年末,黑客勒索事件频发。
本周,黑客又将目标转向了Elasticsearch。
1月16日,阿里云官网公告提醒,安装了Elasticsearch且未做特殊安全配置的服务器,可能存在数据被删除或业务被入侵的安全风险。
这,还只是开始!
一旦闻到了猎物的血腥味,成群的鲨鱼会围上来。
卡巴斯基在2016年12月份发布的年度热门事件:加密勒索报告显示,截止到2016年,全球有114个国家受到加密勒索事件的影响,共发现44000多个勒索软件样本。
亚信安全发布的勒索软件风险研究报告显示,近十个月内,全球传播的勒索软件数量增长了15倍,中国勒索软件数量增长更是突破了67倍。
寻根溯源
对勒索事件的数据进行分析不难发现,被勒索软件入侵的受害者,都有两大共性:
关键账号存在弱口令或无认证机制
服务器登录关键账号(root、administrator)密码简单或空密码;
数据库(Redis、MongoDB、MySQL、MSsql Server)等相关重要业务服务直接可以无密码登录。
业务直接“裸奔”在互联网上
RDP、SSH、Redis、MongoDB、MySQL、MSsql Server等高危服务直接裸奔在互联网上
如何应对?
1、专业的事情交给专业的人
企业可以招聘获得专业云计算人才证书,真正懂行的人来做。
比如,美国计算机协会推出的CompTIA Cloud Essentials 证书、云安全联盟提供的云安全知识认证(CCSK)、和云计算大厂推出的专业人才认证。
延伸阅读
阿里云有针对云计算与大数据人才的ACF(Alibaba Cloud Certified Foundation)基础认证、ACP(Alibaba Cloud Certified Professional)专业认证,更高级别的ACA(Alibaba Cloud Certified Advanced)高级认证和ACM(Alibaba Cloud Certified Master)大师认证。
2、引入第三方安全团队
以更低的成本解决问题(包括学习、开发、运维等成本),可以引入靠谱的第三方安全团队,协助企业完善安全机制,排查潜在安全风险,防范于未然。
延伸阅读
国内外不少安全公司都提供专家服务。阿里云·云市场也在积极搭建安全生态,目前已经有近百家厂商,提供近300项安全产品or服务。
3、选用强安全性产品
不少开源软件的企业版都会特别做安全考虑。如果还是选用开源软件,可以自行配置相应的安全产品。
延伸阅读
以上周的MongoDB勒索事件为例,开源版需要企业自行完成安全配置。但如果选购各云厂商优化后的企业版,就完全不会受到影响。
一点建议
建议企业运维人员从以下7个维度,挑选强安全性产品,夯实企业安全防御:
定期备份数据
建议企业开启镜像和快照,每天进行备份,并保存3份以上的版本。这样即使遇到勒索软件病毒入侵,也可以迅速恢复到1天前的业务数据。
对服务器进行合理的安全域规划。
采用VPC服务,隔离不同租户间业务应用。
同时将不同安全级别的服务器,划分到不同的安全域。以免低安全域的服务器中招后,感染高安全域的其它服务器。
服务口令和远程访问权限管理
服务器的口令建议至少8位以上,同时必须包含复杂的字符。
不向外网直接开放服务器的远程访问权限。
产品推荐
阿里云安全组、阿里云·云安全市场上的IPsecVPN或SSLVPN远程访问、专业防火墙解决方案。
服务器对外只开放必要的端口,控制服务器的主动外联访问。
可以在VPC 网关处的防火墙,或阿里云安全组防火墙上,设置服务器对外访问端口。
只开放必要的端口,减少攻击面,保护服务器的安全。
同时,通过阿里云安全组防火墙禁止服务器的主动访问行为,以阻止受感染服务器可能会尝试连接C&C服务器。
服务器口令和漏洞的防护
建议使用主机防护安全产品,以对非法破解密码的行为进行识别,避免被黑客多次猜解密码而入侵。
产品推荐
阿里云·云盾的安骑士可以实时防护主机入侵,一键清除网站后门维护服务器环境纯净,批量修复高危漏洞。
Web应用漏洞的防护
建议自建网站的企业选择相应的安全产品过滤可能出现的海量恶意访问,避免网站资产数据泄露,保障网站的安全与可用性。
产品推荐
阿里云云盾WAF,其基于云安全大数据能力实现,通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,对网站进行安全保护。
防病毒管理
在云服务器上安装最新商业的反病毒和恶意软件检测软件。
产品推荐
采用卡巴斯基、赛门铁克防病毒软件,启用病毒更新策略和自动实时防护功能和运行病毒扫描功能。