开启勒索病毒防护和备份
在应对勒索攻击时,及时识别并隔离勒索攻击和备份、恢复业务数据的重要性进一步凸显。华为云企业主机安全首创防入侵、防加密、防扩散的三防勒索检测引擎和动态诱饵欺骗技术,实现勒索病毒秒级查杀,业务数据分钟级备份和恢复,勒索防治竞争力业界领先。
开启勒索防护和勒索备份,增强服务器勒索防护力,抵御勒索攻击,降低业务受损风险。
步骤一:创建勒索病毒防护策略
根据自身业务需求,创建勒索防护策略,配置诱饵防护目录、排除目录、防护文件类型等。
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 选择“勒索病毒防护”界面。 ,进入
- 选择“防护策略”页签,单击“添加防护策略”,弹出“添加防护策略”对话框。
图1 添加防护策略
- 配置策略信息,参数说明如表 防护策略参数说明所示。
图2 设置防护策略参数
表1 防护策略参数说明 参数名称
参数说明
取值样例
服务器操作系统
选择服务器操作系统类型。
Linux
防护策略名称
设置防护策略的名称。
test
防护动作
发现勒索病毒事件后的处理方式。
- 告警并自动隔离
- 告警
告警并自动隔离
动态诱饵防护
开启动态诱饵防护后,系统会在防护目录和其他随机位置(不包括排除目录)中部署诱饵文件,在随机位置部署的诱饵文件每12小时会自动删除再重新随机部署。诱饵文件会占用小部分服务器资源,请将不希望部署诱饵文件的目录配置在排除目录内。
说明:当前仅Linux系统支持动态生成和部署诱饵文件,Windows系统仅支持静态部署诱饵文件。
开启
诱饵防护目录
需要部署静态诱饵进行防护的目录(不包括子目录),建议配置为重要业务目录或数据目录。
多个目录请用英文分号隔开,最多支持填写20个防护目录。
Linux系统必填,Windows系统可选填。
Linux:/etc
Windows:C:\Test
排除目录(选填)
无需部署诱饵文件进行防护的目录。
多个目录请用英文分号隔开,最多支持填写20个排除目录。
Linux:/etc/lesuo
Windows:C:\Test\ProData
防护文件类型
需要防护的服务器文件类型或格式,自定义勾选即可。
涵盖数据库、容器、代码、证书密匙、备份等9大文件类型,共70+种文件格式。
仅Linux系统时,需要设置此项。
全选
进程白名单(选填)
添加自动忽略检测的进程文件路径,可在告警中获取。
仅Windows系统,需要设置此项。
-
- 确认信息无误,单击“确认”,完成防护策略创建。
步骤二:开启勒索病毒防护
如果Linux主机安装的Agent版本为3.2.8及以上版本或Windows主机安装的Agent版本为4.0.16及以上版本,开启企业主机安全旗舰版、网页防篡改版或容器安全版防护时,系统会同步为您开启勒索病毒防护;如果Agent版本不满足自动开启条件,您可以手动开启防护。
步骤三:开启勒索备份
为了预防服务器被勒索后无法挽回业务损失,请为服务器开启勒索备份,定期备份业务数据。
如果您未购买存储库,请参考购买云服务器备份存储库购买存储库后,再执行开启勒索备份操作。
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 选择“勒索病毒防护”界面。 ,进入
- 选择“防护服务器”页签。
- 选中目标服务器,并在服务器列表上方单击“开启勒索备份”。
图3 开启勒索备份
- 在“开启备份”弹窗中,选择需要为服务器绑定的存储库。
同时满足以下条件的存储库支持绑定:
- 存储库状态为“可用”或“锁定。
- 备份策略状态为“已启用”。
- 存储库有剩余可用备份容量。
- 存储库绑定的服务器数量少于256台。
- 单击“确认”,开启备份。
步骤四:处理告警并隔离感染设备
当一个入侵者绕过防御机制时,如果您能及时发现并阻断,便可避免灾难的发生。因此在开启勒索病毒防护后,您需要及时处置入侵告警事件,隔离阻断勒索病毒运行、扩散。
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 在左侧导航栏选择 ,进入勒索病毒防护界面。
- 选择“防护事件”页签,查看勒索攻击告警事件。
- 单击告警名称,查看告警详细信息。
您可以根据告警信息、调查取证等信息排查主机上是否存在勒索软件。
- 在页面下方,选择告警处置方式。
图4 选择告警处置方式
- 手动处理:如果您已手动处理了该事件,可选择“手动处理”。
- 忽略:如果告警暂时无需处理,您可以选择“忽略”,忽略后,告警状态将变为已处理,后续企业主机安全将不会对该事件进行统计。
- 加入告警白名单:如果告警为误报,您可以选择“加入告警白名单”,后续企业主机安全将不再告警。
- 隔离查杀:如果确认是勒索程序引起的告警,您可以选择“隔离查杀”,隔离后,该程序将无法执行“读/写”操作,同时该程序的进程将被立即终止。
确认服务器遭受勒索攻击后,请立即采取断网、断电等方式切断勒索病毒外联扩散行为,并及时修改感染设备的密码及同一局域网其他设备密码。
- 在“处理告警事件”对话框中,单击“确认”,处置告警完成。
相关操作
在使用HSS+CBR之外,建议按照如下方式从其他方面提升自身“免疫力”:
- 收敛互联网暴露面:定期扫描外部端口,保证公开范围最小化。
- 加强网络访问控制:各企业应具有明确的网络安全区域划分、访问限制规则,最小化开放访问权限,及时更新访问控制规则。
- 加强账号权限管控:通过身份管理、细粒度权限控制等访问控制规则为企业不同角色分配账号并授权,同时应提升特权账户的安全性。在另一方面,企业关键业务资产,需要妥善设置并保存账号及口令信息。关键资产上,配置双因素认证鉴别登录人员身份,可有效防范系统爆破风险。
- 搭建高可靠业务架构:采用集群模式的云服务部署模式。当某一个节点发生紧急问题,业务切换至备用节点,提升业务系统可靠性能力,也可防止数据丢失。在资源允许的条件下,企业或组织可以搭建同城或异地容灾备份系统,当主系统出现发生勒索事件后,可以快速切换到备份系统,从而保证业务的连续性。
- 制定安全事件应急预案:建立应对勒索病毒攻击等网络安全突发事件的应急组织体系和管理机制,明确工作原则、职责分工、应急流程、关键措施等。一旦发生勒索病毒攻击事件,立即启动内部网络安全应急预案,标准化开展应急处置工作来减轻、消除勒索病毒攻击影响。
- 加强企业员工安全意识:通过培训、演练等方式提高员工网络安全意识,明确国家网络安全法令及公司网络安全规范,能够识别网络钓鱼等常见的网络安全攻击,具备一定的事件处理能力,知晓安全事件带来的后果和影响。