当前,以勒索攻击为代表的网络攻击危害持续加深。为强化勒索攻击防范应对,中国信息通信研究院日前研究制定《勒索攻击安全防护要点》(以下简称《要点》),《要点》提出,要事前夯实风险防范基础,事中做好攻击应急响应,事后开展网络安全加固,同时做好保障服务支撑。
在事前夯实风险防范基础方面,《要点》提出,全面摸清资产家底,及时下线停用系统,按照最小化原则,减少资产在互联网上暴露,特别是避免重要业务系统、数据库等核心信息系统在互联网上暴露。开展风险隐患排查。定期开展漏洞隐患排查,针对采用的网络产品,及时进行版本升级,第一时间修补漏洞。严格访问控制。根据业务需要细致划分隔离区、内网区、接入区等网络域,限制网络域间的访问,并通过防火墙限制恶意地址链接、远程访问数据库等。备份重要数据。根据系统、文件和数据的重要程度分类分级进行数据存储与备份,并及时更新备份数据。强化安全监测,提升安全意识,制定应急预案。
在事中做好攻击应急响应方面,《要点》提出,要隔离感染设备。确认遭受勒索攻击后,立即采取断网、断电的方式隔离勒索病毒感染设备,关闭设备无线网络、蓝牙连接等,禁用网卡并拔掉感染设备全部外部存储设备。要排查感染范围。在已隔离感染设备的情况下,对勒索攻击影响业务系统、生产系统及备份数据等情况进行排查。同时,研判攻击事件。通过感染的勒索病毒涉及的勒索信息、加密文件、可疑样本、弹窗信息等对勒索病毒进行分析。及时开展处置。充分调动本单位内部网络安全力量处置勒索攻击事件。
在事后开展网络安全加固方面,《要点》指出,要利用备份数据恢复数据,确认数据恢复范围、顺序及备份数据版本。要排查网络安全风险,重点排查弱口令、账户权限、口令更新和共用等问题。要更新网络安全管理措施,修订完善网络安全管理工作制度,对遭受的勒索攻击事件进行复盘分析,并更新网络安全突发事件应急预案。同时,增强网络安全威胁风险预警、监测处置、指挥调度等技术能力。
此外,做好保障服务支撑,强化对勒索攻击的全网监测预警。综合运用基础电信网络监测处置技术手段,强化对勒索病毒感染、通联等恶意行为的实时监测,及时预警重大勒索攻击风险。加强勒索攻击威胁信息共享,汇聚勒索病毒样本特征、攻击情报等信息,进一步加强勒索攻击威胁信息共享。