当前,数据勒索攻击已成为全球最严重的数据安全威胁之一,攻击方式呈现 APT 化、平台化、多重化、AI 驱动化等发展趋势。据统计,近年来针对制造业、公共事业、卫生保健、电力、交通、能源等领域的勒索攻击显著增加。随着云计算、边缘计算等技术的不断发展,新型信息基础设施日益成为勒索攻击的新目标。就在 6 月 23 日,美联储遭到勒索软件团伙 LockBit 攻击,多达 33TB 的美国重要金融数据被窃取,或将成为有史以来最严重金融数据泄露事件!
为有效防范数据勒索软件传播,根据数据勒索攻击流程,将数据勒索防范工作分为事前风险防范、事中应急处置、事后整改加固三个阶段(如图 1 所示)。企业可在事前采取风险防范措施,建立完善数据安全管理机制,构建安全数据处理环境,提高人员安全意识等措施,预防勒索软件入侵;事中根据事件发展态势进行快速响应,及时隔离感染源,加固未感染设备,控制事件发展态势,上报攻击事件有关信息;事后提取勒索软件样本特征,排查攻击痕迹,采取相应的整改加固措施,恢复受影响服务,全面对勒索事件进行总结。
1. 事前风险防范
图 1 数据勒索防范流程
1.1 梳理数据处理相关载体清单
按照数据处理相关载体使用情况和业务系统接口情况,梳理形成数据载体清单、数据接口清单。
1、 建立数据载体台账
数据载体清单主要用于掌握数据载体的使用情况,以日常核查数据载体及相关配置。数据载体清单模板如表 1 所示。
| 序
号 |
载体类型 | 载体名称 | 厂商 | 型号 | MAC 地址 | IP 地址 | 域名 | 端口 | 承载业务 |
| 1 | 工业控制器 | PLC | 西门子 | S71212 | A0-B0-C0-10-20-30 | 192.168.xx.xx | 无 | 102 | 工业控制 |
| 2 | 工控机 | 工业实时数据库 | 亚控 | KingHistorian | A0-B0-C0-10-20-31 | 192.168.xx.xx | 无 | 5678 | 工业数据存取 |
| 3 | 服务器 | ERP 系统 | SAP | ERPV1 | A0-B0-C0-10-20-32 | 192.168.xx.xx | erp.company.com | 80 | ERP 管理 |
| 4 | 存储设备 | 云存储 | 华为 | OceanStor | A0-B0-C0-10-20-33 | 192.168.xx.xx | 无 | 81 | 云服务 |
| … | … | … | … | … | … | … | … | … | … |
注:载体类型包括但不限于服务器、便携式计算机、工控机、工业控制设备、台式机、安全设备、存储设备等。
2、 梳理数据接口清单
数据接口清单用于日常核查系统接口认证、使用和监测情况, 包括各业务系统的接口名称、功能描述、协议、认证方式等信息。清单模板如表 2 所示。
| 序号 | 系统名称 | 接口名称 | 功能描述 | 协议 | 加密方式 | 鉴权措施 |
| 示例 | OA | 创建/修改 XX 数据 | 数据从ERP 同步到OA 流程 | HTTP | SM2 | 双因子认证 |
| … | … | … | … | … | … |
1.2 健全数据安全管理制度
依据《数据安全法》《工业和信息化领域数据安全管理办法(试行)》等法规制度及相关标准规范,结合企业实际情况和安全防护特点,制定企业数据安全管理制度,明确人员管理、分类分级、数据处理环境管理、供应链管理、应急处置、风险评估等
与数据勒索防范相关的管理要求,提高数据勒索防范能力,提升数据安全管理水平。
1.3 强化数据处理环境安全管理
1、 设备安全管理
- 合理配置设备口令、端口、服务等安全策略,定期开展配置审计工作。
- 使用杀毒软件、应用程序白名单、终端检测与响应(EDR) 等技术阻止未授权软件或行为运行,定期更新病毒库或安全检测策略库,并定期进行查杀。
- 根据数据载体资产清单,禁止开放非必要的高风险网络服务端口(如3389、22 等远程访问服务端口,135、139、445 等局域网共享端口等)。
- 严禁使用破解版软件,使用专用移动存储介质,减少勒索软件传播风险。
- 根据数据接口清单,加强对数据接口的安全配置和日志记录,设置数据接口访问白名单并定期对白名单和安全配置进行审查。
2、 网络安全管理
