“冰刃·安全大师”服务团队发现,近期为其提供应急响应服务的多家企业都是因为遭受勒索病毒的攻击,导致数据服务器被勒索病毒加密,从而向“冰刃”团队寻求帮助。“勒索病毒攻击”是老生常谈的话题,随着勒索病毒的不断演进升级,企业虽然知道其危害的严重性,但是在安全防范方面却仍有不足,甚至有些企业总认为被勒索病毒攻击离自己还很远,并没有真正重视起来。
这些遭受勒索病毒攻击的企业,都存在如下老生常谈的问题:
❶ 缺乏专业的安全人员
❷ 内网安全设备不完善
❸ 内网存在匿名访问
❹ 安装使用盗版软件或相关**工具
❺ 安全策略不完善
❻ 员工安全意识薄弱
而上述问题,一旦爆发就会导致漏洞出现,从而被攻击者(勒索病毒)入侵,严重时甚至会导致数据丢失、功能受阻,最终致使业务瘫痪。
我们发现:大部分企业在安全方面选择保持原状、停滞不前,对其自身安全重视程度不够。相较之下,勒索病毒的发展倒是一直在飞快“进步”。丁牛科技“冰刃·安全大师”服务团队从最近几次提供的应急响应服务中体会到勒索病毒具有如下特点:
❶ 更新速度迅速
勒索病毒更新迭代的速度,要远远超过文件解密**的速度。冰刃最新的勒索事件应急都是业内刚刚发现的病毒变种。
❷ 入侵方式简单
虽然勒索病毒花样繁多,更新迭代迅速,但入侵感染方式都没有太大改变。被勒索方对简单的入侵方式的重视程度依然不足。
❸ 解密难度极大
极难的解密与低端的技术传播途径形成鲜明对比,手段简单,危害巨大。
❹ 附加多种攻击手段
伴随着勒索病毒的不断升级,其攻击内容也从最开始的加密文件勒索赎金,升级到集挖矿、后门、远控、键盘记录、信息收集等多功能于一身的多攻击手段病毒。甚至发展成为一旦找第三方解密,就会产生自毁行为,造成不可挽回的损失。
综上所述,勒索病毒传播手段的技术含量虽然只有10%,但是对企业造成的危害可能远大于90%。丁牛科技“冰刃·安全大师”服务团队希望结合最新的应急事件,给企业提供一些实用高效的安全建议,让企业通过10%的安全投入,降低90%被勒索病毒攻击的可能性。
一、预防阶段
由于勒索病毒更新迅速,加密方式层出不穷,解密**速度远低于病毒更新速度。因此,与其后续事发补救,不如提早做好安全防御,让病毒无从入侵。这样,不仅省时省力,还极大的降低了可能由病毒引起的业务损失。
冰刃安全大师建议:在前期预防阶段,做好安全加固。
二、勒索阶段
当勒索病毒发生时,应当马上采取紧急措施,第一时间隔离感染机器,并确认感染源,同时请专业的安全团队进行应急响应。
冰刃安全大师建议:在勒索发生阶段,需尽快采取应急措施。
三、后期维护
在勒索病毒事件结束后,生产恢复阶段依旧不能掉以轻心,以防病毒复发卷土重来,或留下其他安全隐患。通常情况下,勒索病毒除加密文件勒索赎金外,还具有很多后门木马、隐藏挖矿等行为,应及时排查。
冰刃安全大师建议:在后期维护阶段,注意做好安全加固防护。
四、安全意识
在网络架构、系统策略、软硬件防护都很完备的情况下,依旧会受到勒索病毒的感染,甚至感染扩散范围极大。出现这种问题主要是由于维护或操作人员安全意识不足所导致的。
冰刃安全大师建议:应加强企业员工安全意识培养,从根本上提高企业自身的安全防御能力。
此外,企业内部应用程序的管控与设置,所有的软件都由IT部门统一从正规的网站进行下载,进行安全检测之后,再分发给企业内部员工,禁止员工自己从非正规的网站下载安装软件。
企业内部使用的office等软件,要进行安全设置,禁止宏运行,避免一些恶意软件通过宏病毒的方式感染主机。从来历不明的网站下载的一些文档,要经过安全检测才能打开使用,切不可直接双击运行。
可以不定期进行安全攻防演练,模拟攻击等,让员工了解黑客有哪些攻击手法,给员工进行勒索病毒感染实例讲解,用真实的勒索病毒样本,进行模拟感染攻击,让员工了解勒索病毒的危害。