文档首页> 主机安全(新版)HSS> 最佳实践> 防御勒索病毒最佳实践
更新时间:2022-08-11 GMT+08:00
分享

防御勒索病毒最佳实践

勒索病毒,是伴随数字货币兴起的一种新型病毒木马,通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。一旦遭受勒索病毒攻击,将会使绝大多数的关键文件被加密。被加密的关键文件均无法通过技术手段解密,用户将无法读取资产中的文件,仅能通过向黑客缴纳高昂的赎金,换取对应的解密私钥才能将被加密的文件无损的还原。黑客通常要求通过数字货币支付赎金,一般无法溯源。

如果关键文件被加密,企业业务将受到严重影响;黑客索要高额赎金,也会带来直接的经济损失,因此,勒索病毒的入侵危害巨大。

勒索病毒具有传播方式多样性和顽固的攻击性特征,一旦被勒索病毒入侵,无论是资产还是经济都将遭受重大损失。

因此,在开启防勒索病毒时,建议您开启告警通知,发生告警时第一时间就可以收到告警信息,及时对服务器采取基线加固、口令加固、漏洞修复、手动查杀等方式增强服务器防护能力,防止被勒索入侵。

工作原理

防勒索病毒是一个长期而持久的过程,华为云HSS事前(安全加固)、事中(主动防御)、事后(备份恢复)三部曲,为您抵挡勒索病毒入侵,营造主机资产安全运行环境。

前提条件

  • 使用HSS前,您需要购买HSS防护配额,并开启主机防护。
  • 如果需要使用云服务器备份服务恢复数据,请在事前对服务器进行定时备份。

事前:安全加固

配置安全基线

HSS每日凌晨自动检测系统中关键软件的配置风险并给出详细的加固方法。您可以根据给出的加固建议,正确处理主机内的各种风险配置信息。

  • 风险等级分为“高危”“中危”“低危”
  • 建议您优先修复“威胁等级”“高危”的关键配置,根据业务实际情况修复威胁等级为“中危”“低危”的关键配置,忽略可信任的配置项。

HSS支持检测的软件类型:Tomcat、SSH、Nginx、Redis、Apache 2、MySQL 5。

  1. 在页面左上角选择“区域”,单击,选择安全与合规 > 主机安全(新版),进入主机安全(新版)平台界面。
  2. 选择风险预防 > 基线检查 > 配置检查页签,查看配置检查详情。

    图1 进入配置检查页面

  1. 单击基线名称,进入基线检查详情页面,单击目标检查项“操作”列的“检测详情”,您可以根据“审计描述”验证检测结果,根据“修改建议”处理主机中的异常信息,从而加固配置基线。

    图2 查看检查详情

  2. 完成配置项的修复后,建议您立即执行手动检测,查看配置项修复结果。

    如果您未进行手动验证,HSS会在次日凌晨执行自动验证。自动验证完成后,您可查看配置项修复结果。

加固弱密码

HSS每日凌晨自动检测主机中使用的经典弱口令和您添加的自定义弱口令。您可以根据检测出的弱口令对应的弹性云服务器名称、账号名、账号类型和弱口令使用时长,加固弱密码。

HSS支持检测MySQL、FTP及系统账号的弱口令。

  1. 在页面左上角选择“区域”,单击,选择安全与合规 > 主机安全(新版),进入主机安全(新版)平台界面。
  2. 选择风险预防 > 基线检查 > 配置检查页签,查看经典弱口令检测。

    图3 进入经典弱口令检测页

  3. 自定义弱口令。进入“策略管理”页面,配置指定策略组的“弱口令检测”,添加自定义弱口令。

    图4 自定义弱口令

  4. 完成弱密码加固后,建议您立即执行手动检测,查看弱密码加固结果。

    如果您未进行手动验证,HSS会在次日凌晨执行自动验证。自动验证完成后,您可查看弱密码加固结果。

  5. 进入“告警通知”页面,勾选“告警等级”的所有选项,一旦检测出弱口令,您将会收到告警通知。

    图5 设置告警

修复漏洞

HSS每日凌晨自动进行一次全面的检测,“漏洞管理”通过订阅官方更新,判断服务器上的补丁是否已经更新,并推送官方补丁,将结果上报至管理控制台,并为您提供漏洞告警。帮助您及时发现漏洞,并在不影响业务的情况下修复漏洞、更新补丁。

  • 漏洞修复紧急程度分为“需尽快修复”“可延后修复”“暂可不修复”
  • 建议您优先修复“需尽快修复”的漏洞,根据业务实际情况修复“可延后修复”“暂可不修复”的漏洞,忽略无需修复的漏洞。
  1. 在页面左上角选择“区域”,单击,选择安全与合规 > 主机安全(新版),进入主机安全(新版)平台界面。
  2. 选择风险预防 > 漏洞管理,进入“漏洞管理”页面,选择“Linux软件漏洞管理”“Windows系统漏洞管理”或者“Web-CMS漏洞管理”不同页签查看漏洞详情。

    图6 查看漏洞详情

  3. 漏洞修复。

    • 单击目标漏洞操作列的处理,进入漏洞处理页面,可对目标漏洞进行修复或忽略。
    • 勾选多个目标,单击忽略,可进行忽略处理。

  4. 修复漏洞后,您可以单击“验证”,一键验证该漏洞是否已修复成功。

    若您未进行手动验证,主机防护每日凌晨进行全量检测,您修复后需要等到次日凌晨检测后才能查看修复结果。

  5. 进入“告警通知”页面,勾选“告警等级”的所有选项,一旦检测出紧急漏洞(需尽快修复),您将会收到告警通知。

    图7 设置告警

事中:主动防御

  • 手段一:病毒云查杀+使用智能学习策略防御勒索病毒(旗舰版)

