预警:勒索病毒“升级”袭击 安全防御必须常态化


2018-02-27 17:09 来源:中新网

  2月27日电 近日来,国内多家医院先后遭遇了勒索病毒攻击,造成医院业务一段时间内无法正常运行,2月26日晚间,湖南经视新闻栏目对此进行了采访报道,并发出防范预警。以下是湖南经视的报道内容。

  去年5月开始,勒索病毒就席卷全球,大量计算机“中招”后,电脑会被加密,无法操作。根据360年度报告统计,去年前11个月,全国至少有472.5万多台电脑遭到了勒索病毒攻击,平均每天约有1.4万台,可以说来势汹汹。因此,预防“中招”就是关键。

  

 

  360企业安全专家熊博接受湖南经视采访时表示,去年勒索病毒主要针对个人电脑,今年则更多针对企事业单位的重要信息资源和重要数据,去年是撒网式攻击,今年是精准打击。

  同样的攻击方式,手段却不相同,可以说是勒索病毒攻击正在“升级”。由于医院拥有大量需要紧急使用的信息和数据,难以承受信息系统停摆的影响,因此特受勒索病毒的“青睐”。此外,勒索病毒攻击的目标对象越来越转向交通、能源、学校、政府机构、企业等队信息依赖性较强的机构。

  

 

  对此,360企业安全专家张峰接受湖南经视采访时给出了防范意见:“对付勒索病毒必须以预防为主,需要在服务器、网络安全和应用三个层面检查和加固。”

  勒索病毒主要通过电子邮件、入侵服务器、攻击供应链、挂马网页及系统漏洞传播。数据显示,因男性更喜欢浏览一些“陌生”网页,因此更容易受到勒索病毒的攻击,占比高达90.5%。对此,我们要养成勤打“补丁”的习惯,对重要数据进行备份,不轻易下载、点击不明链接和软件。

  张峰还表示,安全防护是一个动态的过程,及时关注并跟进网络安全的技术进步,有条件的,可以采取新型基于大数据的流量监测设备并配合专业分析服务,做到第一时间发现、处置和溯源根除。

  1、勒索病毒造成的原因?

  勒索病毒是近年数量增加最快的网络安全威胁之一,是不法分子通过锁屏、加密文件等方式劫持用户资产或资源以此向用户敲诈钱财的一种恶意软件。不法分子往往通过网络钓鱼的方式,向受害电脑或服务器植入勒索病毒来加密硬盘上的文件甚至所有数据,随后向受害企业或个人要求数额不等的赎金(如比特币等)后才予以解密。

  从2016年下半年开始,勒索病毒呈现爆发式增长趋势,去年夏天接连爆发的WannaCry和Nopetya,在全球范围内传播,造成能源、交通、医院等重要设施和公共服务中断。

  自从WannaCry爆发以后,勒索病毒的攻击重心已逐渐由个人电脑用户转向企业服务器,尤其是以弱口令爆破远程登录服务器再植入勒索病毒的攻击方式最为常见。

  2、勒索病毒会产生哪些方面的危害?

  勒索病毒感染后会对电脑和服务器中的重要文件、数据甚至整个硬盘进行加密锁定,由于其采用高强度非对称加密方式,受害者在没有私钥的情况下无法恢复文件。

  文件、数据被加密后没法使用,造成整个电脑或服务器无法正常运行,从而使相关业务系统的无法正常运行,甚至整个系统瘫痪。

  现在整个社会的运行,各种业务系统都对信息化和信息系统的依赖度越来越高,信息系统无法正常运行,就将影响各种社会服务和业务的正常运行。

  在近年来全球范围内众多勒索病毒事件中,医院成为感染重灾区。由于医院拥有大量需要紧急使用的信息和数据,难以承受信息系统停止工作的影响,包括法医学记录和数据、病患资料以及预约信息等等,都必须尽快恢复数据,因此特别受到勒索病毒的“青睐”。

  除了医院之外,勒索病毒攻击的目标对象越来越转向交通、能源、学校、政府机构、企业等对信息依赖性强,勒索价值高的机构,病毒危害波及的受害者层面广,甚至危及国家层面上的网络安全。

  3、如何来防范勒索病毒?

  对付勒索病毒必须以预防为主,需要在服务器、网络环境、应用三个层面进行安全风险检查与加固:

  1) 服务器层面,需要避免弱口令,避免多个系统使用同一口令,及时安装漏洞补丁,关闭Windows共享服务、远程桌面控制等不必要的服务,安装防病毒、终端安全管理软件,并及时更新将病毒库;360公司已经针对本次勒索病毒制定的专项检测工具。

  2) 网络层面,要做好安全区域隔离工作,尤其针对重要业务系统及核心数据库,应该设置独立的安全区域,并做好区域边界的安全防御,严格限制重要区域的访问权限并关闭telnet、snmp等不必要、不安全的服务;

  3) 应用系统层面,需要对应用系统进行安全渗透测试与加固,保障应用系统自身安全可控,并对业务系统及数据进行备份,并验证备份系统及备份数据的可用性,一但主系统遭受攻击,保障备份业务系统可以立即启用;同时,需要做好备份系统与主系统的安全隔离工作,辟免主系统和备份系统同时被感染、被攻击;

  安全防护本身是一个动态的对抗过程,在以上安全加固措施的基础上,日常工作中,还需要加强系统使用过程的管理与网络安全状态的实时监测:

  1) 电脑中不使用不明来历的U盘、移动硬盘等存储设备;不接入公共网络,同时机构的内部网络中不运行不明来历的设备接入。

  2) 要常态化的开展安全检查和评估,及时发现安全薄弱环节,及时修补安全漏洞和安全管理机制上的不足,时刻保持系统的安全维持在一个相对较高的水平;(类似定期体检)

  3) 及时关注并跟进网络安全的技术进步,有条件的单位,可以采取新型的基于大数据的流量的监测设备并配合专业的分析服务,以便做到蠕虫病毒的第一时间发现、第一时间处置、第一时间溯源根除。