勒索病毒卷土重來(lái)？看亞馬遜云科技如何保護(hù)你的網(wǎng)絡(luò)安全！

Hi大家好~我是小亞~

聽說(shuō)勒索病毒很可怕，但是亞馬遜云科技有高招，一起來(lái)看看吧！

似乎今年愈演愈烈的全球各種勒索攻擊都是頻繁針對(duì)企業(yè)，直接的目的都是利益，自從1989年第一次有記錄的勒索病毒（PC Cyborg）攻擊以來(lái)，勒索病毒已經(jīng)成為一個(gè)嚴(yán)峻的網(wǎng)絡(luò)威脅，而用戶一旦中招，很難有比較好的解決辦法。

那么到底應(yīng)該該如何防范勒索病毒，

一旦中招了該怎么應(yīng)對(duì)？

亞馬遜云科技保護(hù)著數(shù)以百萬(wàn)計(jì)的活躍客戶，世界上具有代表性的行業(yè)以及一系列企業(yè)包括大型企業(yè)、初創(chuàng)企業(yè)、教育機(jī)構(gòu)機(jī)構(gòu)和政府組織。大規(guī)模和全球性的客戶給了我們?cè)瓢踩膹V闊視野和深刻視角，我們會(huì)將目光迅速轉(zhuǎn)向我們的基礎(chǔ)設(shè)施和服務(wù)。亞馬遜云科技的安全始于我們的核心基礎(chǔ)設(shè)施，它是為云和設(shè)計(jì)滿足最嚴(yán)格的安全性和世界各國(guó)的監(jiān)管要求。

繼物理、環(huán)境和安全I(xiàn)T基礎(chǔ)設(shè)施的控制在遷移到亞馬遜云科技云之前，客戶可能會(huì)負(fù)責(zé)整個(gè)控制集的安全合規(guī)和審計(jì)程序。有了亞馬遜云科技，就可以從亞馬遜云科技遵從程序繼承控制，允許您應(yīng)該在云端專注于保護(hù)工作負(fù)載和放入的數(shù)據(jù)。亞馬遜云科技有助于減輕您的操作負(fù)擔(dān)，因?yàn)閬嗰R遜云科技操作、管理和控制組件從主機(jī)操作系統(tǒng)和虛擬化層到那些設(shè)施的人身安全服務(wù)操作。

保護(hù)亞馬遜云科技上的系統(tǒng)和數(shù)據(jù)是我們共同的責(zé)任。當(dāng)您在亞馬遜云科技Cloud中部署系統(tǒng)時(shí)，亞馬遜云科技通過(guò)共享提供幫助你的安全責(zé)任。亞馬遜云科技工程師云基礎(chǔ)設(shè)施使用安全的設(shè)計(jì)原則和客戶可以為工作負(fù)載實(shí)現(xiàn)自己的安全體系結(jié)構(gòu)碼部署在亞馬遜云科技上。亞馬遜云科技負(fù)責(zé)保護(hù)運(yùn)行所有亞馬遜云科技提供的服務(wù)。該基礎(chǔ)結(jié)構(gòu)由運(yùn)行亞馬遜云科技的硬件、軟件、網(wǎng)絡(luò)和設(shè)施云服務(wù)組成。客戶選擇的亞馬遜云科技云服務(wù)決定客戶的責(zé)任。這決定了配置的數(shù)量作為其安全職責(zé)的一部分，客戶必須執(zhí)行的工作?？蛻粲胸?zé)任管理他們的數(shù)據(jù)(包括加密選項(xiàng))，對(duì)其資產(chǎn)進(jìn)行分類，并使用亞馬遜云科技身份訪問(wèn)管理(IAM)應(yīng)用適當(dāng)?shù)臋?quán)限。

亞馬遜云科技

守護(hù)你的網(wǎng)絡(luò)不受勒索病毒侵?jǐn)_！

在事前，怎么做才能防范勒索病毒入侵我們的環(huán)境呢？

在勒索病毒發(fā)生前，我們建議客戶做安全加固，做好防范，主要包括如下五個(gè)方面：

1 適配NIST CSF（網(wǎng)絡(luò)安全框架）安全模型

實(shí)施(NIST)網(wǎng)絡(luò)安全框架(CSF)將會(huì)幫助制定管理和降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的標(biāo)準(zhǔn)為你的組織。它是以結(jié)果為中心的旨在幫助您建立一組基本安全性的框架圍繞五個(gè)功能組織的活動(dòng):識(shí)別、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)——改善安全性、風(fēng)險(xiǎn)管理和組織的彈性。

客戶可以映射到對(duì)應(yīng)的亞馬遜云科技安全以及安全相關(guān)服務(wù)，根據(jù)自己的情況訂閱響應(yīng)的安全能力。尤其是Amazon GuardDuty這類探測(cè)類服務(wù)，可以幫助客戶發(fā)現(xiàn)云上環(huán)境中的威脅。

客戶可以根據(jù)NIST CSF框架，建立自己的安全基線。通過(guò)Amazon Config服務(wù)配置檢查項(xiàng)，對(duì)重要的云上資產(chǎn)和配置進(jìn)行基線控制。定義通過(guò)Trust Advisor等服務(wù)，對(duì)云環(huán)境中的風(fēng)險(xiǎn)和問(wèn)題進(jìn)行檢查和建議。

2 對(duì)VPC進(jìn)行分段并設(shè)置安全防護(hù)