- 合理规划网络架构,根据承载业务特点、业务规模、影响工业生产的重要程度等因素,对企业内部网络实施分区分域管理。
- 部署防火墙、网闸等设备实现域间横向隔离。
- 规范设备联网管理,建议采用IP、MAC 地址绑定等策略限制非授权设备联网。
- 严禁将重要数据和核心数据涉及的数据载体部署在网络边界处。
- 定期对网络安全设备防护策略进行更新。
3、 强化身份鉴别管理
访问企业邮件、OA、ERP、MES、SCADA 等数据处理关键业务系统时,采用单点登录或多因素认证方式,强化身份认证管理,防范勒索软件利用脆弱性凭证传播。主要措施为:
- 遵循最小授权原则,合理设置账户权限。
- 禁用不必要的系统默认账户和管理员账户,及时清理过期账户。
- 避免使用默认口令或弱口令,每季度更新一次口令。
- 设置高强度口令,长度至少 8 位以上,包含大小写字母、数字以及特殊字符中的三种以上。
- 设置登录尝试次数及登录连接超时时间(如3 次,10 分钟)。
4、 加强日志管理
重要主机设备、网络设备、应用系统、云服务等访问和操作日志的留存时间不少于六个月,并定期对日志备份,便于开展事后溯源取证。
5、 强化数据的健康监测
企业应根据实际情况加强数据在收集、存储、使用、加工、传输、提供、公开等环节的安全健康监测,实时检测和识别数据的状态变化,确保发生数据被加密、破坏或删除等恶意操作行为 时能够及时进行报警,并帮助企业迅速定位问题并采取应对措施。
1.4 排查修复重要安全漏洞
1、 漏洞排查与修复
密切关注国内外权威漏洞库及相关厂商发布的漏洞预警通知,及时开展漏洞排查修复工作。
2、 数据安全防护加固
工业企业可咨询设备厂商或专业机构评估漏洞修复影响,若漏洞修复困难或影响工业生产,建议可临时采用身份鉴别、访问控制、IP 端口封禁、入侵防护、系统逻辑隔离等多种措施进行安全加固。
3、 建立漏洞排查与修复常态化机制
按照数据载体清单,利用终端检测与响应、杀毒软件、主机安全防护等主机防护软件,漏洞扫描设备等工具,每月至少开展一次漏洞扫描、“后门”排查和病毒查杀,确保漏洞应修尽修。
1.5 做好数据备份
1、 建立数据资产目录
根据重要数据识别相关标准要求,开展数据分类分级,形成数据资产清单和重要数据目录。
2、 定期开展数据备份工作
结合数据重要程度,面向关键主机的操作系统、配置文件、重要业务系统等,根据实际情况定期开展增量或全量数据备份。建议一般数据视情况每年至少进行一次备份,重要数据每半年至少进行一次备份,核心数据原则上实时备份。同时加强对备份数据的安全性检测,确保备份数据的可用性、完整性和可恢复性。
3、 建立数据异地备份机制
原始数据与备份数据应存储在不同网络环境或异地,备份数据的安全防护要求不低于原始数据。
4、 建立数据恢复机制
建立数据灾难备份恢复机制,定期进行备份数据的恢复性测试,至少每季度对备份数据的可恢复性进行检查。建议企业根据实际情况建设核心业务系统的完整性恢复验证平台并建立分钟级的恢复验证机制,实现业务级恢复验证,缩短重要业务 RTO、RPO 响应流程时间。
5、 重要数据和核心数据处理系统热冗余
对涉及重要数据和核心数据的历史数据库、时序数据库、实时数据库等存储设备进行硬件冗余,保证主设备出现故障时冗余设备可及时切换并恢复数据。
1.6 加强社会工程学攻击应对措施
重点加强企业电子邮件、DNS、浏览器的安全使用。
1、 启用电子邮件安全认证功能
启用基于域的消息认证、报告和一致性(DMARC)等安全认证协议,验证电子邮件域名来源的真实性,关闭 Office、PDF 等办公软件的宏脚本功能。
2、 启用域名解析服务
使用保护性域名解析服务(PDNS),阻止可疑域名访问。
3、 使用安全隔离的浏览软件
使用具备安全沙箱功能的浏览器(如 Chrome、Firefox、Microsoft Edge)访问外部网络,隔离访问进程,限制非信任程序访问,实现主机与恶意代码隔离。
1.7 定期开展风险评估
按照数据安全风险评估相关标准规范,聚焦影响业务开展风险评估,掌握数据安全风险总体状况,及时发现勒索软件传播安全隐患,加固安全管理和技术防护措施。
1.8 强化勒索攻击风险监测预警
1、 密切关注安全态势
企业数据安全负责人应密切关注科研院所、安全企业发布的数据勒索事件分析及安全态势研究报告,组织做好安全防范。
2、 部署监测审计设备
部署监测审计相关设备或平台,在不影响生产稳定运行的前提下,及时发现处置安全漏洞、勒索攻击等安全风险,必要时应咨询专业服务机构或安全企业协助处置。
