當前,以勒索攻擊為代表的網絡攻擊危害持續(xù)加深。為強化勒索攻擊防范應對,中國信息通信研究院日前研究制定《勒索攻擊安全防護要點》(以下簡稱《要點》),《要點》提出,要事前夯實風險防范基礎,事中做好攻擊應急響應,事后開展網絡安全加固,同時做好保障服務支撐。
在事前夯實風險防范基礎方面,《要點》提出,全面摸清資產家底,及時下線停用系統(tǒng),按照最小化原則,減少資產在互聯(lián)網上暴露,特別是避免重要業(yè)務系統(tǒng)、數(shù)據(jù)庫等核心信息系統(tǒng)在互聯(lián)網上暴露。開展風險隱患排查。定期開展漏洞隱患排查,針對采用的網絡產品,及時進行版本升級,第一時間修補漏洞。嚴格訪問控制。根據(jù)業(yè)務需要細致劃分隔離區(qū)、內網區(qū)、接入區(qū)等網絡域,限制網絡域間的訪問,并通過防火墻限制惡意地址鏈接、遠程訪問數(shù)據(jù)庫等。備份重要數(shù)據(jù)。根據(jù)系統(tǒng)、文件和數(shù)據(jù)的重要程度分類分級進行數(shù)據(jù)存儲與備份,并及時更新備份數(shù)據(jù)。強化安全監(jiān)測,提升安全意識,制定應急預案。
在事中做好攻擊應急響應方面,《要點》提出,要隔離感染設備。確認遭受勒索攻擊后,立即采取斷網、斷電的方式隔離勒索病毒感染設備,關閉設備無線網絡、藍牙連接等,禁用網卡并拔掉感染設備全部外部存儲設備。要排查感染范圍。在已隔離感染設備的情況下,對勒索攻擊影響業(yè)務系統(tǒng)、生產系統(tǒng)及備份數(shù)據(jù)等情況進行排查。同時,研判攻擊事件。通過感染的勒索病毒涉及的勒索信息、加密文件、可疑樣本、彈窗信息等對勒索病毒進行分析。及時開展處置。充分調動本單位內部網絡安全力量處置勒索攻擊事件。
在事后開展網絡安全加固方面,《要點》指出,要利用備份數(shù)據(jù)恢復數(shù)據(jù),確認數(shù)據(jù)恢復范圍、順序及備份數(shù)據(jù)版本。要排查網絡安全風險,重點排查弱口令、賬戶權限、口令更新和共用等問題。要更新網絡安全管理措施,修訂完善網絡安全管理工作制度,對遭受的勒索攻擊事件進行復盤分析,并更新網絡安全突發(fā)事件應急預案。同時,增強網絡安全威脅風險預警、監(jiān)測處置、指揮調度等技術能力。
此外,做好保障服務支撐,強化對勒索攻擊的全網監(jiān)測預警。綜合運用基礎電信網絡監(jiān)測處置技術手段,強化對勒索病毒感染、通聯(lián)等惡意行為的實時監(jiān)測,及時預警重大勒索攻擊風險。加強勒索攻擊威脅信息共享,匯聚勒索病毒樣本特征、攻擊情報等信息,進一步加強勒索攻擊威脅信息共享。