當前，以勒索攻擊為代表的網(wǎng)絡攻擊危害持續(xù)加深，安全419關注到，中國信息通信研究院研究制定《勒索攻擊防護要點》，旨在聚焦風險化解重點環(huán)節(jié)，夯實風險防范基礎，切實加強勒索攻擊應急處置、安全加固等重點工作。

　　一、事前夯實風險防范基礎

　　01 全面摸清資產(chǎn)家底

　　全面梳理本單位資產(chǎn)情況，建立完善、定期更新本單位資產(chǎn)臺賬，明確資產(chǎn)歸屬責任主體，摸清資產(chǎn)底數(shù)。

　　定期開展安全基線排查和風險評估，全面掌握資產(chǎn)風險點位、安全措施等現(xiàn)狀，強化資產(chǎn)安全防護。

　　02 收斂互聯(lián)網(wǎng)暴露面

　　及時下線停用系統(tǒng)，按照最小化原則，減少資產(chǎn)在互聯(lián)網(wǎng)上暴露，特別是避免重要業(yè)務系統(tǒng)、數(shù)據(jù)庫等核心信息系統(tǒng)在互聯(lián)網(wǎng)上暴露。

　　關閉不必要的端口和服務，如遠程訪問服務3389端口和22端口，降低外來網(wǎng)絡攻擊風險。

　　03 開展風險隱患排查

　　定期開展漏洞隱患排查，針對采用的網(wǎng)絡產(chǎn)品，及時進行版本升級，第一時間修補漏洞。采用漏洞掃描設備和產(chǎn)品，對漏洞掃描設備進行集中管理，建立完整、持續(xù)的漏洞發(fā)現(xiàn)和管理手段，定期開展巡檢，將供應鏈廠商產(chǎn)品、駐場人員等納入網(wǎng)絡安全管理范疇，定期開展供應鏈安全風險隱患排查。

　　04 嚴格訪問控制

　　根據(jù)業(yè)務需要細致劃分隔離區(qū)、內(nèi)網(wǎng)區(qū)、接入?yún)^(qū)等網(wǎng)絡域，限制網(wǎng)絡域間的訪問，并通過防火墻限制惡意地址連接、遠程訪問數(shù)據(jù)庫等。

　　按照權限最小化原則開放必要的訪問權限，及時更新訪問控制規(guī)則。

　　采用動態(tài)口令等兩種或兩種以上進行身份鑒別，用戶口令長度應不低于8位并定期更新。

　　05 備份重要數(shù)據(jù)

　　根據(jù)系統(tǒng)、文件和數(shù)據(jù)的重要程度分類分級進行數(shù)據(jù)存儲和備份，主動加密存儲和定期備份包括不同業(yè)務系統(tǒng)、存儲位置等多源異構數(shù)據(jù)在內(nèi)的重要敏感數(shù)據(jù)，并及時更新備份數(shù)據(jù)。對存儲重要敏感數(shù)據(jù)的硬件設備采取全盤加密、加密存儲數(shù)據(jù)的扇區(qū)等措施，防范因勒索攻擊引發(fā)的數(shù)據(jù)泄露事件。

　　06 強化安全監(jiān)測

　　在網(wǎng)絡側，部署流量監(jiān)測、阻斷等類型網(wǎng)絡安全防護手段，加強針對勒索病毒通聯(lián)行為的實時監(jiān)測、封堵處置。

　　在終端側，安裝具有主動防御功能的安全軟件，不隨意退出安全軟件、關閉防護功能等，并設立和定期更新應用軟件白名單。

　　07 提升安全意識

　　以培訓、演練等形式提升勒索攻擊風險防范意識：不點擊來源不明的郵件附件；打開郵件附件前進行安全查殺；不從不明網(wǎng)站下載軟件；不輕易運行腳本文件和可執(zhí)行程序；不混用工作和私人外接設備；在工作設備與移動存儲設備外接時，關閉移動存儲設備自動播放功能并定期進行安全查殺。

　　08 制定應急預案

　　制定涵蓋勒索攻擊在內(nèi)的網(wǎng)絡安全突發(fā)事件應急預案，明確牽頭部門、職責分工、應急流程和關鍵舉措，一旦發(fā)生勒索攻擊事件，立即啟動預案，第一時間開展應急處置工作。綜合采取實戰(zhàn)攻防、沙盤推演等形式，開展以勒索攻擊應急處置為核心的網(wǎng)絡安全演練，提升實戰(zhàn)化攻擊防御能力。

