方案概述

应用场景

勒索软件攻击已成为当今企业面临的最大安全挑战之一。勒索软件可以锁定受害者的数据或资产设备，攻击者会要求在支付赎金后才能赎回数据，防止数据被盗，也存在即使支付赎金也无法赎回数据情况。一旦被勒索软件攻击成功，可能导致您的业务中断、数据泄露、数据丢失等严重问题，从而可能对企业的运转、经济、形象、信誉造成重大损失和不良影响，出现的安全问题可能对企业发展产生重大阻碍，出现一蹶不振的现象。

在攻击云基础设施时，攻击者通常会攻击多个资源以试图获取对客户数据或公司机密的访问权限。在勒索攻击链中，攻击者通过事前侦查探测、事中攻击入侵及横向扩散、事后勒索三个步骤实现对企业的资源勒索：

• 事前侦查探测阶段：收集基础信息、寻找攻击入口，进入环境并建立内部立足点。
• 事中攻击入侵及横向扩散阶段：部署攻击资源、侦查网络资产并提升访问权限，窃取凭据、植入勒索软件，破坏检测防御机制并扩展感染范围。
• 事后勒索阶段：窃取机密数据、加密关键数据后加载勒索信息，基于文件重要等级索要赎金。
  图1 被勒索过程
  

本方案介绍如何通过HSS和CBR为主机进行事前预防、事中检测并及时阻断、事后备份恢复的三阶段防护。

方案架构

企业或个人在进行勒索病毒防护时，可利用HSS检测勒索病毒、识别系统风险项，并通过CBR为业务数据进行备份，此外再合理规划管控账号权限、组织架构等，从而达到最佳的勒索病毒防护效果。

HSS+CBR防护原理示意图如图 HSS+CBR勒索病毒防护示意图所示。

图2 HSS+CBR勒索病毒防护示意图

示意图中实施的各防御措施详情请参见：

• 勒索事前：识别弱口令、漏洞并协助用户修复。

  详细操作请参见识别并修复勒索风险入口。

• 勒索事中：检测勒索病毒、部署诱饵文件并阻断加密行为。

  详细操作请参见开启勒索病毒防护和备份。

• 勒索事后：恢复备份数据。

  详细操作请参见恢复备份数据。

方案优势

• 减少系统风险入口

  用户可以通过HSS定期检测系统存在的漏洞和风险项，第一时间修复漏洞及风险项，减小系统风险等级。

• 实时检测、阻断勒索攻击

  开启勒索病毒防护后，HSS将实时检测并告警勒索病毒攻击，并支持隔离勒索程序。

• 备份业务数据，增加抗风险能力

  服务器被勒索攻击后，可通过CBR恢复备份数据，及时恢复业务，减少损失。