勒索事件响应方案

事件类型：勒索软件攻击

勒索软件（Ransomware）又称勒索病毒，是一种特殊的恶意软件，属于“阻断访问式攻击”（denial-of-access attack）的一种。它通过技术手段限制受害者访问自己的系统或系统内的数据，如文档、邮件、数据库、源代码等，以此达到勒索钱财的目的。

一旦勒索软件对系统攻击成功后，再对系统实行中断攻击并减轻损害的措施是有限，并且极具挑战性的。因此，关注预防措施以减少此类攻击显得至关重要。

本文档介绍了一系列旨在有效管理和应对勒索软件攻击的步骤和策略。

事件响应方案：勒索主机隔离剧本

针对勒索软件，安全云脑提供的“勒索主机隔离”剧本，自动隔离勒索主机。当触发勒索软件告警时，该剧本通过将受影响主机添加到安全组，并阻止所有入向和出向流量来将其隔离，这种隔离方式对于防止勒索软件在网络内传播至关重要。

图1 主机隔离-恶意软件

事件响应流程

1. 获取、保存、记录证据。
   根据您的华为云环境的配置情况，您可能通过各种来源了解到潜在的勒索软件事件：

   1. 某IT员工反馈，通过SSH及其他类似方式无法访问ECS实例。

      ECS实例创建正常，华为云的云监控（Cloud Eye）或其他监控工具也没有上报告警，但依然无法访问ECS实例。

   2. 由ECS实例的异常指标或异常日志触发生成一个工单在您的工单系统中。
   3. ECS实例在华为云控制台或云监控的告警中上报网络异常问题。
   4. 攻击者通过其他通信渠道（如电子邮件）收到勒索软件的请求。
   5. 通过华为云安全服务或其他安全工具发现ECS实例遭受到攻击。
   6. 您的华为云或者其他第三方监控系统发出告警或显示指标异常。
   7. 当确认某个事件为安全事件后，评估其影响范围至关重要，包括受影响资源的数量和所涉及数据的敏感性。
   8. 排查是否有任何已知事件可能导致服务中断或影响实例指标，例如，由于正在进行的事件导致云监控中的网络指标增加。
   9. 使用云监控或其他应用程序性能监控工具将记录的应用程序的性能基线指标与当前异常指标进行对比，判断是否存在异常行为。
   10. 确定存储在ECS实例、OBS桶或其他存储中的数据的分类级别。
   11. 请确保已为该事件创建工单。如果未创建，请手动创建一个。
   12. 如果为已有工单，请确定当前指示问题的告警或指标是什么。

       如果工单是由告警或指标触发自动生成的工单，可明确其自动生成工单的什么的原因；如果工单非自动生成，则记录导致识别问题的告警或通知。确认服务中断是由已知事件还是其他原因造成的，如果不能判断，则记录攻击的实际媒介。

   13. 使用日志搜索来确定勒索攻击发生的时间。

       可以使用华为云的云审计服务（Cloud Trace Service）服务，它提供对各种云资源操作记录的收集、存储和查询功能。

   14. 确定并记录对最终用户的影响及其体验。

       如果用户受到影响，请在工单中记录导致攻击事件的详细步骤，以帮助识别攻击媒介并制定适当的缓解策略。

   15. 根据您企业/组织的事件响应计划确定事件涉及的角色。通知相关角色，包括法务人员、技术团队和开发人员，并确保他们被添加到工单和WarRoom中持续响应该事件。
   16. 确保您的组织的法律顾问了解并参与到事件的内部响应和外部沟通中，并将负责公共或外部沟通的同事添加到工单中，以便他们能够及时履行其沟通职责。如果地方或联邦法规要求报告此类事件，请通知有关当局，并向其法律顾问或执法部门寻求关于收集证据和保存监管链的指导。如果法规没有要求，向开放数据库、政府机构或非政府组织报告此类事件也可能有助于推进响应此事件。

2. 控制事件。

   尽早检测异常用户行为或网络活动是减少勒索软件事件影响的关键。可以参考以下步骤来帮助您控制事件。如果以下步骤适用，请与您的企业/组织的法律和合规团队合作，采取任何必要的响应措施，并继续进行事件响应流程。

