【畅聊 IT】第7期：勒索病毒防护有新招，你用了吗？

在网络高速发展时代，网络安全成为IT运维最关注的问题之一；

而近几年，最火热的安全事件要数勒索病毒了；

它，不分国家、不分行业，一旦中招，要么放弃数据，要么乖乖被勒索；

我们能做的，就是隔离被感染主机与其他主机，防止勒索病毒的进一步扩散！

针对该病毒，深信服下一代防火墙AF8.0.17版本，增加勒索病毒专项防护！

从事前加固、事中防御、事后响应三步解决用户的困扰！

本期话题：

1、您遇到过哪些安全运维事件？是如何处理的？

2、在您当前的网络中，做了哪些安全防护，您认为这些防护是否有必要？

互动奖励

1、幸运奖：本帖设置1000S豆回帖奖励，每次回复有机会获得20S豆

2、优秀回复奖：凡回复的内容，被管理员设置为优秀回复的，即可获得100S豆打赏！

3、最高人气奖：被管理员设置为优秀回复并且点赞数最多的用户，可获得社区精美礼品一件！

畅聊时间：2020年1月17日-2020年2月14日

往期回顾：

【畅聊IT】第6期：持续保护，不止合规，从等保2.0谈日志审计！

【畅聊IT】 第5期 如何让臃肿的电脑不再卡慢？

【畅聊IT】 第4期：三权分立还是独霸天下？如何管理才能更加安全有效！

【畅聊IT】 第3期：微信，除了交朋友，还能做什么？

【畅聊IT 】第2期：你如何理解虚拟机的“内存超配”功能？
【畅聊IT】第1期，初识EDS，你怎么看？欢迎来聊，有奖励哦！

可能是因为防护做的还可以，目前还没有碰到与勒索病毒相关的安全事件
说下主要做的安全策略：
1.终端通过终端管控禁用smb、rdp等不必要的服务，并进行加固，关闭高危端口。
服务器需要用到rdp的更改端口，并设置连接的白名单。
2.交换机上通过acl策略禁用高危端口，防止如果有中毒终端的横向移动。
3.及时对主机及应用打上补丁，防止病毒利用其它漏洞进行传播。
4.管控U盘等可移动存储设备
5.安装edr上AF、SIP进行联动，并制定相关的策略。
能够从终端杜绝病毒可以大大降级出现安全事件的概率。

1、您遇到过哪些安全运维事件？是如何处理的？

我没有遇到过安全运维事件，但是是有风险应对预案的；

首先，要明确方便和安全是对立的两个方面，只能相对达到平衡；
其次，分析可能的风险引入渠道，提供管理办法；
再次，依据管理办法执行情况分析改善方案；
最后，坚持不折不扣地执行；

2、在您当前的网络中，做了哪些安全防护，您认为这些防护是否有必要？

在网络中进行防火墙和行为管理多种控制手段降低网络环境风险；
发生风险要冷静思路清晰，启动应急预案；
1.断网处理，隔绝传播；
2.孤岛PC备份刻录光盘，预防误删；
3.更新防病毒软件；
4.执行全面扫描风险并处理；
5.对事件进行记录，供后续分析；

1.自身没有经历的安全事件，但是勒索病毒大规模爆发那年，忙着各种封禁端口
2.目前接触的都是等级保护建设，大多数为三级，所有设备、配置都要满足三级要求，最大的防护是给客户做足够的培训，让他们从思想上重视网络安全，养成良好的用网习惯

1.碰到的安全运维事件：
碰到勒索病毒感染服务器后加密数据，查看审核日志，看是什么时间进来的，然后核心交换机开启ACL策略封锁相应端口，给客户介绍深信服EDR及AF对应勒索病毒的解决方案及案例，有条件的推态势感知平台。
2.在当前网络中做的安全防护：
协助客户核心交换机开启ACL策略，跨区域之间通过防火墙配置应用控制策略最小化端口访问原则，及防护策略，这样纵向基本防护完了，终端横向防护安装EDR或者其他厂家的安全软件，基本横向纵向都能防住，论必要性的话，肯定很重要！

加强网络安全教育，加密与认证，网络安全漏洞扫描，客户端的防护等。如可以还是要做等保2.0.

我已经启用了，不知道能不能防住。

加强网络安全教育，数据提前做好备份，网络安全漏洞扫描，客户端的防护加密与认证等

1、遇到过熊猫烧香病毒，当时在学校的机房里，临时充当的网吧。用破解版网吧软件，下午学生们正上机的时候就看见管理平台上，上机的电脑一台接着一台的结帐下机。只能眼睁睁着看着，就像街上的霓虹灯一样，然后就是一群学生过来喊：网管，我的怎么下机啦!!!。哎~太崩溃了！
2、那还是零几年的事，现在想想还挺搞笑。现在不一样了，安全意识增加了很多，做的也是各种政府单位里的局域网了，各类安全设备轮番上阵，杀毒软件服务器版，看哪个还能破了我的安全墙。我就问：还有谁！

遇到过Minerd挖矿木马活动事件
危害：Minerd挖矿木马主要被黑客用于入侵后将服务器用做挖矿肉鸡，会占用大量资源导致其他应用无法正常工作。
措施：1.在出口安全设备上封堵139、445端口。
2.将以下恶意域名加入黑名单sand.lcones.comtecate.traduires.com、split.despcartes.tk、task.attendecr.com、plam.lcones.compool.minexmr.com、www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com、www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com。
3、使用杀毒软件每天定时进行病毒查杀。

普通远控木马活动事件
远控木马是在用户不知情时攻击者能够控制用户电脑的木马程序。其快速传播和勒索的特性，导致难防范、潜在威胁大

采取措施：使用杀毒软件进行病毒查杀。