这是一篇价值几十万的文章!

释放双眼,带上耳机,听听看~!

20TB数据备份只需1分11秒?

中午,吃完午饭,迷迷糊糊我正准备睡会午觉,同事发给我一篇文章,某厂商发的公众号《震惊!备份20TB数据只用了1分11秒,恢复只用了35秒》。吓得我顿时一激灵,睡意全无。 我马上拿起手边的计算器,1分11秒备份了20TB数据,每秒288.45GB,OMG,这意味着什么?

上周我发了一篇关于医院行业被勒索病毒攻击的公告文章《注意:新一轮勒索病毒攻击医院行业》,就是这短短一周的时间,又陆续收到多家客户和合作伙伴发来的消息,其服务器感染勒索病毒了,包括HIS\PACS等重要业务服务器被加密。病毒不仅仅是gandcrab5.0.4,还包括最新的GANDCRAB5.1以及Globelmposter的变种。

勒索金额有的几千美元,有的甚至要6.5个比特币,折合人民币16万元。不仅如此有的要求限时翻倍,有的每12小时上涨10%。

因涉及用户隐私,具体的细节不方便透露太多,但我把技术人员现场发现的一些安全隐患给大家通报一下,希望看到的朋友能引以为戒:

1、防火墙。防火墙是网络安全的第一道技术防线,就象是国家出入境的边防检查人员,首先要把一些明显不合规的访问拒之门外。但在被勒索的这些单位中,很多单位的防火墙却形同虚设。没有策略,没有日志。不仅起不到安全防范的作用,就是在被攻击之后想通过日志进行事后审计都难以完成。这里面有客户自己的原因,也有集成商和厂商的责任,很多工程师去安装后只要网络通了,就算完成任务可以验收了。而真正的安全是要和业务相结合的,要充分了解的用户的业务,进行细致的安全策略规划,规避可能出现的安全隐患。

2、补丁。如果把杀毒软件比做是门口的一个警察,那么漏洞就是房子后面墙上的一个洞。不法分子通过门口会被抓住,但如果从背面的漏洞钻进来就会绕过前面安全人员的检查。这也是一在强调要大家打补丁的原因,这些漏洞既包括操作系统的,也包括中间件的,一段时间以来,发现很多攻击都是来自于中间件服务的漏洞。但是出于安全起见,一些应用厂商会不建议用户打补丁,担心打补丁后会造成系统的崩溃,影响业务,也种担心也是很正常的,建议大家对每个业务系统搭建同样的镜像测试平台,所有有风险的操作先在测试平台进行测试后再进行,详见我之前的一篇文章:《从阿里云故障看如何搭建测试环境》。在感染的这些客户中很多都没有打补丁,尤其是核心服务器和中间件服务上。

3、杀毒软件。杀毒软件不是万能的,但没有杀毒软件却是万万不能的。在我们检查到的这些被感染的服务器上,有一些安装的有杀毒软件,某些杀毒软件不具备主动防御功能,对于一些新的病毒无法拦截,但也有很多的服务上根本就没有安装杀毒软件,甚至是安装后卸载了,不知道是用户的意思还是应用厂商的要求。虽然不是所有的杀毒软件都能防范各种病毒,但装了总还是能发挥重要作用的。

4、弱口令。在我之前写过的一篇文章中,提到了黑客通过暴力破解口令登录系统然后关闭杀毒软件的操作《一场由密码引发的惨案!》,在这几次的事故中,同样遇到有这样的问题,技术人员通过检查日志发现,有多次的登录失败的记录,有些经过多次失败后成功登录。

在此也建议大家,平时经常看一下系统安全日志,检查有没有异常登录,同时设置远程访问的安全策略,配置方法详见《一场由密码引发的惨案!

