勒索病毒卷土重來？看亞馬遜云科技如何保護你的網(wǎng)絡(luò)安全！

Hi大家好~我是小亞~

聽說勒索病毒很可怕，但是亞馬遜云科技有高招，一起來看看吧！

似乎今年愈演愈烈的全球各種勒索攻擊都是頻繁針對企業(yè)，直接的目的都是利益，自從1989年第一次有記錄的勒索病毒（PC Cyborg）攻擊以來，勒索病毒已經(jīng)成為一個嚴峻的網(wǎng)絡(luò)威脅，而用戶一旦中招，很難有比較好的解決辦法。

那么到底應(yīng)該該如何防范勒索病毒，

一旦中招了該怎么應(yīng)對？

亞馬遜云科技保護著數(shù)以百萬計的活躍客戶，世界上具有代表性的行業(yè)以及一系列企業(yè)包括大型企業(yè)、初創(chuàng)企業(yè)、教育機構(gòu)機構(gòu)和政府組織。大規(guī)模和全球性的客戶給了我們云安全的廣闊視野和深刻視角，我們會將目光迅速轉(zhuǎn)向我們的基礎(chǔ)設(shè)施和服務(wù)。亞馬遜云科技的安全始于我們的核心基礎(chǔ)設(shè)施，它是為云和設(shè)計滿足最嚴格的安全性和世界各國的監(jiān)管要求。

繼物理、環(huán)境和安全IT基礎(chǔ)設(shè)施的控制在遷移到亞馬遜云科技云之前，客戶可能會負責(zé)整個控制集的安全合規(guī)和審計程序。有了亞馬遜云科技，就可以從亞馬遜云科技遵從程序繼承控制，允許您應(yīng)該在云端專注于保護工作負載和放入的數(shù)據(jù)。亞馬遜云科技有助于減輕您的操作負擔(dān)，因為亞馬遜云科技操作、管理和控制組件從主機操作系統(tǒng)和虛擬化層到那些設(shè)施的人身安全服務(wù)操作。

保護亞馬遜云科技上的系統(tǒng)和數(shù)據(jù)是我們共同的責(zé)任。當(dāng)您在亞馬遜云科技Cloud中部署系統(tǒng)時，亞馬遜云科技通過共享提供幫助你的安全責(zé)任。亞馬遜云科技工程師云基礎(chǔ)設(shè)施使用安全的設(shè)計原則和客戶可以為工作負載實現(xiàn)自己的安全體系結(jié)構(gòu)碼部署在亞馬遜云科技上。亞馬遜云科技負責(zé)保護運行所有亞馬遜云科技提供的服務(wù)。該基礎(chǔ)結(jié)構(gòu)由運行亞馬遜云科技的硬件、軟件、網(wǎng)絡(luò)和設(shè)施云服務(wù)組成?？蛻暨x擇的亞馬遜云科技云服務(wù)決定客戶的責(zé)任。這決定了配置的數(shù)量作為其安全職責(zé)的一部分，客戶必須執(zhí)行的工作。客戶有責(zé)任管理他們的數(shù)據(jù)(包括加密選項)，對其資產(chǎn)進行分類，并使用亞馬遜云科技身份訪問管理(IAM)應(yīng)用適當(dāng)?shù)臋?quán)限。

亞馬遜云科技

守護你的網(wǎng)絡(luò)不受勒索病毒侵擾！

在事前，怎么做才能防范勒索病毒入侵我們的環(huán)境呢？

在勒索病毒發(fā)生前，我們建議客戶做安全加固，做好防范，主要包括如下五個方面：

1 適配NIST CSF（網(wǎng)絡(luò)安全框架）安全模型

實施(NIST)網(wǎng)絡(luò)安全框架(CSF)將會幫助制定管理和降低網(wǎng)絡(luò)安全風(fēng)險的標準為你的組織。它是以結(jié)果為中心的旨在幫助您建立一組基本安全性的框架圍繞五個功能組織的活動:識別、保護、檢測、響應(yīng)、恢復(fù)——改善安全性、風(fēng)險管理和組織的彈性。

客戶可以映射到對應(yīng)的亞馬遜云科技安全以及安全相關(guān)服務(wù)，根據(jù)自己的情況訂閱響應(yīng)的安全能力。尤其是Amazon GuardDuty這類探測類服務(wù)，可以幫助客戶發(fā)現(xiàn)云上環(huán)境中的威脅。

客戶可以根據(jù)NIST CSF框架，建立自己的安全基線。通過Amazon Config服務(wù)配置檢查項，對重要的云上資產(chǎn)和配置進行基線控制。定義通過Trust Advisor等服務(wù)，對云環(huán)境中的風(fēng)險和問題進行檢查和建議。

