企业主机安全 HSS企业主机安全 HSS

计算
弹性云服务器 ECS
裸金属服务器 BMS
云手机 CPH
专属主机 DeH
弹性伸缩 AS
镜像服务 IMS
函数工作流 FunctionGraph
云耀云服务器 HECS
VR云渲游平台 CVR
特惠算力专区
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
弹性文件服务 SFS
存储容灾服务 SDRS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
专属企业存储服务
云存储网关 CSG
专属分布式存储服务 DSS
CDN与智能边缘
内容分发网络 CDN
智能边缘云 IEC
智能边缘小站 IES
智能边缘平台 IEF
人工智能
AI开发平台ModelArts
华为HiLens
图引擎服务 GES
图像识别 Image
文字识别 OCR
自然语言处理 NLP
内容审核 Moderation
图像搜索 ImageSearch
医疗智能体 EIHealth
园区智能体 CampusGo
企业级AI应用开发专业套件 ModelArts Pro
人脸识别服务 FRS
对话机器人服务 CBS
视频分析服务 VAS
语音交互服务 SIS
知识图谱 KG
人证核身服务 IVS
IoT物联网
设备接入 IoTDA
设备管理 IoTDM(联通用户专用)
全球SIM联接 GSL
IoT数据分析 IoTA
路网数字化服务 DRIS
IoT边缘 IoTEdge
设备发放 IoTDP
IoT行业生态工作台
开发与运维
软件开发平台 DevCloud
项目管理 ProjectMan
代码托管 CodeHub
流水线 CloudPipeline
代码检查 CodeCheck
编译构建 CloudBuild
部署 CloudDeploy
云测 CloudTest
发布 CloudRelease
移动应用测试 MobileAPPTest
CloudIDE
Classroom
开源镜像站 Mirrors
应用魔方 AppCube
云性能测试服务 CPTS
应用管理与运维平台 ServiceStage
云应用引擎 CAE
视频
实时音视频 SparkRTC
视频直播 Live
视频点播 VOD
媒体处理 MPC
视频接入服务 VIS
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
资源管理服务 RMS
应用身份管理服务 OneAccess
区块链
区块链服务 BCS
可信跨链服务 TCS
可信分布式身份服务
智能协作
IdeaHub
开发者工具
SDK开发指南
API签名指南
DevStar
HCloud CLI
Terraform
Ansible
云生态
云市场
合作伙伴中心
华为云培训中心
其他
管理控制台
消息中心
产品价格详情
系统权限
我的凭证
客户关联华为云合作伙伴须知
公共问题
宽限期保留期
奖励推广计划
活动
容器
云容器引擎 CCE
云容器实例 CCI
容器镜像服务 SWR
应用编排服务 AOS
多云容器平台 MCP
基因容器 GCS
容器洞察引擎 CIE
云原生服务中心 OSC
容器批量计算 BCE
容器交付流水线 ContainerOps
应用服务网格 ASM
网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
数据库
云数据库 RDS
数据复制服务 DRS
文档数据库服务 DDS
分布式数据库中间件 DDM
云数据库 GaussDB (for openGauss)
云数据库 GaussDB(for MySQL)
云数据库 GaussDB NoSQL
数据管理服务 DAS
数据库和应用迁移 UGO
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
可信智能计算服务 TICS
推荐系统 RES
云搜索服务 CSS
数据可视化 DLV
数据湖治理中心 DGC
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
API网关 APIG
分布式缓存服务 DCS
分布式消息服务RocketMQ版
企业应用
域名注册服务 Domains
云解析服务 DNS
云速建站 CloudSite
网站备案
商标注册
华为云WeLink
会议
隐私保护通话 PrivateNumber
语音通话 VoiceCall
消息&短信 MSGSMS
云管理网络
SD-WAN 云服务
边缘数据中心管理 EDCM
云桌面 Workspace
应用与数据集成平台 ROMA Connect
ROMA资产中心 ROMAExchange
API全生命周期管理 ROMA API
安全与合规
安全技术与应用
DDoS防护 ADS
Web应用防火墙 WAF
云防火墙 CFW
应用信任中心 ATC
企业主机安全 HSS
容器安全服务 CGS
云堡垒机 CBH
数据库安全服务 DBSS
数据加密服务 DEW
数据安全中心 DSC
云证书管理服务 CCM
SSL证书管理 SCM
漏洞扫描服务 VSS
态势感知 SA
威胁检测服务 MTD
管理检测与响应 MDR
安全治理云图 Compass
认证测试中心 CTC
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
专属云
专属计算集群 DCC
解决方案
高性能计算 HPC
SAP
混合云灾备
华为工业云平台 IMC
价格
成本优化最佳实践
专属云商业逻辑
用户服务
帐号中心
费用中心
成本中心
资源中心
企业管理
工单管理
客户运营能力
国际站常见问题
支持计划
专业服务
合作伙伴支持计划
文档首页> 企业主机安全 HSS> 最佳实践> 防御勒索病毒最佳实践
更新时间:2021-08-03 GMT+08:00
分享