5、加强服务器尤其是域控服务器的防护。很多服务器自身安全防护做的非常差,经常都是系统安装好直接就开始使用了,一些安全方面的策略设置都没有去做,一些不必要的服务没有关闭。尤其是域控服务器,如果未能做好自身加固,一旦被黑客控制会带来灾难性的后果。某单位就是因为域控服务器被控制,利用445端口进行口令爆破,导致网内十余台服务器被感染。

6、备份。这些事故的用户大多没有采取备份手段,有的有备份,但是和业务数据存在同一个存储或者服务器上,也被同时加密,还有一家医院,用户采用的有CDP产品,勒索病毒在加密主业务的同时也加密了备用业务,造成了巨大的损失。

我之前曾写过一篇类似的文章《有了双活,真的就确保安全了吗?》有类似之处。

惨痛的教训再一次告诉我们,数据备份是数据安全的最后一道防线,再好的防范手段也不可因此就忽略了备份的重要性,二者并不矛盾,而是互相补充的关系。在我上篇文章《注意:新一轮勒索病毒攻击医院行业》中,也专门提到高可用并不能代替备份。

《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》发布

App必要信息规范来了!这些个人信息不可“任性”收集 新华社北京6月15日电  你是否遇到过这样的场景:“手机下载一个‘手电筒’应用,却被要求访问通讯录”“安装某个手机应用,不同意访问地理位置就安装不了”“在App里浏览了某类信息后,就会收到相关产品的

之前我写过一篇文章《等保中对灾难恢复的要求,也介绍了关于灾难恢复的要求,里面也明确指出对于镜像备份和高可用(热备)的关系。

7、日志。日志是事后审计和分析的重要依据,不管是防火墙还是系统还是杀毒软件,所有的安全设备及应用系统都要保存完整的日志记录,网络安全法也明确规定要保存不少于6个月的日志记录,尤其是防火墙日志和系统安全日志更是系统分析的关键。在我们处理过的这些事件中,经常出现的问题就是日志短缺,有时候客户为了尽快恢复业务都会格式化重装系统,这样往往会破坏证据,导致无法分析感染的原因,从而无法避免事故的再次发生。

在此,我也建议所有的受害用户,当被病毒感染后不要急于恢复业务重装系统,而是要先保存证据以便于分析原因。可以使用Acronis之类的镜像工具将系统进行镜像保存,保存后再重做系统。之后将镜像恢复到虚拟机或者其他物理机上进行分析。从而找到入侵的途径对系统进行加固,避免二次感染。


8、服务。关于服务的重要性,我想大家都很清楚,买的再好的产品,用不好依然是没用的,安全是一种服务,但现在往往很多单位忽略了维保服务的重要性,导致一些服务到期后无人维护而铸成大错。

很多事发生在别人身上是故事,发生在自己身上就是事故。

千万不要以为这种事情不会发生在自己身上,做为一名IT主管,要时刻保持一种战战兢兢如履薄冰的心态,安全容不得一点的马虎和侥幸。一旦被勒索,那可能就是几十万的损失。

快过年了,希望大家能够真的重视起来,安心过一个好年。

希望这样的悲剧不再发生!!!

延伸阅读:

注意:新一轮勒索病毒攻击医院行业

勒索病毒和恶意软件最容易藏身的五个地方

注意:GandCrab勒索病毒出现5.0.3版本

号称完美破解GandCrab勒索病毒的某厂商,你真的不会脸红吗?

来看看你被勒索病毒加密的文件是否可解

又双叒叕一家单位被勒索了!

一场由密码引发的惨案!

难道这就是近期医院屡受攻击的原因?

小心,一大波病毒来袭!!

聊聊关于勒索病毒那些事!

关于勒索病毒,你需要知道的几个问题!

永恒之蓝勒索病毒完整解决方案

浅谈虚拟化平台的防病毒保护

等保中对灾难恢复的要求

有了双活,真的就确保安全了吗?

欢迎扫描二维码关注:大兵说安全

感谢打赏,您的打赏是我努力的动力!!

本文源自微信公众号:大兵说安全

美一医院为勒索病毒支付赎金

我想说的是: 1、打补丁、安装专业的网络杀毒软件可以有效预防勒索病毒,但并不能完全保证不会被病毒感染。 2、备份是一个有效的防范勒索病毒的手段,但也要注意: A、为避免备份文件被感染,要有离线的备份手段,而不能只有实时在线的高可用技术(如实时同步

人已赞赏
安全工具

警报:新型病毒来袭可清空硬盘所有文件

2019-10-14 17:31:21

安全工具

20TB数据备份只需1分11秒?

2019-10-14 17:31:27

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索