近日，360数字安全集团与光明网网络安全频道联合发布《2022勒索软件流行态势报告》（以下简称《报告》）。对企业信息系统的保护是一项系统化工程，在企业信息化建设初期就应加以考虑，并在建设过程中严格落实。面对严峻的勒索软件威胁态势，《报告》针对企业用户制定了以下安全建议，帮助企业全方位保护计算机安全，免受勒索软件感染。

图源：Pixabay

　　锦囊一：遭受勒索软件攻击的正确处理流程

　　1、发现有设备“中招”不要惊慌，及时有效的处置能够降低损失，减少再次被攻击可能性。

　　2、对被攻击设备及时隔离，切断网络连接。如同一子网下多台设备中招，可切断整个子网对外连接。

　　3、企业面临的常见攻击入口包括远程桌面弱口令、Web服务漏洞，以及数据库弱口令；企业内网设备常由于内部设备发起的横向渗透而遭受攻击。因此，在发现攻击的第一时间，可先切断除管理员外其它外部设备对远程桌面的访问，关闭服务器web服务端口，关闭服务器数据库外部访问端口。

　　4、尽快联系安全厂商或其它安全团队，对内部网络进行排查处理。

　　5、查清问题原因，对风险点位作加固修复，公司内部所有机器口令均应更换，避免再次“中招”。

　　锦囊二：企业安全规划这样做

　　1、安全规划：

　　在网络架构方面，业务、数据、服务分离，不同职能部门和区域之间通过VLAN与子网分离，减少因单点沦陷遭受大范围网络攻击。

　　在内外网隔离方面，合理设置隔离区，对外提供服务的设备要严格管控，减少企业被外部攻击的暴露面。

　　在安全设备部署方面，在企业终端和网络关键节点部署安全设备，并日常排查设备告警情况。

　　在权限控制方面，对业务流程权限与人员账户权限都应做好控制，如控制共享网络权限原则上以最小权限提供服务，降低因单个账户沦陷造成更大范围影响。

　　在数据备份保护方面，对关键数据和业务系统做备份，如离线备份、异地备份、云备份等，避免因为数据丢失、被加密等造成业务停摆，甚至被迫向攻击者妥协。

　　在敏感数据隔离方面，对敏感业务及其相关数据做好网络隔离，如有必要，建议做好设备之间的物理隔离，避免双重勒索软件在入侵后轻易窃取到敏感数据。

　　2、安全管理：

　　在账户口令管理方面，严格执行账户口令安全管理，重点排查弱口令、口令长期不更新、账户口令共用，以及内置、默认账户等问题。

　　在补丁与漏洞扫描方面，了解企业数字资产，将补丁管理作为日常安全维护项目，关注补丁发布情况，及时更新系统、应用系统、硬件产品安全补丁。定期执行漏洞扫描，及时发现设备中存在的安全问题。

　　在权限管控方面，定期检查账户情况，尤其是新增账户。排查账户权限，及时停用非必要权限，对新增账户应有足够警惕，做好登记管理。

　　在内网强化方面，进行内网主机加固，定期排查未正确进行安全设置、未正确安装安全软件设备等问题，关闭设备中的非必要服务，提升内网设备安全性。

　　3、人员管理：

　　在人员培训方面，加强对员工进行安全教育，培养员工安全意识，如识别钓鱼邮件、钓鱼页面等。

　　在行为规范方面，制定工作行为规范，指导员工如何正常处理数据、发布信息，做好个人安全保障。如避免员工将公司网络部署、服务器设置发布到互联网之中。

　　锦囊三：经受勒索软件攻击后的防护措施

　　1、检测系统和软件中的安全漏洞，及时打上补丁。重点检查是否有新增账户、Guest是否被启用、Windows系统日志是否存在异常、杀毒软件是否存在异常拦截情况。

　　2、检查登录口令是否有足够的长度和复杂性，并更新安全度不足或疑似已经泄露的登录口令。

　　3、对尚未被加密的重要文件进行及时备份，避免依然活跃的勒索软件对重要数据进行新一轮加密。

　　4、加强对敏感数据的隔离，尽可能完全断开敏感数据与外界的所有连接，避免具有多重勒索功能的病毒进一步获取更多的重要信息作为勒索筹码。（记者 孔繁鑫 刘昊）