   1. 确定攻击事件中涉及的勒索软件的类型。常见的勒索软件类型如下：
      • 加密勒索软件：加密文件和对象。
      • 锁定勒索软件：锁定对设备的访问。
      • 其他类型：新类型或以前未记载的类型。
   2. 受攻击影响的工作负载，对于已识别出的与其相关联的华为云资源，可以通过修改安全组、OBS桶策略或相关身份和访问管理策略来隔离网络或互联网连接，以最大限度地减少感染传播的机会，或最大限度地减少攻击者访问这些资源的机会。

      请注意，由于连接跟踪，有时修改安全组可能不会达到预期效果。

   3. 评估ECS实例是否需要恢复。如果该实例属于弹性伸缩组，则请从组中移除该实例。此外，如果事件与主机操作系统中的漏洞有关，请更新系统并确保已修补漏洞。
   4. 通过云审计服务查看操作日志，查看是否存在未经授权的活动，例如，创建未经授权的IAM用户、策略、角色或临时安全凭证。如果有，请删除任何未经授权的IAM用户、角色和策略，并撤销所有临时凭据。
   5. 如果攻击媒介是由未修补的软件、操作系统更新、过期的恶意软件或防病毒工具造成的，请确保所有ECS实例都更新到最新版本的操作系统，所有软件包和补丁程序都是最新的，并且所有ECS实例上的病毒特征码和定义文件都是最新的。您可以通过如下方式进行处理：针对可变架构，请立即进行修补；针对不可变架构，请进行重新部署。
   6. 根据5中的更新，删除被识别为有感染风险的所有剩余资源（可能访问了下载勒索软件的同一媒介，无论是通过电子邮件、访问受感染的网站，还是其他方式）。对于通过弹性伸缩管理的资源，重点识别攻击媒介，并采取措施防止其他资源通过同一媒介受到感染。

3. 消除事件。
   1. 评估事件的影响是否仅限于环境的特定部分。如果能从备份或快照中恢复被勒索的数据，请参考备份或快照进行恢复。

      请注意，在隔离的环境下调查事件以进行根本原因分析，对于实施控制措施以防止将来发生类似事件具有极大价值。

   2. 考虑使用最新的防病毒或防恶意软件来消除勒索软件。

      请谨慎此操作，因为此操作可能会向攻击者发出警报。建议在隔离的取证环境中查看被锁定或加密的对象，例如，从受感染的ECS实例中删除网络访问权限。

   3. 删除在取证分析过程中识别到的所有恶意软件，并识别入侵指标。
   4. 如果已确定勒索软件毒种，请检查是否有可用的第三方解密工具或其他可能有助于解密数据的在线资源。

4. 从事故中恢复。
   1. 确定从备份执行的所有还原操作的还原点。
   2. 查看备份策略，以确定是否可以恢复所有对象和文件，这取决于在资源上应用的生命周期策略。
   3. 使用取证方法确认数据在恢复之前是安全的，然后从备份中恢复数据，或者恢复到ECS实例的早期快照。
   4. 如果您已成功使用任何开源解密工具恢复数据，请从实例中删除该数据，并执行必要的分析以确认数据是安全的。然后，恢复实例，终止或隔离实例并创建新的实例，并将数据还原至新实例中。
   5. 如果从备份恢复或解密数据都不可行，请评估在新环境中重新开始的可能性。

5. 事故后活动。
   1. 将在模拟和现场事件中吸取的经验教训记录并应用到后续的流程和程序中，可以使受害方更好地了解事件是如何在系统配置和流程中发生的（例如，哪里存在弱点、哪里的自动化可能出现故障、哪里缺乏可见性），以及如何加强其整体安全态势。
   2. 如果您已经确定了最初的攻击媒介或进入点，请如何降低风险再次发生的最佳方法。

      例如，如果恶意软件最初通过一个未修补的面向公众的ECS实例进入，并且您已将缺失的补丁程序应用于所有当前实例，请考虑如何改进补丁程序管理流程，旨在更快速和一致地测试和应用补丁程序，以防止将来出现类似问题。

   3. 如果您已经制定了解决特定威胁的技术步骤，请评估当检测到相关威胁时自动执行这些步骤的几率。使用自动化处理，可以帮助更快地减轻威胁，从而最大限度地减少影响的范围和严重性。
   4. 向响应过程中的所有角色收集其获得的经验教训，并根据需要更新您的事件响应计划、灾难恢复计划和本响应方案。同时，酌情考虑和资助新的技术能力和人员技能，以弥补已发现的差距。