病毒云查杀

HSS提供隔离查杀功能,将已感染主机迅速采取隔离措施防止病毒扩散蔓延。

  1. 在页面左上角选择“区域”,单击,选择安全与合规 > 主机安全(新版),进入主机安全(新版)平台界面。
  2. 进入“安全告警事件”页面,查看并处理“恶意程序(云查杀)”告警事件。

    图8 进入恶意程序

  3. 选择“隔离查杀”,一键查杀勒索病毒。

    选择隔离查杀后,该程序无法执行“读/写”操作,同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱,被隔离的文件不会对主机造成威胁。

  4. 进入“告警通知”页面,勾选“告警等级”的所有选项,一旦检测出恶意程序,您将会收到告警通知。

    图9 设置告警

使用智能学习策略防御勒索病毒

HSS可有效监控您云主机上的勒索软件及进程的加密行为,并进行及时的告警,对资产进行全面防护,有效保护您的文档和内容的安全,保障您的主机不被勒索病毒侵害。

  1. 创建智能学习策略

    1. 在页面左上角选择“区域”,单击,选择安全与合规 > 主机安全(新版),进入主机安全(新版)平台界面。
    2. 进入“勒索病毒防护”页面,选择“防护服务器”,单击为“服务器开启防护”,为目标服务器创建智能学习策略。
      图10 进入创建防护策略页面
    3. 在弹出的对话框选择Linux系统,开启防护,选择或新建策略,选择后单击“下一步”,如图11所示,参数说明如表1所示。
      图11 勒索防护配置
      表1 勒索防护配置参数说明

      参数名称

      参数说明

      取值样例

      服务器操作系统

      选择需要防护的服务器系统。

      说明:

      目前暂不支持Windows系统的勒索防护功能。

      Linux

      勒索防护

      开启:

      关闭:

      防护策略

      你可选择已有策略或新建防护策略。

      • 选择已有策略:在“选择防护策略”项选择已有的目标策略即可。
      • 新建防护策略:详情请参见新建防护策略

      选择已有策略

      选择防护策略

      选择已有的防护策略。

      -

    4. 配置完成,单击“下一步”,配置服务器备份规则和保留规则,如图12所示。
      • 根据需要可自定义开启或关闭服务器备份,建议开启。
      • 开启服务器备份,单击“保留规则”项的“修改备份策略”,可对备份规则进行修改。
        图12 配置服务器备份

        建议开启服务器备份,关闭服务器备份功能后,将无法通过定期对服务器进行备份的方式有效应对勒索病毒。

    5. 配置完成,单击“下一步”,进入服务器选择页面,通过分组筛选或服务器名称搜索目标服务器,勾选目标服务器,如图13所示。
      图13 选择目标服务器
    6. 确认无误,单击“确认”,创建策略成功且开启了服务器勒索防护。

  2. 处理告警事件

    1. 进入“勒索病毒防护”页面,在“事件管理”列表中,您可查看并处理告警事件。
    2. 在弹出的处理事件窗口中,标记“可信”或者“不可信”
    3. 您可以对非策略中的进程行为,或者“不可信”的进程行为进行手动阻断,并隔离查杀。防止非策略中的进程行为,或者不可信的进程对文件的加密操作。

  • 手段二:锁定文件防篡改网页防篡改版

HSS可锁定驱动级文件目录、Web文件目录下的文件,禁止攻击者修改锁定的文件目录下的文件。若HSS检测到锁定目录下的文件被篡改,将立即使用本地主机备份文件自动恢复被非法篡改的文件。

若本地主机上的文件目录和备份目录失效,可通过远端备份服务恢复被篡改的文件。

若需要使用HSS锁定文件目录及备份,请开启网页防篡改防护。

  1. 在页面左上角选择“区域”,单击,选择安全与合规 > 主机安全(新版),进入主机安全(新版)平台界面。
  2. 进入主动防御 > 网页防篡改页面,单击“防护设置”,进入防护设置页面。

    图14 进入防护设置

  3. “防护设置”页面,添加防护目录,并将文件进行本地备份。

  4. 启动远端备份。HSS默认会将防护目录下的文件备份在“添加防护目录”时添加的本地备份路径下,为防止备份在本地的文件被攻击者破坏,请您启用远端备份功能。

    1. 进入网页防篡改 > 安装与配置页面,在“远端备份服务器”页面,添加远端备份服务器。

    2. 进入网页防篡改 > 防护列表,单击“防护设置”,进入防护设置页面,为防护目录启动远端备份。
      图15 启动远端备份

事后:备份恢复

结合云服务器备份服务,当云服务器被勒索病毒侵害,存储在云服务器中的文件、数据丢失或者无法正常打开时,您可以通过重装服务器系统,并通过云服务器备份的数据恢复云服务器。

事后备份恢复是指将已被勒索的云服务器通过被勒索前的备份恢复至正常状态。

  1. 选择计算 > 弹性云服务器,在待重装操作系统的弹性云服务器的操作列下,单击更多 > 镜像/磁盘/备份 > 重装系统

  2. 选择存储 > 云服务器备份,找到服务器所对应的备份,单击服务器所在行的“恢复”

    恢复成功后,被勒索病毒攻击的文件可正常打开。

分享:

    相关文档

    相关产品

close