1.9 定期开展数据安全教育培训
1、 提高数据安全防护意识
面向企业管理人员、技术人员、操作人员等,定期开展网络和数据安全相关法律法规、政策标准宣传教育,增强企业人员网络和数据安全意识,规范使用电子邮件、浏览器、存储介质等, 防范勒索软件运行和病毒传播。
2、 培养数据安全事件应对能力
针对网络、系统相关运维人员等,定期开展专业技能培训,了解数据勒索应对的基本方法。培训对象及内容如下表所示。
表 3 数据安全培训内容
| 培训对象 | 培训内容 |
| 管理人员 (主要培训对象为各部门的主管人员、数据安全负责人、关键业务负责人) |
通过法律法规培训,解读《数据安全法》《工业和信息化领域数据安全管理办法(试行)》等法律法规重点内容,提高企业人员对防勒索等数据安全防护工作的重视程度,掌握数据安全保护义务等相关要求。 |
| 技术人员 (主要培训对象为负责数据安全管理的技术人员、运维人员) |
通过安全技能培训,讲解数据安全防护要求以及各类安全设备的管理和使用方法,使培训对象掌握勒索软件防护和应急处置方法。 |
| 全体员工 (包括管理人员、技术人员、操作人员) |
1、通过制度宣贯,使培训对象掌握企业数据安全相关制度方案和管理流程,推动企业数据安全制度有效执行。 2、通过安全技能培训,使培训对象掌握文件操作和使用杀毒软件的基本功能,利用杀毒软件或其他安全软件对勒索软件进行隔离方法,能够在紧急情况下采取应急措施,对邮件附件、存储介质的安全性进行查杀,使用系统自带备份功能进行定期备份,了解如何卸载非必要软件等操作方式。 3、通过安全意识培训,讲解数据安全典型风险案例和常规安全保护要求,规范系统平台和社交媒体的管理和使用,使员工了解数据安全问题对工业生产造成的影响,及时排查现存的问题,重视病毒查杀、数据备份和密码管理等日常工作,严禁转发恶意链接及执行非常规操作,防范勒索软件利用钓鱼与网站挂马等进行播,避免泄露企业及企业合作方、上下游供应链企业系统账号、联系人身份信息等敏感信息。 |
1.10 定期开展应急演练
1、 建立应急响应机制
企业根据实际情况,制定完善应急预案及响应措施。根据梳理的数据全生命周期载体清单,完善勒索病毒应急响应方案,划定应急响应重点,明确应急响应的每个流程环节,将数据载体的应急响应具体到责任人。
2、 建立应急演练常态化机制
企业可搭建与真实网络环境相似的演练环境,包括网络拓扑、系统配置、数据模拟等,确保演练的真实性。根据演练场景,编 写详细的演练脚本,包括攻击手段、攻击路径、攻击目标等,确 保演练的顺利进行。根据应急预案,每年至少开展一次数据勒索 事件的应急演练。按照演练计划,模拟攻击场景,让参与者在实 践中学习和掌握应对方法。
3、 应急演练总结与预案修订
对演练过程进行评估,总结应急演练成效,提出改进措施和建议,必要时修订应急预案。
2. 事中应急处置
2.1 确认勒索攻击事件
1、 勒索事件初步判断
若服务器或主机等设备被锁定无法正常登录、服务无法访问,系统提示、弹窗、文件中出现勒索威胁信,磁盘文件无法正常读写、后缀被篡改,则说明设备可能感染勒索软件。
2、 勒索事件确认
确认勒索攻击事件后,应立即拍照或截图取证,截图内容包含勒索威胁信、被篡改系统界面、加密文件后缀名及文件修改时间,用于应急处置人员作初步判断。
2.2 隔离感染源
1、 隔离被感染设备
- 立即切断被感染设备的所有物理网络连接,切断攻击者对受控设备的远程控制,防止勒索软件横向传播。
- 严禁对被感染设备进行重启或反复读写操作,以免影响后续数据恢复及取证工作。
2、 隔离被感染网络
若多台设备感染勒索软件,应尽量在网络交换节点处进行隔离,如关闭被感染设备所处网络的交换机电源,实现网络内设备间隔离,防止勒索软件继续传播,造成更大损失,待应急响应结束并完成安全加固后再恢复网络。
2.3 加固未感染设备
1、 资产排查
根据数据载体资产清单,对被中毒设备以外的其他设备和数据资产进行感染范围的安全排查,确定未感染勒索软件的设备和数据资产。
2、 隔离未感染设备
为避免应急处置过程中勒索软件继续传播,建议根据实际情况隔离未感染设备。确保切断未感染设备的网络与被感染设备的网络连接,全面进行病毒查杀并修复相关补丁,进一步核查关闭高危端口、修改弱口令和默认口令为复杂口令。若因业务需要无法断网,可加强对非必要端口(3389、445、139、135 等)实施管控措施,如在防火墙等安全设备设置IP 白名单规则,配置高级安全规则。
