加强关键信息基础设施安全保障刻不容缓 – 作者:WebRAY

勒索病毒家族主要成员

（数据来源于互联网）

易受攻击单位行业分布

（数据来源于互联网）

主要传播途径

勒索病毒攻击防范解决方案

事前，对基础信息设施设备进行扫描探测，对整体资产进行普查，明确信息系统管理范围；进而对漏洞情况进行检查，确保勒索病毒常规利用漏洞打好补丁；对系统指纹信息进行画像，治理信息系统开放的不合规端口、高危端口；针对系统弱口令情况进行检查，避免黑客对信息系统进行口令爆破及利用。事中，为了控制系统主机，黑客通常情况下会对主机植入木马文件，从而进一步控制以及利用，所以系统环境的安全措施需具备木马查杀工具以及针对文件的上传下载防护功能。

事后，通过对恶意代码贯穿整个攻击生命周期的连续分析，采集各种网络安全数据、主机安全数据、威胁情报数据及其他安全数据，利用实时和批量大数据处理引擎，结合机器学习、深度学习等技术，对整体网络安全态势进行全面的呈现、分析及预测，为大范围的预警和响应提供决策支持。

方案关键点

快速定位风险范围

通过对系统应用指纹画像、端口指纹画像，快速定位导致勒索病毒利用的漏洞影响范围；进行弱口令防范检查

对系统内口令安全情况进行检查，弱口令作为黑客控制主机以及勒索病毒入侵利用的主要途径，需坚决避免以及及时防范；

摸清资产台账，避免未知资产及潜在威胁

通过资产摸底对未知资产暴露的漏洞进行确定，避免利用未知资产及其漏洞造成的潜在风险；

结合大数据和人工智能对整个勒索病毒攻击链进行行为监测与分析

实时分析网络全流量，结合威胁情报数据及网络行为分析技术，深度检测所有可疑活动。构筑检测生态圈，准确、快速地掌握攻击链条，以便进一步采取相关措施，将APT攻击扼杀在萌芽状态。

安全建议

自“永恒之蓝”勒索病毒爆发之后，每年都有相应的勒索病毒变种爆发，对事发单位的业务运营造成了严重影响。不管是2017年的“永恒之蓝”、2018年的“ 撒旦”还是2019年的“ GlobeImposter”等各种勒索病毒其变种病毒，其攻击原理，都是利用了相应的操作系统或者漏洞、协议的弱口令等进行入侵，通过共享服务端口进行内网传播。盛邦安全针对勒索病毒，给出的建议如下：

• 对重要的业务系统数据要有数据备份的机制；
• 要常态地化对服务器、应用系统进行漏洞检测，及时发现、及时修复；
• 对于不常用的服务端口需要采取关闭或者加固措施，比如：139端口，145端口，455端口，3389端口；
• 对3389协议进行弱口令检测，并强制要求所有的服务器和终端定期修改复杂密码，杜绝弱口令；
• 及时升级杀毒软件与操作系统补丁；
• 在windows系统中禁用u盘自动运行功能；
• 提升安全意识，不要随意打开来路不明的邮件附件；
• 服务器开启日志收集功能，或者网络中部署日志审计设备，确保在攻击发生后能够为实践溯源提供基础数据；
• 加强监测，制定应急处置方案，做好应急演练。

（本文部分内容转自互联网新闻）
来源：freebuf.com 2021-05-11 14:35:41 by: WebRAY