當前,以勒索攻擊為代表的網(wǎng)絡(luò)攻擊危害持續(xù)加深。為強化勒索攻擊防范應(yīng)對,中國信息通信研究院日前研究制定《勒索攻擊安全防護要點》(以下簡稱《要點》),《要點》提出,要事前夯實風(fēng)險防范基礎(chǔ),事中做好攻擊應(yīng)急響應(yīng),事后開展網(wǎng)絡(luò)安全加固,同時做好保障服務(wù)支撐。
在事前夯實風(fēng)險防范基礎(chǔ)方面,《要點》提出,全面摸清資產(chǎn)家底,及時下線停用系統(tǒng),按照最小化原則,減少資產(chǎn)在互聯(lián)網(wǎng)上暴露,特別是避免重要業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫等核心信息系統(tǒng)在互聯(lián)網(wǎng)上暴露。開展風(fēng)險隱患排查。定期開展漏洞隱患排查,針對采用的網(wǎng)絡(luò)產(chǎn)品,及時進行版本升級,第一時間修補漏洞。嚴格訪問控制。根據(jù)業(yè)務(wù)需要細致劃分隔離區(qū)、內(nèi)網(wǎng)區(qū)、接入?yún)^(qū)等網(wǎng)絡(luò)域,限制網(wǎng)絡(luò)域間的訪問,并通過
防火墻限制惡意地址鏈接、遠程訪問數(shù)據(jù)庫等。備份重要數(shù)據(jù)。根據(jù)系統(tǒng)、文件和數(shù)據(jù)的重要程度分類分級進行數(shù)據(jù)存儲與備份,并及時更新備份數(shù)據(jù)。強化安全監(jiān)測,提升安全意識,制定應(yīng)急預(yù)案。
在事中做好攻擊應(yīng)急響應(yīng)方面,《要點》提出,要隔離感染設(shè)備。確認遭受勒索攻擊后,立即采取斷網(wǎng)、斷電的方式隔離勒索病毒感染設(shè)備,關(guān)閉設(shè)備無線網(wǎng)絡(luò)、藍牙連接等,禁用網(wǎng)卡并拔掉感染設(shè)備全部外部存儲設(shè)備。要排查感染范圍。在已隔離感染設(shè)備的情況下,對勒索攻擊影響業(yè)務(wù)系統(tǒng)、生產(chǎn)系統(tǒng)及備份數(shù)據(jù)等情況進行排查。同時,研判攻擊事件。通過感染的勒索病毒涉及的勒索信息、加密文件、可疑樣本、彈窗信息等對勒索病毒進行分析。及時開展處置。充分調(diào)動本單位內(nèi)部網(wǎng)絡(luò)安全力量處置勒索攻擊事件。
在事后開展網(wǎng)絡(luò)安全加固方面,《要點》指出,要利用備份數(shù)據(jù)恢復(fù)數(shù)據(jù),確認數(shù)據(jù)恢復(fù)范圍、順序及備份數(shù)據(jù)版本。要排查網(wǎng)絡(luò)安全風(fēng)險,重點排查弱口令、賬戶權(quán)限、口令更新和共用等問題。要更新網(wǎng)絡(luò)安全管理措施,修訂完善網(wǎng)絡(luò)安全管理工作制度,對遭受的勒索攻擊事件進行復(fù)盤分析,并更新網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案。同時,增強網(wǎng)絡(luò)安全威脅風(fēng)險預(yù)警、監(jiān)測處置、指揮調(diào)度等技術(shù)能力。
此外,做好保障服務(wù)支撐,強化對勒索攻擊的全網(wǎng)監(jiān)測預(yù)警。綜合運用基礎(chǔ)電信網(wǎng)絡(luò)監(jiān)測處置技術(shù)手段,強化對勒索病毒感染、通聯(lián)等惡意行為的實時監(jiān)測,及時預(yù)警重大勒索攻擊風(fēng)險。加強勒索攻擊威脅信息共享,匯聚勒索病毒樣本特征、攻擊情報等信息,進一步加強勒索攻擊威脅信息共享。