防御勒索病毒最佳实践

勒索病毒,是伴随数字货币兴起的一种新型病毒木马,通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。一旦遭受勒索病毒攻击,将会使绝大多数的关键文件被加密。被加密的关键文件均无法通过技术手段解密,用户将无法读取原本正常的文件,仅能通过向黑客缴纳高昂的赎金,换取对应的解密私钥才能将被加密的文件无损的还原。黑客通常要求通过数字货币支付赎金,一般无法溯源。

如果关键文件被加密,企业业务将受到严重影响;黑客索要高额赎金,也会带来直接的经济损失,因此,勒索病毒的入侵危害巨大。

工作原理

防勒索病毒是一个长期而持久的过程,华为云HSS事前(安全加固)、事中(主动防御)、事后(备份恢复)三部曲,为您抵挡勒索病毒入侵,营造主机资产安全运行环境。

前提条件

  • 使用HSS前,您需要购买HSS防护配额,并开启主机防护。
  • 如果需要使用云服务器备份服务恢复数据,请在事前对服务器进行定时备份。

事前:安全加固

配置安全基线

HSS每日凌晨自动检测系统中关键软件的配置风险并给出详细的加固方法。您可以根据给出的加固建议,正确处理主机内的各种风险配置信息。

  • 风险等级分为“高危”“中危”“低危”
  • 建议您优先修复“威胁等级”“高危”的关键配置,根据业务实际情况修复威胁等级为“中危”“低危”的关键配置,忽略可信任的配置项。

HSS支持检测的软件类型:Tomcat、SSH、Nginx、Redis、Apache 2、MySQL 5。

  1. 进入“基线检查”页面,选择“配置检测”页签,查看配置检测详情,例如:SSH采用了不安全的加密算法。

  1. 进入配置风险详情页面,单击“检测详情”,您可以根据“审计描述”验证检测结果,根据“修改建议”处理主机中的异常信息,从而加固配置基线。

  2. 完成配置项的修复后,建议您立即执行手动检测,查看配置项修复结果。

    如果您未进行手动验证,HSS会在次日凌晨执行自动验证。自动验证完成后,您可查看配置项修复结果。

加固弱密码

HSS每日凌晨自动检测主机中使用的经典弱口令和您添加的自定义弱口令。您可以根据检测出的弱口令对应的弹性云服务器名称、账号名、账号类型和弱口令使用时长,加固弱密码。

HSS支持检测MySQL、FTP及系统账号的弱口令。

  1. 选择安全与合规 > 企业主机安全,进入“基线检查”页面,加固弱密码。

  2. 进入“策略管理”页面,配置指定策略组的“弱口令检测”,添加自定义弱口令。

  3. 完成弱密码加固后,建议您立即执行手动检测,查看弱密码加固结果。

    如果您未进行手动验证,HSS会在次日凌晨执行自动验证。自动验证完成后,您可查看弱密码加固结果。

  4. 进入“告警通知”页面,勾选“弱口令”,一旦检测出弱口令,您将会收到告警通知。

修复漏洞

HSS每日凌晨自动进行一次全面的检测,“漏洞管理”通过订阅官方更新,判断服务器上的补丁是否已经更新,并推送官方补丁,将结果上报至管理控制台,并为您提供漏洞告警。帮助您及时发现漏洞,并在不影响业务的情况下修复漏洞、更新补丁。

  • 漏洞修复紧急程度分为“需尽快修复”“可延后修复”“暂可不修复”
  • 建议您优先修复“需尽快修复”的漏洞,根据业务实际情况修复“可延后修复”“暂可不修复”的漏洞,忽略无需修复的漏洞。
  1. 选择安全与合规 > 企业主机安全,进入“漏洞管理”页面。
  2. 选择“Linux软件漏洞管理”“Windows系统漏洞管理”或者“Web-CMS漏洞管理”,一键漏洞修复或者根据“修复建议”进行手动修复漏洞。

