當(dāng)前，以勒索攻擊為代表的網(wǎng)絡(luò)攻擊危害持續(xù)加深，安全419關(guān)注到，中國信息通信研究院研究制定《勒索攻擊防護要點》，旨在聚焦風(fēng)險化解重點環(huán)節(jié)，夯實風(fēng)險防范基礎(chǔ)，切實加強勒索攻擊應(yīng)急處置、安全加固等重點工作。

　　一、事前夯實風(fēng)險防范基礎(chǔ)

　　01 全面摸清資產(chǎn)家底

　　全面梳理本單位資產(chǎn)情況，建立完善、定期更新本單位資產(chǎn)臺賬，明確資產(chǎn)歸屬責(zé)任主體，摸清資產(chǎn)底數(shù)。

　　定期開展安全基線排查和風(fēng)險評估，全面掌握資產(chǎn)風(fēng)險點位、安全措施等現(xiàn)狀，強化資產(chǎn)安全防護。

　　02 收斂互聯(lián)網(wǎng)暴露面

　　及時下線停用系統(tǒng)，按照最小化原則，減少資產(chǎn)在互聯(lián)網(wǎng)上暴露，特別是避免重要業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫等核心信息系統(tǒng)在互聯(lián)網(wǎng)上暴露。

　　關(guān)閉不必要的端口和服務(wù)，如遠程訪問服務(wù)3389端口和22端口，降低外來網(wǎng)絡(luò)攻擊風(fēng)險。

　　03 開展風(fēng)險隱患排查

　　定期開展漏洞隱患排查，針對采用的網(wǎng)絡(luò)產(chǎn)品，及時進行版本升級，第一時間修補漏洞。采用漏洞掃描設(shè)備和產(chǎn)品，對漏洞掃描設(shè)備進行集中管理，建立完整、持續(xù)的漏洞發(fā)現(xiàn)和管理手段，定期開展巡檢，將供應(yīng)鏈廠商產(chǎn)品、駐場人員等納入網(wǎng)絡(luò)安全管理范疇，定期開展供應(yīng)鏈安全風(fēng)險隱患排查。

　　04 嚴(yán)格訪問控制

　　根據(jù)業(yè)務(wù)需要細致劃分隔離區(qū)、內(nèi)網(wǎng)區(qū)、接入?yún)^(qū)等網(wǎng)絡(luò)域，限制網(wǎng)絡(luò)域間的訪問，并通過防火墻限制惡意地址連接、遠程訪問數(shù)據(jù)庫等。

　　按照權(quán)限最小化原則開放必要的訪問權(quán)限，及時更新訪問控制規(guī)則。

　　采用動態(tài)口令等兩種或兩種以上進行身份鑒別，用戶口令長度應(yīng)不低于8位并定期更新。

　　05 備份重要數(shù)據(jù)

　　根據(jù)系統(tǒng)、文件和數(shù)據(jù)的重要程度分類分級進行數(shù)據(jù)存儲和備份，主動加密存儲和定期備份包括不同業(yè)務(wù)系統(tǒng)、存儲位置等多源異構(gòu)數(shù)據(jù)在內(nèi)的重要敏感數(shù)據(jù)，并及時更新備份數(shù)據(jù)。對存儲重要敏感數(shù)據(jù)的硬件設(shè)備采取全盤加密、加密存儲數(shù)據(jù)的扇區(qū)等措施，防范因勒索攻擊引發(fā)的數(shù)據(jù)泄露事件。

　　06 強化安全監(jiān)測

　　在網(wǎng)絡(luò)側(cè)，部署流量監(jiān)測、阻斷等類型網(wǎng)絡(luò)安全防護手段，加強針對勒索病毒通聯(lián)行為的實時監(jiān)測、封堵處置。

　　在終端側(cè)，安裝具有主動防御功能的安全軟件，不隨意退出安全軟件、關(guān)閉防護功能等，并設(shè)立和定期更新應(yīng)用軟件白名單。

　　07 提升安全意識

　　以培訓(xùn)、演練等形式提升勒索攻擊風(fēng)險防范意識：不點擊來源不明的郵件附件；打開郵件附件前進行安全查殺；不從不明網(wǎng)站下載軟件；不輕易運行腳本文件和可執(zhí)行程序；不混用工作和私人外接設(shè)備；在工作設(shè)備與移動存儲設(shè)備外接時，關(guān)閉移動存儲設(shè)備自動播放功能并定期進行安全查殺。

　　08 制定應(yīng)急預(yù)案

　　制定涵蓋勒索攻擊在內(nèi)的網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案，明確牽頭部門、職責(zé)分工、應(yīng)急流程和關(guān)鍵舉措，一旦發(fā)生勒索攻擊事件，立即啟動預(yù)案，第一時間開展應(yīng)急處置工作。綜合采取實戰(zhàn)攻防、沙盤推演等形式，開展以勒索攻擊應(yīng)急處置為核心的網(wǎng)絡(luò)安全演練，提升實戰(zhàn)化攻擊防御能力。

　　二、事中做好攻擊應(yīng)急響應(yīng)

