng)或線上排查，避免啟動(dòng)設(shè)備時(shí)因殘留勒索病毒再次感染。

　　11 研判攻擊事件

　　通過感染的勒索病毒涉及的勒索信息、加密文件、可疑樣本、彈窗信息等對(duì)勒索病毒進(jìn)行分析，提取勒索病毒通信特征、樣本文件和傳播途徑等重要信息，并通過本地網(wǎng)絡(luò)日志信息、勒索病毒樣本文件等研判勒索攻擊入侵渠道。

　　第一時(shí)間向地方通信主管部門報(bào)告勒索攻擊事件。

　　12 及時(shí)開展處置

　　充分調(diào)動(dòng)本單位內(nèi)部網(wǎng)絡(luò)安全力量處置勒索攻擊事件，將勒索病毒主控端惡意域名、惡意 IP 地址等加入本單位網(wǎng)絡(luò)通信黑名單，阻斷通聯(lián)行為。

　　利用勒索病毒解密工具、已公開的加密密鑰、數(shù)據(jù)加密缺陷等嘗試破解勒索病毒，恢復(fù)加密數(shù)據(jù)。

　　必要時(shí)，積極聯(lián)系具備應(yīng)對(duì)勒索攻擊專業(yè)能力的網(wǎng)絡(luò)安全企業(yè)、機(jī)構(gòu)等尋求協(xié)助。

　　三、事后開展網(wǎng)絡(luò)安全加固

　　13 利用備份數(shù)據(jù)恢復(fù)數(shù)據(jù)

　　根據(jù)遭受勒索攻擊影響相關(guān)設(shè)備數(shù)據(jù)備份的情況，綜合衡量恢復(fù)數(shù)據(jù)的時(shí)間成本和重要程度等因素，確認(rèn)數(shù)據(jù)恢復(fù)范圍、順序及備份數(shù)據(jù)版本，利用備份數(shù)據(jù)進(jìn)行數(shù)據(jù)恢復(fù)。

　　14 排查修補(bǔ)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

　　深入排查和整改勒索攻擊利用的網(wǎng)絡(luò)安全防護(hù)薄弱環(huán)節(jié)，重點(diǎn)排查弱口令、賬戶權(quán)限、口令更新和共用等問題，及時(shí)更新系統(tǒng)、軟件、硬件等版本并修補(bǔ)漏洞。

　　15 更新網(wǎng)絡(luò)安全管理措施

　　根據(jù)勒索攻擊事件暴露出網(wǎng)絡(luò)安全的問題，針對(duì)性修訂完善網(wǎng)絡(luò)安全管工作理制度，對(duì)遭受的勒索攻擊事件進(jìn)行復(fù)盤分析，并更新網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案。

　　16 補(bǔ)齊網(wǎng)絡(luò)安全技術(shù)能力

　　綜合勒索攻擊事件情況，深入查找本單位網(wǎng)絡(luò)安全技術(shù)能力短板弱項(xiàng)，補(bǔ)齊補(bǔ)強(qiáng)覆蓋網(wǎng)絡(luò)安全威脅風(fēng)險(xiǎn)預(yù)警、監(jiān)測(cè)處置、指揮調(diào)度等技術(shù)能力，強(qiáng)化勒索攻擊防范應(yīng)對(duì)。

　　四、做好保障服務(wù)支撐

　　17 強(qiáng)化勒索攻擊全網(wǎng)監(jiān)測(cè)預(yù)警

　　綜合運(yùn)用基礎(chǔ)電信網(wǎng)絡(luò)監(jiān)測(cè)處置技術(shù)手段，強(qiáng)化勒索病毒感染、通聯(lián)等惡意行為實(shí)時(shí)監(jiān)測(cè)，及時(shí)預(yù)警重大勒索攻擊風(fēng)險(xiǎn)。

　　根據(jù)勒索病毒特征，加強(qiáng)針對(duì)勒索病毒主控端惡意域名、惡意 IP 地址等的全網(wǎng)封堵，及時(shí)阻斷勒索病毒傳播。

　　18 加強(qiáng)勒索攻擊威脅信息共享

　　依托網(wǎng)絡(luò)安全威脅信息共享工作機(jī)制，匯聚勒索病毒樣本特征、攻擊情報(bào)等信息，進(jìn)一步加強(qiáng)勒索攻擊威脅信息共享，指導(dǎo)強(qiáng)化勒索攻擊防范應(yīng)對(duì)工作，加快提升勒索攻擊防御合力。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<