3、 强化访问控制机制
为避免攻击者进一步利用泄漏口令爆破入侵其它系统,用户应加强访问控制并立即修改设备登录口令。
2.4 及时上报事件
1、 安全事件级别评判定
数据勒索事件发生后,企业可根据数据安全应急预案等相关制度,判定安全事件级别。
2、 安全事件上报
重大以上安全事件,企业应按照要求立即向地方行业监管部门报告。
3、 安全事件处置
立即组织本单位技术团队及外部技术力量采取应急处置措施,开展数据恢复及追溯工作,控制影响范围,保存相关痕迹和证据。
3. 事后整改加固
3.1 提取样本
1、 提取勒索软件样本
通过查看可疑进程、异常启动项、异常注册表、网络连接、可疑流量等方式进行勒索软件定位并提取勒索软件样本。
2、 确定勒索软件解决方案
借助勒索软件解密网站(如表 4 所示),通过上传被加密文件样本或检索勒索软件样本、加密文件后缀、勒索威胁信关键词等方式确认勒索软件家族,获取解决方案。
表 4 勒索软件解密网站参考
| 序号 | 网站链接 | 运营公司 |
| 1 | https://edr.sangfor.com.cn/#/information/ransom_search | 深信服科技股份有限公司 |
| 2 | https://lesuobingdu.360.cn/ | 三六零安全科技股份有限公司 |
| 3 | https://lesuo.venuseye.com.cn/ | 启明星辰信息技术集团股份有限公司 |
| 4 | https://lesuobingdu.qianxin.com/ | 奇安信科技集团股份有限公司 |
| 5 | https://guanjia.qq.com/pr/ls/ | 腾讯控股有限公司 |
3.2 排查攻击痕迹
通常勒索软件会在系统中新建后门账户、驻留进程、植入脚本、增加启动项、添加定时任务的方式实现对系统的持久控制。企业应检查受感染设备网络连接、进程、账号、计划任务、登录日志、自启动项、文件操作等关键信息,分析网络及安全设备告警日志,排查勒索软件攻击痕迹,还原攻击路径,确定传播影响范围。
1、 异常用户账号排查
部分勒索软件在系统中建立隐藏后门账号以实现持久控制, 可以利用以下系统命令检查是否存在异常账号。
- Windows 操作系统,可在命令提示符中使用 net user 命令, 查看用户信息,如创建时间、所属组、最近登录时间等;使用 lusmgr.msc 命令打开本次用户和组或wmic useraccount get name,$ID,可查看系统创建的隐藏账户。
- Linux 操作系统, 可使用 awk -F: ‘$3==0{print $1}’/etc/passwd1. 查询特权用户(uid 为0),查看是否新增异常账号。使用 awk ‘/\$1|\$6/{print $1}’ /etc/shadow 命令查询远程登录帐号信息。
2、 异常进程排查
勒索软件进程名称有别于正常程序,具有 CPU 资源占用率高的特点,可利用以下系统命令查看进程详细信息开展异常进程排查。
- Windows 操作系统,可使用 tasklist 命令或任务管理器,查看进程信息。
- Linux 操作系统,可使用 top 命令,查看进程名称及 CPU 占用率信息。
3、 异常网络连接排查
勒索软件通常具备局域网扫描、控制指令接收、数据外传等异常网络通信行为。可使用以下系统命令查看网络连接,检查是否有外部可疑 IP 地址连接,及 1433、3306、3389 等高危服务端口连接情况。
- Windows、Linux 操作系统,均可使用 netstat -ano 命令,查看网络连接信息。
4、 异常文件检查
勒索软件运行后会释放、下载配置信息或恶意代码等文件,可在系统关键位置开展异常文件检查,排查攻击痕迹。
- Windows 操作系统,可在用户目录的 Recent 文件夹、Web 服务器目录、回收站、下载目录、浏览器历史记录等位置,将文件列表按时间进行排序,查找可疑文件。
- Linux 操作系统,可使用 find ./ -iname “*” -atime X -type f 查找某一时间范围内创建的文件,重点检查 /tmp 等敏感目录,针对可疑文件可以使用 stat 命令查看创建修改时间。
5、 异常启动项排查
