勒索病毒防护指南
近期勒索病毒事件频繁,针对勒索病毒的防护,特此发布勒索病毒防护指南,建议运营单位依据病毒感染的完整生命周期进行重点关注和加强防护,关于勒索病毒事件快速处置需涵盖事前的防护、病毒入侵后的持续监测、发现病毒快速处置三个环节。
防止病毒从互联网边界入侵,关闭风险传输端口,更新防护规则,阻断传播。
防止病毒从内网终端入侵,提升终端端口开放、弱口令、漏洞等安全基线。
建立专项应急处置方案,并定期演练验证方案合理性。
发现中毒事件,首先需要应急隔离失陷主机,控制影响范围,避免反复感染;之后再定点查杀,清除病毒文件。
勒索病毒事件处置完成后,需持续一周或以上的专项监测,避免遭受二次攻击沦陷。
提升安全意识,定期变更账户口令并强化口令强度,同时避免多个系统使用同一口令。
及时打补丁,修复系统漏洞。
对重要的业务应用、系统、数据文件等定期进行非本地备份。
引入专业安服人员,对内网潜伏威胁进行检测和扫描,排除风险。
此次勒索病毒事件发生在相对隔离的区域泛滥。建议还需要重点加固传统安全建设的薄弱区:在广域网分支、局域网和数据中心内部等区域,在传统ACL控制策略的基础上,通过增加系统层和应用层的安全防护技术,提升防御有效性。
建议采用网络分级分区防护措施,封闭RDP协议端口加固防护线:在互联网出口和边界处封堵RDP协议端口(3389),同时加强对外发布的web业务的应用层防护。对于无需开放RDP协议的主机,采用安全策略封堵RDP端口或协议。
构建终端防护和响应能力:在主机上部署终端管控软件,终端管控软件应能够防御最新型的勒索病毒攻击以及未知风险,并利用微隔离功能封堵RDP协议防止扩散。
持续检测勒索病毒行为:通过部署相关的探针系统,对于没有防火墙防护节点的办公网之间的通讯流量、专网与专网核心交换机上的全网流量进行抓取,持续检测,从而识别和捕获内部尚未爆发的潜伏威胁。同时感知平台还应该具备同时接入防火墙、终端管控的流量、策略和安全内容日志,全面分析新型勒索病毒的攻击面及其影响范围,并进行实时呈现,帮助组织提升应急处置速度。
人工安全服务:提供专业的威胁分析、威胁处置和加固建议服务,从而实现威胁发现到处置的闭环安全效果。
网络安全创新服务专家