又来勒索,有完没完 - 数据库安全指南
加密勒索事件仍会继续蔓延
2016年下半年,勒索软件成了企业安全的一个致命伤。卡巴斯基在2016年12月份发布的年度热门事件:加密勒索报告显示,截止到2016年,全球有114个国家受到加密勒索事件的影响,共发现44000多个勒索软件样本。亚信安全发布的勒索软件风险研究报告也显示,近十个月内,全球传播的勒索软件数量增长了15倍,中国勒索软件数量增长更是突破了67倍。
企业如遭到勒索,需要按照要求支付“赎金”,否则文件将有可能永远无法打开。勒索软件欺诈金额巨大,且防范困难;通常,企业支出的赎金,会用来发展下一代勒索软件。近期,国外安全研究人员还发现,有勒索软件目标锁定 Linux服务器,还有新型的勒索软件集成了DDoS功能。可预测,加密勒索事件仍会持续蔓延。
行业 | 受加密勒索事件影响占比 | |
1 | 教育 | 23% |
2 | IT/通信 | 22% |
3 | 娱乐/媒体 | 21% |
4 | 金融服务 | 21% |
5 | 建筑 | 19% |
6 | 政府公共部门 | 18% |
7 | 制造业 | 18% |
8 | 交通运输 | 17% |
9 | 健康医疗 | 16% |
10 | 零售行业 | 16% |
KASPERSKY SECURITY BULLETIN 2016. STORY OF THE YEARTHE RANSOMWARE REVOLUTION
阿里云安全团队深入分析勒索软件背后成因
阿里云安全团队第一时间告知用户勒索软件的蔓延趋势,并为用户提供应急加固方案。同时,从勒索软件行为方式方面着手,研发针对勒索加密软件的查杀功能,保证用户云上安全。
点击链接查看加密勒索软件防护方案:https://help.aliyun.com/knowledge_detail/48701.html
阿里云安全通过对目前勒索事件的数据分析,发现被勒索软件入侵的受害者,都有两大共性:
1、关键账号存在弱口令或无认证机制
·服务器登录关键账号(root、administrator)密码简单或空密码;
·数据库(Redis、MongoDB、MySQL、MSsql Server)等相关重要业务服务直接可以无密码登录。
2、无访问控制策略,业务“裸奔”在互联网上
·RDP、SSH、Redis、MongoDB、MySQL、MSsql Server等高危服务直接裸奔在互联网上
以上两类问题是黑客利用成本较低的攻击方式。攻击者不需要获取账号密码,就可以对业务造成重创。目前,大部分勒索软件攻击都是通过Windows可执行文件中包含的恶意代码实现的,随着勒索软件的不断“变种”,还可能演化出新的攻击方式。
云计算平台如何帮助企业减少被勒索风险
云计算平台的威胁情报能力,基础安全功能,安全产品和专家团队,能够有效帮助企业减少风险。相比自建IDC的封闭环境,云上的安全防护选择和管理手段更加多样化,企业在了解业务现状和防御情况的前提下,可在云上定制防御策略,找到合适自己的预防措施。
云平台为企业提供必要的安全工具(如快照功能),并具备强大的容灾、数据恢复能力;经验丰富的安全专家,会针对最新的攻击类型制定相应加固措施。
在应对勒索软件攻击的场景下,阿里云建议企业采用以下防护措施:
定期备份数据。
在阿里云上,建议企业开启镜像和快照,每天进行备份,并保存3份以上的版本。这样即使遇到勒索软件病毒入侵,也可以迅速恢复到1天前的业务数据。
对服务器进行合理的安全域规划。
建议使用阿里云的VPC服务,用于隔离不同租户间业务应用。同时将不同安全级别的服务器,划分到不同的安全域。以免低安全域的服务器中招后,感染高安全域的其它服务器。
服务口令和远程访问权限管理。
服务器的口令建议至少8位以上,同时必须包含复杂的字符。不应向外网直接开放服务器的远程访问权限。如需要远程运维,建议通过阿里云.云市场上的IPsecVPN或SSLVPN的远程访问解决方案。推荐企业在VPC网关处部署云市场的专业防火墙镜像系统:其可同时支持VPN的远程访问,还可实现VPC南北向流量的访问控制。
服务器对外只开放必要的端口,控制服务器的主动外联访问。
可以在VPC 网关处的防火墙,或阿里云安全组防火墙上,设置服务器对外访问端口。只开放必要的端口,减少攻击面,保护服务器的安全。同时,通过阿里云安全组防火墙禁止服务器的主动访问行为,以阻止受感染服务器可能会尝试连接C&C服务器。
服务器口令和漏洞的防护。
建议使用阿里云云盾的安骑士产品,以对非法破解密码的行为进行识别,避免被黑客多次猜解密码而入侵。同时可以一键清除网站后门维护服务器环境纯净,批量修复高危漏洞。
Web应用漏洞的防护。
对于Web网站,推荐使用阿里云云盾WAF,用于防御OWASP 常见威胁,并对SQL注入、XSS跨站、Webshell上传、后门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越、扫描防护等安全防护;定期及时更新0day补丁,对网站进行安全防护。