勒索病毒专题(三)三分技术、七分管理——从安全管理角度看勒索病毒防御

发布时间:2020-05-21 10:33:00 阅读次数:

 

2017512号,一场网络病毒风暴席卷英国、俄罗斯、中国等多个国家。全球都面临了声势浩大的网络绑架,该网络绑架罪犯称为勒索病毒。被勒索病毒感染的机构大多使用内网,较少与外界接触,存在防范意识上的疏忽。尤其是教育和医疗等单位,使用行业专网,当某一站点被攻击后,病毒将在专网中迅速传播。据美国Coveware公司2020Q1分析报告,勒索病毒攻击传播方式仍以远程桌面协议(RDP)和钓鱼邮件为主。

一、网络安全管理意义

现有的网络安全建设理念,多以安全产品为导向,而忽视网络安全管理的重要性。无论是定期更新操作系统、漏洞修复防止远程桌面RDP的攻击,还是通过防钓鱼邮件工具进行防护,均需要网络安全人员处置应对,更离不开办公人员的网络安全意识。正所谓三分技术、七分管理,技术是基础,是一种工具、手段,是人的参与和人的管理。因此在建设安全管理体系时,需要建立符合自身实际情况的管理制度以及具体到个人的管控流程,再依托有效且针对性强的工具和技术,相互融合,互为支撑,形成一整套安全管理体系。

 

勒索病毒安全管理体系

 

《中华人民共和国计算机信息系统安全保护条例》规定计算机信息系统实行安全等级保护。计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作。《计算机信息网络国际联网安全保护管理办法》规定互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当负责本网络的安全保护管理工作,建立健全安全保护管理制度,落实安全保护技术措施,保障本网络的运行安全和信息安全等网络安全保护工作。《中华人民共和国网络安全法》规定网络运营者应当按照网络安全等级保护制度要求,履行网络安全保护义务;需制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护主体责任;采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。

 

二、网络安全管理主要要素

(一)全量资产发现与管理

由于勒索病毒主要围绕资产的漏洞和远程桌面RDP展开攻击,因此勒索病毒安全防护的中心就是IT资产,通过主机采集、流量分析、网络扫描多种方式融合的方式,清点企业的IT资产,确保网络中不存在影子资产,同时构建资产生命周期监控体系。

(二)安全风险管控

基于全量资产的管理平台,针对资产本身安全漏洞和各类风险进行周期性巡检,及时修复安全漏洞,加强安全风险闭环管理能力。同时,针对业内新爆发的勒索病毒相关风险,支持便捷的插件化检测,确保风险修复的及时性。

(三)端口管理

关闭不必要的网络端口,通过防火墙配置、安全软件隔离或准入管理,配置端口、服务访问权限。

(四)补丁管理

补丁管理是信息安全管理的预防阶段,通过完善的补丁管理过程可以预防绝大部分病毒侵扰和系统攻击。系统厂商会经常性发布系统相关的补丁或系统升级,而并不是所有的补丁都适合用户的计算机。因此,部分用户,尤其是需要使用专用软件(如科研机构软件、医用软件、工控系统软件)的用户往往会选择禁用系统自动更新,这就造成了巨大的安全隐患。因此,作为企业的安全管理者,应时刻关注系统厂商补丁发布进展,在新补丁发布后,对补丁进行评估和测试,确认其更新的必要性以及对公司业务影响

(五)口令管理

近几年,勒索病毒针对攻击各种服务器,RDP弱口令暴力破解已成为入侵主要方式。黑客首先使用网络工具在互联网上进行无差别的扫描,查找有可用端口暴露在互联网中的服务器,可再配合字典工具对端口对应的服务进行口令暴力破解,如果管理员设置的登录口令弱,或是多个服务器使用相同的口令并且长期未修改,则黑客易短时间轻松破解并成功登录。