多数勒索软件会修改系统启动项,以实现开机自动运行。可利用系统自带的计划任务程序,查看计划任务所执行的操作,判断是否存在异常计划任务。
- Windows 操作系统,通过wmic startup get command, caption 命令查看系统启动项。
- Linux 操作系统,可通过cat /etc/inittab 命令查看系统启动项。
6、 异常定时任务排查
部分勒索软件可通过修改系统定时任务,实现恶意进程驻留检查,可利用以下系统命令,查看定时任务信息,判断是否存在异常。
- Windows 操作系统,可通过 schtasks /query /fo LIST /v 命令查看系统计划任务,可通过 wmic service list brief 查看系统服务。
- Linux 操作系统,可通过 cat /etc/crontab 命令查看系统定时任务,通过 chkconfig –list 查看服务自启动状态。
7、 异常日志排查
勒索攻击后,通过在操作系统中会存留异常行为日志,可通过以下命令查看日志,并排查攻击痕迹。
- Windows 操作系统,可在系统根目录中 \Windows\System32\Winevt\Logs 目录下,查看系统、应用、安全日志。
- Linux 操作系统,可在 /var/log 目录下,查看定时任务、邮件、登录、安全日志。
8、 安全设备告警日志排查
具备安全防护技术条件的企业,可查看防火墙、VPN、态势感知平台、日志审计、数据库审计、终端检测与响应(EDR)、杀毒软件等安全设备中的安全告警及工作日志信息,进一步排查被感染终端设备,分析勒索软件传播路径。
3.3 整改加固
1、 排查并清除恶意残留
根据攻击痕迹排查情况,彻底清除被感染设备中勒索软件残留的恶意代码、后门账号、计划任务、自启动项等攻击痕迹,并全面查杀恶意代码。
2、 修复并优化安全策略
使用安全软件彻底修复数据载体清单设备存在的安全漏洞, 并对其安全防护策略进行优化。
3、 消减数据勒索风险
全面落实事前风险防范措施,全面消减数据勒索风险。
3.4 恢复服务
1、 恢复操作系统
若无法彻底清除勒索软件或者被锁软件无法解密,应采用系统备份镜像恢复或重新部署安装操作系统。
2、 恢复应用
若无法彻底清除勒索软件,无法解密数据,应采用备份应用数据恢复或重新部署。
3、 恢复数据
若无法利用专用解密软件、暴力破解工具等恢复加密数据, 应利用本地、异地或云端存储的备份数据进行恢复。
4、 服务测试
待操作系统和应用恢复等基础环境和应用数据恢复后,在可控条件下进行服务测试,待服务无异常后可上线运行。
5、 恢复网络
完成系统、数据、应用恢复工作后,可将数据载体重新接入网络中,并在网络边界处做好安全配置。
6、 上线运行
基础环境恢复后,应在可控条件下开展试运行测试,待服务 无异常后可上线运行。必要时可联系专业机构协助开展恢复工作。
3.5 事件总结
全面梳理数据勒索事件应急处置过程,总结经验教训,编制形成数据勒索攻击事件处置报告,报告内容包括但不限于数据勒索事件概述、影响范围、临时处置措施、分析溯源、加固整改等, 及时向行业或地方主管部门报告。
本文摘编自国家工业信息安全发展研究中心发布的《数据勒索防范手册(1.0版)》。
数治网院iDigi(产研人才卓越中心)全面推进一体式引育用留:在数据 5A 为基础的素养上,为每个人构建技能到能力的路径,规划符合业务需求的学习和成长计划,更好地一起通过数治x赋能行业和企业成长,保持领先。
我们邀你终身学习,从数据素养打造开始,与你一起达成从人才技能升级到个体激发组织活力的大步跨越!加入 AIGC+X 赋能成长营,开启素养测评、自主学习、实践认证一体升值通道,人均引育用留支出有望降低 20%-40%,技能升级 40%-60% !详情下载:
数治网DTZed 数字人才终身学习 2024
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
在文末扫码关注官方微信公众号“idtzed”,发送“入”直通相关数治x行业共建群、AIGC+X 成长营,@老邪 每周免费领取法规、标准、图谱等工具包。
欢迎先注册,登录后即可下载检索数据安全等相关标准、白皮书及报告。更多高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”。
