一、事前夯实风险防范基础
01 全面摸清资产家底
全面梳理本单位资产情况,建立完善、定期更新本单位资产台账,明确资产归属责任主体,摸清资产底数。
定期开展安全基线排查和风险评估,全面掌握资产风险点位、安全措施等现状,强化资产安全防护。
02 收敛互联网暴露面
及时下线停用系统,按照最小化原则,减少资产在互联网上暴露,特别是避免重要业务系统、数据库等核心信息系统在互联网上暴露。
关闭不必要的端口和服务,如远程访问服务3389端口和22端口,降低外来网络攻击风险。
03开展风险隐患排查
定期开展漏洞隐患排查,针对采用的网络产品,及时进行版本升级,第一时间修补漏洞。采用漏洞扫描设备和产品,对漏洞扫描设备进行集中管理,建立完整、持续的漏洞发现和管理手段,定期开展巡检,将供应链厂商产品、驻场人员等纳入网络安全管理范畴,定期开展供应链安全风险隐患排查。
04 严格访问控制
根据业务需要细致划分隔离区、内网区、接入区等网络域,限制网络域间的访问,并通过防火墙限制恶意地址连接、远程访问数据库等。
按照权限最小化原则开放必要的访问权限,及时更新访问控制规则。
采用动态口令等两种或两种以上进行身份鉴别,用户口令长度应不低于8位并定期更新。
05 备份重要数据
根据系统、文件和数据的重要程度分类分级进行数据存储和备份,主动加密存储和定期备份包括不同业务系统、存储位置等多源异构数据在内的重要敏感数据,并及时更新备份数据。对存储重要敏感数据的硬件设备采取全盘加密、加密存储数据的扇区等措施,防范因勒索攻击引发的数据泄露事件。
06 强化安全监测
在网络侧,部署流量监测、阻断等类型网络安全防护手段,加强针对勒索病毒通联行为的实时监测、封堵
处置。
在终端侧,安装具有主动防御功能的安全软件,不随意退出安全软件、关闭防护功能等,并设立和定期更新应用软件白名单。
07 提升安全意识
以培训、演练等形式提升勒索攻击风险防范意识:不点击来源不明的邮件附件;打开邮件附件前进行安全查杀;不从不明网站下载软件;不轻易运行脚本文件和可执行程序;不混用工作和私人外接设备;在工作设备与移动存储设备外接时,关闭移动存储设备自动播放功能并定期进行安全查杀。
08制定应急预案
制定涵盖勒索攻击在内的网络安全突发事件应急预案,明确牵头部门、职责分工、应急流程和关键举措,一旦发生勒索攻击事件,立即启动预案,第一时间开展应急处置工作。综合采取实战攻防、沙盘推演等形式,开展以勒索攻击应急处置为核心的网络安全演练,提升实战化攻击防御能力。
二、事中做好攻击应急响应
09 隔离感染设备
确认遭受勒索攻击后,立即采取断网、断电的方式隔离勒索病毒感染设备,关闭设备无线网络、蓝牙连接等,禁用网卡并拔掉感染设备全部外部存储设备。立即修改感染设备的登录密码、同一局域网下的其他设备密码、最高级系统管理员账号登录密码等。
10 排查感染范围
在已隔离感染设备的情况下,对勒索攻击影响业务系统、生产系统及备份数据等情况进行排查,根据感染设备异常访问、非法外联等情况,排查数据泄霍情况,确认勸索攻击影响。
对于感染情况不明的设备,提前进行磁盘备份,在隔离网内现场或线上排查,避免启动设备时因残留勒索病毒再次感染。
11 研判攻击事件
通过感染的勒索病毒涉及的勒索信息、加密文件、可疑样本、弹窗信息等对勒索病毒进行分析,提取勒索病毒通信特征、样本文件和传播途径等重要信息,并通过本地网络日志信息、勒索病毒样本文件等研判勒索攻击入侵渠道。
第一时间向地方通信主管部门报告勒索攻击事件。
12 及时开展处置
充分调动本单位内部网络安全力量处置勒索攻击事件,将勒索病毒主控端恶意域名、恶意 IP 地址等加入本单位网络通信黑名单,阻断通联行为。
利用勒索病毒解密工具、已公开的加密密钥、数据加密缺陷等尝试破解勒索病毒,恢复加密数据。
必要时,积极联系具备应对勒索攻击专业能力的网络安全企业、机构等寻求协助。
三、事后开展网络安全加固
13 利用备份数据恢复数据
根据遭受勒索攻击影响相关设备数据备份的情况,综合衡量恢复数据的时间成本和重要程度等因素,确认数据恢复范围、顺序及备份数据版本,利用备份数据进行数据恢复。
14 排查修补网络安全风险
深入排查和整改勒索攻击利用的网络安全防护薄弱环节,重点排查弱口令、账户权限、口令更新和共用等问题,及时更新系统、软件、硬件等版本并修补漏洞。
15 更新网络安全管理措施
根据勒索攻击事件暴露出网络安全的问题,针对性修订完善网络安全管工作理制度,对遭受的勒索攻击事件进行复盘分析,并更新网络安全突发事件应急预案。
16 补齐网络安全技术能力
综合勒索攻击事件情况,深入查找本单位网络安全技术能力短板弱项,补齐补强覆盖网络安全威胁风险预警、监测处置、指挥调度等技术能力,强化勒索攻击防范应对。
四、做好保障服务支撑
17 强化勒索攻击全网监测预警
综合运用基础电信网络监测处置技术手段,强化勒索病毒感染、通联等恶意行为实时监测,及时预警重大勒索攻击风险。
根据勒索病毒特征,加强针对勒索病毒主控端恶意域名、恶意 IP 地址等的全网封堵,及时阻断勒索病毒传播。
18 加强勒索攻击威胁信息共享
依托网络安全威胁信息共享工作机制,汇聚勒索病毒样本特征、攻击情报等信息,进一步加强勒索攻击威胁信息共享,指导强化勒索攻击防范应对工作,加快提升勒索攻击防御合力。