(六)违规外联管理

针对涉密网络环境,违规外联使原封闭系统环境与外部网络出现隐蔽通道,内部网络将面临病毒、木马、非授权访问、数据窃听、暴力破解等多种安全威胁。加强违规外联安全管理,要从根源入手,严格监管终端行为、访问信息渠道。可借助违规外联检查工具,通过实时采集网络设备镜像口流量,实现对边界及违规行为的日常化监测与检查,对比允许外联的资产清单,检查并发现内部网络中未通过统一出口违规连接互联网的终端,及时修复整改,并做好该类设备的复测工作。

(七)边界防护管理

对边界进行安全防护管理,掌握网络边界。可基于安全分区设计来确定网络边界,即根据业务和信息敏感度定义安全资产,其次对安全资产定义安全策略和级别,安全策略和级别相同的安全资产,可归属同一安全区域。如,可将某企业的整体网络划分为内网办公区、数据中心区、外联数据区、互联网连接区、对外连接区、网络管理区、广域网连接区等。然后根据区域划分,在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。同时注意删除多余或无效的访问控制规则,优化控制列表,保证访问控制规则数量最小化。此外,针对各类边界安全设备的管理也应引起重视,很多黑客攻击从网络边界开始的。因此对于边界安全设备的各种告警也应建立起标准的安全管理制度,定期确认和排查边界安全设备的告警通知并进行安全加固,防止边界网络被攻破。

(八)容灾备份管理

勒索者病毒最大的受害者是未进行数据备份的用户。应对重要数据进行备份,不论是使用冗余磁盘阵列(RAID)还是租用第三方提供的企业云空间等方式,都能有效的保护企业数据的完整性。但是,在现实情况中,很多企业并没有进行容灾备份,而即使已经做了容灾备份的企业也仅仅只是在建设初期进行了最基本的备份,未落实专人开展容灾备份管理,未定期进行容灾演练测试。因此,一旦加密核心资料被勒索,数据将无法恢复,损失重大。

(九)风险处置流程

风险处置流程是管理制度的重要组成部分和实现形式,应将人、各相关部门、资产本身、业务等方面纳入其中,覆盖办公、生产、业务的各个环节,将各个阶段风险性和脆弱性将至最低。以勒索病毒事件的应急处置流程为例,从事件状态判断、临时处置、安全排查、事件处置、防御加固等各个阶段进行安全管控,并在处理流程中设置安全阈值,各阶段达到规定要求才允许进行下一步。该方式通过流程管控的方式,既规范了勒索病毒的应急处理,提升安全防护工作的效率,同时又能够规范网络安全人员工作流程。

(十)网络安全培训

根据众多勒索病毒事件的分析报告可以看出,员工也是安全建设中较为薄弱的一环。在发起攻击时,黑客往往采用社会工程学手段对目标组织的员工下手,而这些手段中首当其冲的就是邮件钓鱼。网络钓鱼攻击通常是电子邮件钓鱼,骗取受害者点击恶意链接,最后使用恶意的漏洞攻击受害者计算机。因此,需要对企业全体人员进行安全意识培训,尤其是对高管,权力和数据最容易被泄漏,不要让高管成为企业安全的瓶颈。此外,还可以进行钓鱼邮件演练,检测并统计点击虚假钓鱼邮件的人员,针对性的进行安全培训。

(十一)部署安全工具

产品工具是做好安全管理的前提和基础。在目前勒索病毒频发的现实情况下,没有合适可靠的产品工具输出安全能力和技术,再好的安全管理制度和管控流程都是纸上谈兵,没有真正的安全建设可言。例如在应急处置流程的安全排查中,通过安全工具内置的设备指纹模型,自动在环境中发现资产的存在,对这些资产的弱口令、安全漏洞、补丁等安全风险进行排查,并提供安全加固的处置建议和措施。

 

安全管理最重要的不是制定许多高大上的安全制度,然后束之高阁,而是要结合实际制定管控流程,并且能够有效的落地和执行,再配合完善的安全防护体系,勒索病毒便不足为惧。

 

 

(本文技术支持:杭州默安科技有限公司)