　　二、事中做好攻擊應急響應

　　09 隔離感染設備

　　確認遭受勒索攻擊后，立即采取斷網(wǎng)、斷電的方式隔離勒索病毒感染設備，關閉設備無線網(wǎng)絡、藍牙連接等，禁用網(wǎng)卡并拔掉感染設備全部外部存儲設備。立即修改感染設備的登錄密碼、同一局域網(wǎng)下的其他設備密碼、最高級系統(tǒng)管理員賬號登錄密碼等。

　　10 排查感染范圍

　　在已隔離感染設備的情況下，對勒索攻擊影響業(yè)務系統(tǒng)、生產(chǎn)系統(tǒng)及備份數(shù)據(jù)等情況進行排查，根據(jù)感染設備異常訪問、非法外聯(lián)等情況，排查數(shù)據(jù)泄霍情況，確認勸索攻擊影響。

　　對于感染情況不明的設備，提前進行磁盤備份，在隔離網(wǎng)內(nèi)現(xiàn)場或線上排查，避免啟動設備時因殘留勒索病毒再次感染。

　　11 研判攻擊事件

　　通過感染的勒索病毒涉及的勒索信息、加密文件、可疑樣本、彈窗信息等對勒索病毒進行分析，提取勒索病毒通信特征、樣本文件和傳播途徑等重要信息，并通過本地網(wǎng)絡日志信息、勒索病毒樣本文件等研判勒索攻擊入侵渠道。

　　第一時間向地方通信主管部門報告勒索攻擊事件。

　　12 及時開展處置

　　充分調(diào)動本單位內(nèi)部網(wǎng)絡安全力量處置勒索攻擊事件，將勒索病毒主控端惡意域名、惡意 IP 地址等加入本單位網(wǎng)絡通信黑名單，阻斷通聯(lián)行為。

　　利用勒索病毒解密工具、已公開的加密密鑰、數(shù)據(jù)加密缺陷等嘗試破解勒索病毒，恢復加密數(shù)據(jù)。

　　必要時，積極聯(lián)系具備應對勒索攻擊專業(yè)能力的網(wǎng)絡安全企業(yè)、機構等尋求協(xié)助。

　　三、事后開展網(wǎng)絡安全加固

　　13 利用備份數(shù)據(jù)恢復數(shù)據(jù)

　　根據(jù)遭受勒索攻擊影響相關設備數(shù)據(jù)備份的情況，綜合衡量恢復數(shù)據(jù)的時間成本和重要程度等因素，確認數(shù)據(jù)恢復范圍、順序及備份數(shù)據(jù)版本，利用備份數(shù)據(jù)進行數(shù)據(jù)恢復。

　　14 排查修補網(wǎng)絡安全風險

　　深入排查和整改勒索攻擊利用的網(wǎng)絡安全防護薄弱環(huán)節(jié)，重點排查弱口令、賬戶權限、口令更新和共用等問題，及時更新系統(tǒng)、軟件、硬件等版本并修補漏洞。

　　15 更新網(wǎng)絡安全管理措施

　　根據(jù)勒索攻擊事件暴露出網(wǎng)絡安全的問題，針對性修訂完善網(wǎng)絡安全管工作理制度，對遭受的勒索攻擊事件進行復盤分析，并更新網(wǎng)絡安全突發(fā)事件應急預案。

　　16 補齊網(wǎng)絡安全技術能力

　　綜合勒索攻擊事件情況，深入查找本單位網(wǎng)絡安全技術能力短板弱項，補齊補強覆蓋網(wǎng)絡安全威脅風險預警、監(jiān)測處置、指揮調(diào)度等技術能力，強化勒索攻擊防范應對。

　　四、做好保障服務支撐

　　17 強化勒索攻擊全網(wǎng)監(jiān)測預警

　　綜合運用基礎電信網(wǎng)絡監(jiān)測處置技術手段，強化勒索病毒感染、通聯(lián)等惡意行為實時監(jiān)測，及時預警重大勒索攻擊風險。

　　根據(jù)勒索病毒特征，加強針對勒索病毒主控端惡意域名、惡意 IP 地址等的全網(wǎng)封堵，及時阻斷勒索病毒傳播。

　　18 加強勒索攻擊威脅信息共享

　　依托網(wǎng)絡安全威脅信息共享工作機制，匯聚勒索病毒樣本特征、攻擊情報等信息，進一步加強勒索攻擊威脅信息共享，指導強化勒索攻擊防范應對工作，加快提升勒索攻擊防御合力。

更多信息可以來這里獲取==>>電子技術應用-AET<<