【解决方案】中了勒索病毒,你该怎么办?
中了勒索病毒,你该怎么办?
近期勒索病毒频发,给众多企业安全带来了严重影响。我公司某上市企业客户也遭受了勒索病毒攻击,造成了该企业OA、ERP、K3、PLM等核心业务系统数据被恶意加密,导致该企业业务处于瘫痪状态无法正常运营,造成非常严重的影响,几亿的经济损失不可挽回!
作为信息安全整体解决方案的专业服务商,我公司在收到该企业反馈的第一时间就派出紧急安全小组到达事发现场,连夜进行调研并给予安全有效技术服务支持,最终帮助该企业顺利恢复运营!
一
根据该客户实际环境采取以下步骤进行应急处理:
1、隔离中病毒服务器:防止病毒源进一步扩散造成损失;
2、病毒查杀:对病毒服务器和终端进行病毒查杀,清除病毒源;
3、灾备保护:对所有服务器进行容灾保护,以防止本地所有应用、数据可以恢复、接管,保证中病毒服务器数据解密过程中解密不成功造成数据损坏、丢失;
4、网络安全防护:在网络出口部署下一代防火墙,对公司内网进行2-7层的应用安全防护,有效防御基于应用层的木马、病毒、蠕虫、攻击等;
5、服务器区安全:划设服务器区,并在前端部署一台WAF、IPS对服务器区进行安全隔离防护,有效阻止来自内部终端的病毒感染;
6、服务器恢复:协助客户进行数据恢复,过程中进行多次系统还原、数据恢复工作。
▼
二
对于该上市企业客户病毒事件进行透彻分析:
1、该客户核心业务系统OA、ERP、K3、PLM等都是通过公网应射的方式满足部分外部用户使用。这样将核心业务系统端口暴露在公网,外部使用过程中很容易被外部非法用户入侵、恶意木马病毒感染,进而造成服务器瘫痪;
2、服务器漏洞补丁未及时更新、端口全部开放,部分应用系统管理员密码简单;
3、网络出口防护能力不足仅有一台老旧传统防火墙,病毒库等也无法比较对目前网络中基于应用层的病毒进行安全防护,比如勒索病毒、漏洞攻击、撞库攻击、僵尸网络等;
4、灾备系统缺失:企业IT体系建设中没有专业的灾备系统对核心应用进行灾备保护,在发生病毒事件后没有能力对数据、业务系统进行及时恢复;
5、企业内部没有建立DMZ区对核心业务系统进行专业的隔离防护,导致病毒在内网数据交互过程中很容易感染到服务器;
6、企业内网终端无安全防护措施,在终端电脑遭受病毒、木马、蠕虫时无法及时发现并查杀,导致在内网不断扩散传播最终导致网络、应用瘫痪。
▼
三
结合该客户IT架构现状和本次勒索病毒事件,我公司提出信息安全整体解决方案如下:
加强事前安全防御:
1、网络安全:在公司外网部署下一代防火墙,对公司内网进行整体2-7层安全防护,有效防御基于应用层病毒、木马、攻击、入侵等;
2、移动接入安全:外部移动办公人员访问公司业务系统,通过SSLVPN安全接入,提高访问安全级别,有效防止第三方数据截获、渗透、病毒感染等;
3、服务器区安全:划设专门的服务器区,并在服务器区前端部署WAF、IPS进行安全隔离防护,防止内网用户在业务访问过程中的病毒、木马等交叉感染及内部的DDOC攻击;
4、内网终端安全:针对企业内网终端目前无任何安全防护措施的情况,建议部署专业的杀毒软件,对终端电脑进行实时病毒查杀和提前防护。保证公司内部办公网络的整体安全。
加强事中实时病毒监测:
可采用专业的实时流量分析检测系统,实时检测公司内部可疑流量、及时发现、定位病毒终端进行病毒处理。
加强事后灾备应急恢能力:
灾备系统建设:在公司内部部署专业灾备系统,对公司核心业务系统进行应用级容灾保护,防范由于病毒、系统问题、人为误操作、硬件故障等事件发生时可以进行快速的恢复、接管。将对公司的影响和损失降到最低。