　　09 隔離感染設(shè)備

　　確認(rèn)遭受勒索攻擊后，立即采取斷網(wǎng)、斷電的方式隔離勒索病毒感染設(shè)備，關(guān)閉設(shè)備無線網(wǎng)絡(luò)、藍牙連接等，禁用網(wǎng)卡并拔掉感染設(shè)備全部外部存儲設(shè)備。立即修改感染設(shè)備的登錄密碼、同一局域網(wǎng)下的其他設(shè)備密碼、最高級系統(tǒng)管理員賬號登錄密碼等。

　　10 排查感染范圍

　　在已隔離感染設(shè)備的情況下，對勒索攻擊影響業(yè)務(wù)系統(tǒng)、生產(chǎn)系統(tǒng)及備份數(shù)據(jù)等情況進行排查，根據(jù)感染設(shè)備異常訪問、非法外聯(lián)等情況，排查數(shù)據(jù)泄霍情況，確認(rèn)勸索攻擊影響。

　　對于感染情況不明的設(shè)備，提前進行磁盤備份，在隔離網(wǎng)內(nèi)現(xiàn)場或線上排查，避免啟動設(shè)備時因殘留勒索病毒再次感染。

　　11 研判攻擊事件

　　通過感染的勒索病毒涉及的勒索信息、加密文件、可疑樣本、彈窗信息等對勒索病毒進行分析，提取勒索病毒通信特征、樣本文件和傳播途徑等重要信息，并通過本地網(wǎng)絡(luò)日志信息、勒索病毒樣本文件等研判勒索攻擊入侵渠道。

　　第一時間向地方通信主管部門報告勒索攻擊事件。

　　12 及時開展處置

　　充分調(diào)動本單位內(nèi)部網(wǎng)絡(luò)安全力量處置勒索攻擊事件，將勒索病毒主控端惡意域名、惡意 IP 地址等加入本單位網(wǎng)絡(luò)通信黑名單，阻斷通聯(lián)行為。

　　利用勒索病毒解密工具、已公開的加密密鑰、數(shù)據(jù)加密缺陷等嘗試破解勒索病毒，恢復(fù)加密數(shù)據(jù)。

　　必要時，積極聯(lián)系具備應(yīng)對勒索攻擊專業(yè)能力的網(wǎng)絡(luò)安全企業(yè)、機構(gòu)等尋求協(xié)助。

　　三、事后開展網(wǎng)絡(luò)安全加固

　　13 利用備份數(shù)據(jù)恢復(fù)數(shù)據(jù)

　　根據(jù)遭受勒索攻擊影響相關(guān)設(shè)備數(shù)據(jù)備份的情況，綜合衡量恢復(fù)數(shù)據(jù)的時間成本和重要程度等因素，確認(rèn)數(shù)據(jù)恢復(fù)范圍、順序及備份數(shù)據(jù)版本，利用備份數(shù)據(jù)進行數(shù)據(jù)恢復(fù)。

　　14 排查修補網(wǎng)絡(luò)安全風(fēng)險

　　深入排查和整改勒索攻擊利用的網(wǎng)絡(luò)安全防護薄弱環(huán)節(jié)，重點排查弱口令、賬戶權(quán)限、口令更新和共用等問題，及時更新系統(tǒng)、軟件、硬件等版本并修補漏洞。

　　15 更新網(wǎng)絡(luò)安全管理措施

　　根據(jù)勒索攻擊事件暴露出網(wǎng)絡(luò)安全的問題，針對性修訂完善網(wǎng)絡(luò)安全管工作理制度，對遭受的勒索攻擊事件進行復(fù)盤分析，并更新網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案。

　　16 補齊網(wǎng)絡(luò)安全技術(shù)能力

　　綜合勒索攻擊事件情況，深入查找本單位網(wǎng)絡(luò)安全技術(shù)能力短板弱項，補齊補強覆蓋網(wǎng)絡(luò)安全威脅風(fēng)險預(yù)警、監(jiān)測處置、指揮調(diào)度等技術(shù)能力，強化勒索攻擊防范應(yīng)對。

　　四、做好保障服務(wù)支撐

　　17 強化勒索攻擊全網(wǎng)監(jiān)測預(yù)警

　　綜合運用基礎(chǔ)電信網(wǎng)絡(luò)監(jiān)測處置技術(shù)手段，強化勒索病毒感染、通聯(lián)等惡意行為實時監(jiān)測，及時預(yù)警重大勒索攻擊風(fēng)險。

　　根據(jù)勒索病毒特征，加強針對勒索病毒主控端惡意域名、惡意 IP 地址等的全網(wǎng)封堵，及時阻斷勒索病毒傳播。

　　18 加強勒索攻擊威脅信息共享

　　依托網(wǎng)絡(luò)安全威脅信息共享工作機制，匯聚勒索病毒樣本特征、攻擊情報等信息，進一步加強勒索攻擊威脅信息共享，指導(dǎo)強化勒索攻擊防范應(yīng)對工作，加快提升勒索攻擊防御合力。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<