2 對VPC進行分段并設(shè)置安全防護

網(wǎng)絡(luò)分段可以通過減少暴露面，降低被突破可能性以提高安全性，同時會減少攻擊者通過橫向移的動方式進一步破壞你的環(huán)境。將VPC分割成獨立的組件安全組，配置NACL，部署網(wǎng)絡(luò)防火墻以控制必要的流量，可以減少勒索軟件的傳播能力。

3 梳理用戶對關(guān)鍵應(yīng)用系統(tǒng)和數(shù)據(jù)的訪問權(quán)限

客戶需要盡早明確關(guān)鍵系統(tǒng)的數(shù)據(jù)，控制對數(shù)據(jù)的訪問權(quán)限，減少不必要的賬號訪問，避免人為訪問，針對需要訪問的賬號使用最小權(quán)限原則。

4 定義并測試數(shù)據(jù)備份與恢復(fù)計劃

亞馬遜云科技提供多種不同的數(shù)據(jù)備份和恢復(fù)能力供用戶選擇。數(shù)據(jù)存儲（EFS，EBS）和數(shù)據(jù)庫服務(wù)（DDB，RDS），Amazon Storage Gateway等都支持通過Amazon backup服務(wù)自動執(zhí)行備份。同時客戶可以通過lambda自動移備份計劃和方案，也可以通過S3的跨區(qū)域復(fù)制實現(xiàn)異地備份。有些勒索病毒甚至?xí)ニ阉鲾?shù)據(jù)的備份并刪除，異地，隔離環(huán)境的數(shù)據(jù)備份方案尤為重要。

RPO目標決定了數(shù)據(jù)備份的頻率，以及備份保存的環(huán)境是備份環(huán)境還是降級甚至完整的生產(chǎn)環(huán)境。而RTO決定了恢復(fù)方案中多久可以恢復(fù)出備份的數(shù)據(jù)并讓業(yè)務(wù)系統(tǒng)恢復(fù)正常。

5 查找云上關(guān)鍵應(yīng)用的漏洞并修復(fù)

找出暴露的漏洞并修復(fù)對于面臨威脅的應(yīng)用系統(tǒng)是當(dāng)務(wù)之急。通過使用Amazon Inspector或者其他第三方漏洞掃描與管理工具，可以找到漏洞，之后通過Amazon System Manager patch manager對系統(tǒng)打補丁，修復(fù)漏洞。

6 制定安全事件監(jiān)控與響應(yīng)機制并定期演練

針對勒索病毒或者其他安全事件，提前制定好監(jiān)控與響應(yīng)機制，定義好處理流程，方法，升級路徑和各方資源協(xié)調(diào)處理。尤其是讓業(yè)務(wù)部門做好萬一發(fā)生問題的準備。

7 加強安全意識教育

勒索病毒的一個常見的攻擊路徑是社會工程學(xué)攻擊，建議客戶定期給員工做安全意識教育，尤其是能有可能訪問到關(guān)鍵數(shù)據(jù)的員工。有必要的時候可以做基于社會工程學(xué)攻擊的演練。

如果發(fā)現(xiàn)環(huán)境已經(jīng)中了病毒又該怎么辦呢？

在事中部分，我們建議客戶在發(fā)現(xiàn)自己的環(huán)境已經(jīng)中了勒索病毒時：

1 啟動自動化的安全事件監(jiān)測與響應(yīng)機制

2 報告給監(jiān)管機構(gòu)

發(fā)生勒索病毒后，我們怎么再次避免此類事情的發(fā)生呢？

在事后恢復(fù)階段，我們建議：

1 分析根本原因，這部分不要是通過系統(tǒng)中的各種蛛絲馬跡，分析攻擊者的行為軌跡，如從日志分析系統(tǒng)中查找根源。亞馬遜云科技的Amazon Detective服務(wù)，為客戶提供云環(huán)境中的安全事件根本原因分析的能力。同時，針對各類日志的搜集與分析的解決方案如Elastic Search服務(wù)，幫助可以以可視化的方式，靈活的對各類日志進行分析與展現(xiàn)。

2 總結(jié)經(jīng)驗教訓(xùn)，更新安全流程。

總結(jié)

雖然勒索軟件在發(fā)展，但大家的安全意識也在逐漸完備。政府機構(gòu)、非營利組織和企業(yè)全世界都信任亞馬遜云科技為他們的基礎(chǔ)設(shè)施提供動力確保系統(tǒng)和數(shù)據(jù)的安全。在本次分享的實踐中，使用亞馬遜云科技服務(wù)，您可以采取主動減少勒索軟件的可能性和影響的措施你的亞馬遜云科技環(huán)境。