網(wǎng)絡(luò)分段可以通過(guò)減少暴露面，降低被突破可能性以提高安全性，同時(shí)會(huì)減少攻擊者通過(guò)橫向移的動(dòng)方式進(jìn)一步破壞你的環(huán)境。將VPC分割成獨(dú)立的組件安全組，配置NACL，部署網(wǎng)絡(luò)防火墻以控制必要的流量，可以減少勒索軟件的傳播能力。

3 梳理用戶對(duì)關(guān)鍵應(yīng)用系統(tǒng)和數(shù)據(jù)的訪問(wèn)權(quán)限

客戶需要盡早明確關(guān)鍵系統(tǒng)的數(shù)據(jù)，控制對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限，減少不必要的賬號(hào)訪問(wèn)，避免人為訪問(wèn)，針對(duì)需要訪問(wèn)的賬號(hào)使用最小權(quán)限原則。

4 定義并測(cè)試數(shù)據(jù)備份與恢復(fù)計(jì)劃

亞馬遜云科技提供多種不同的數(shù)據(jù)備份和恢復(fù)能力供用戶選擇。數(shù)據(jù)存儲(chǔ)（EFS，EBS）和數(shù)據(jù)庫(kù)服務(wù)（DDB，RDS），Amazon Storage Gateway等都支持通過(guò)Amazon backup服務(wù)自動(dòng)執(zhí)行備份。同時(shí)客戶可以通過(guò)lambda自動(dòng)移備份計(jì)劃和方案，也可以通過(guò)S3的跨區(qū)域復(fù)制實(shí)現(xiàn)異地備份。有些勒索病毒甚至?xí)ニ阉鲾?shù)據(jù)的備份并刪除，異地，隔離環(huán)境的數(shù)據(jù)備份方案尤為重要。

RPO目標(biāo)決定了數(shù)據(jù)備份的頻率，以及備份保存的環(huán)境是備份環(huán)境還是降級(jí)甚至完整的生產(chǎn)環(huán)境。而RTO決定了恢復(fù)方案中多久可以恢復(fù)出備份的數(shù)據(jù)并讓業(yè)務(wù)系統(tǒng)恢復(fù)正常。

5 查找云上關(guān)鍵應(yīng)用的漏洞并修復(fù)

找出暴露的漏洞并修復(fù)對(duì)于面臨威脅的應(yīng)用系統(tǒng)是當(dāng)務(wù)之急。通過(guò)使用Amazon Inspector或者其他第三方漏洞掃描與管理工具，可以找到漏洞，之后通過(guò)Amazon System Manager patch manager對(duì)系統(tǒng)打補(bǔ)丁，修復(fù)漏洞。

6 制定安全事件監(jiān)控與響應(yīng)機(jī)制并定期演練

針對(duì)勒索病毒或者其他安全事件，提前制定好監(jiān)控與響應(yīng)機(jī)制，定義好處理流程，方法，升級(jí)路徑和各方資源協(xié)調(diào)處理。尤其是讓業(yè)務(wù)部門做好萬(wàn)一發(fā)生問(wèn)題的準(zhǔn)備。

7 加強(qiáng)安全意識(shí)教育

勒索病毒的一個(gè)常見的攻擊路徑是社會(huì)工程學(xué)攻擊，建議客戶定期給員工做安全意識(shí)教育，尤其是能有可能訪問(wèn)到關(guān)鍵數(shù)據(jù)的員工。有必要的時(shí)候可以做基于社會(huì)工程學(xué)攻擊的演練。

如果發(fā)現(xiàn)環(huán)境已經(jīng)中了病毒又該怎么辦呢？

在事中部分，我們建議客戶在發(fā)現(xiàn)自己的環(huán)境已經(jīng)中了勒索病毒時(shí)：

1 啟動(dòng)自動(dòng)化的安全事件監(jiān)測(cè)與響應(yīng)機(jī)制

2 報(bào)告給監(jiān)管機(jī)構(gòu)

發(fā)生勒索病毒后，我們?cè)趺丛俅伪苊獯祟愂虑榈陌l(fā)生呢？

在事后恢復(fù)階段，我們建議：

1 分析根本原因，這部分不要是通過(guò)系統(tǒng)中的各種蛛絲馬跡，分析攻擊者的行為軌跡，如從日志分析系統(tǒng)中查找根源。亞馬遜云科技的Amazon Detective服務(wù)，為客戶提供云環(huán)境中的安全事件根本原因分析的能力。同時(shí)，針對(duì)各類日志的搜集與分析的解決方案如Elastic Search服務(wù)，幫助可以以可視化的方式，靈活的對(duì)各類日志進(jìn)行分析與展現(xiàn)。

2 總結(jié)經(jīng)驗(yàn)教訓(xùn)，更新安全流程。

總結(jié)

雖然勒索軟件在發(fā)展，但大家的安全意識(shí)也在逐漸完備。政府機(jī)構(gòu)、非營(yíng)利組織和企業(yè)全世界都信任亞馬遜云科技為他們的基礎(chǔ)設(shè)施提供動(dòng)力確保系統(tǒng)和數(shù)據(jù)的安全。在本次分享的實(shí)踐中，使用亞馬遜云科技服務(wù)，您可以采取主動(dòng)減少勒索軟件的可能性和影響的措施你的亞馬遜云科技環(huán)境。