  3. 修复漏洞后,您可以单击“验证”,一键验证该漏洞是否已修复成功。

    若您未进行手动验证,主机防护每日凌晨进行全量检测,您修复后需要等到次日凌晨检测后才能查看修复结果。

  4. 进入安装与配置 > 告警通知页面,勾选“紧急漏洞”,HSS一旦检测出紧急漏洞(需尽快修复),您将会收到告警通知。

事中:主动防御

  • 手段一:病毒云查杀+使用智能学习策略防御勒索病毒(旗舰版)

病毒云查杀

HSS提供隔离查杀功能,将已感染主机迅速采取隔离措施防止病毒扩散蔓延。

  1. 选择安全与合规 > 企业主机安全,进入“事件管理”页面,查看并处理“恶意程序(云查杀)”告警事件。

  2. 选择“隔离查杀”,一键查杀勒索病毒。

    选择隔离查杀后,该程序无法执行“读/写”操作,同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱,被隔离的文件不会对主机造成威胁。

  3. 选择安装与配置 > 告警通知页面,勾选“恶意程序”实时告警通知,一旦检测出恶意程序,您将会收到告警通知。

使用智能学习策略防御勒索病毒

HSS可有效监控您云主机上的勒索软件及进程的加密行为,并进行及时的告警,对资产进行全面防护,有效保护您的文档和内容的安全,保障您的主机不被勒索病毒侵害。

  1. 创建智能学习策略

    1. 选择安全与合规 > 企业主机安全,进入“勒索病毒防护”页面,选择“策略管理”,创建智能学习策略。

    2. 配置智能学习策略“基本信息”

    3. 单击“添加服务器”,在弹出的“添加关联服务器”的窗口中,选择关联服务器。

    4. 完成关联服务器添加后,单击“创建并学习”,自动对关联服务器进行智能学习,收集该策略下的所有服务器的正常进程行为数据,完成可信程序的判定。

      智能学习策略学习完成后,HSS将监控设置的“监控文件路径”,若发现非策略中的进程行为或者非可信程序的修改行为,及时触发告警。

  2. 处理告警事件

    1. 进入“勒索病毒防护”页面,在“事件管理”列表中,您可查看并处理告警事件。

    2. 在弹出的处理事件窗口中,标记“可信”或者“不可信”

    3. 您可以对非策略中的进程行为,或者“不可信”的进程行为进行手动阻断,并隔离查杀。防止非策略中的进程行为,或者不可信的进程对文件的加密操作。

  • 手段二:锁定文件防篡改网页防篡改版

HSS可锁定驱动级文件目录、Web文件目录下的文件,禁止攻击者修改锁定的文件目录下的文件。若HSS检测到锁定目录下的文件被篡改,将立即使用本地主机备份文件自动恢复被非法篡改的文件。

若本地主机上的文件目录和备份目录失效,可通过远端备份服务恢复被篡改的文件。

若需要使用HSS锁定文件目录及备份,请开启网页防篡改防护。

  1. 选择安全与合规 > 企业主机安全,进入网页防篡改 > 防护列表页面,单击“防护设置”,进入防护设置页面。
  2. “防护设置”页面,添加防护目录,并将文件进行本地备份。

  3. 启动远端备份。HSS默认会将防护目录下的文件备份在“添加防护目录”时添加的本地备份路径下,为防止备份在本地的文件被攻击者破坏,请您启用远端备份功能。

    1. 进入网页防篡改 > 安装与配置页面,在“远端备份服务器”页面,添加远端备份服务器。

    2. 进入网页防篡改 > 防护列表,单击“防护设置”,进入防护设置页面,为防护目录启动远端备份。

事后:备份恢复

结合云服务器备份服务,当云服务器被勒索病毒侵害,存储在云服务器中的文件、数据丢失或者无法正常打开时,您可以通过重装服务器系统,并通过云服务器备份的数据恢复云服务器。

  1. 选择计算 > 弹性云服务器,在待重装操作系统的弹性云服务器的操作列下,单击更多 > 镜像/磁盘 > 重装操作系统

  2. 选择存储 > 云服务器备份,找到服务器所对应的备份,单击服务器所在行的“恢复”

    恢复成功后,被勒索病毒攻击的文件可正常打开。

分享:

    相关文档

    相关产品

关闭导读