如何防范勒索软件 Ransomware Defense

有关如何最好地为组织准备应对多种形式的勒索软件和敲诈勒索的具体说明。

阶段1: 安全备份和数据加密

应对攻击，首先要让组织做好准备，当遇到勒索时有办法可以不支付赎金。勒索攻击主要有2种方式：

加密你的系统和数据

攻击者会威胁称如果不支付赎金，将无法获取系统访问权限，或者无法还原被他们加密处理的数据。你需要支付赎金换取解密密钥。

支付赎金这种解决方案并不像它看上去那样简单利落。因为你要应对的是只想敲诈一笔的犯罪者（他们经常是相对业余的攻击者，使用由其他人提供的工具包），因此支付赎金实际上效果多大存在很大的不确定性。没有法律保证他们提供的密钥能 100% 解密你的系统和数据，甚至没法保证他们会提供密钥。在解密这些系统时，需要使用自行开发的攻击者工具，这一过程通常是手动的，而且不易操作。

此外，美国对于支付赎金的行为会判定为违法行为，企业负责人将会被法律追究责任。比如首例支付网络安全赎金被控妨碍司法罪案宣判，前Uber高管面临八年牢狱之灾

支付费用避免信息泄漏

攻击者会威胁如果不支付赎金，将会将你的数据发布到暗网进行售卖，或者公布给公众，让你面临安全合规类的罚款以及公众起诉。

解决办法

必须确保关键系统及其数据已备份，并且备份可抵御攻击者的蓄意擦除或加密。可以参考以下清单检查是否完成了安全备份工作：

对于S3

通过存储桶策略bucket policy设立数据防护边界，公开可访问的S3存储桶策略配置建议，需身份验证的S3存储桶策略配置建议。
开启S3存储桶版本记录。相当于对S3文件进行备份保存，如果最新版本的S3文件被勒索软件加密了，还可以恢复到未加密的版本。
使用KMS加密S3存储桶的数据可以多一层安全保护。结合SCP使用可以避免特权账号泄漏导致S3数据泄漏。比如限制特权账号无法修改KMS的权限，并且没有任何KMS的加密解密权限。并且无法创建用户或者角色。（可以把这个权限给安全团队执行）这样，就算特权账号丢失，攻击者也无法创建新的账号，更无法获取S3数据（访问被KMS加密的S3数据必须拥有KMS的解密权限）。

对于数据库或者EBS

任务

说明

定期自动备份所有关键数据

推荐使用AWS Backup创建备份计划，备份关键数据。 blog: Use backups to recover from security incidents Backup workshop

加密数据

使用KMS加密数据库或者EBS文件系统

定期演练业务连续性/灾难恢复 (BC/DR) 计划。

确保快速恢复业务操作。

保护恢复所需的支持文档，例如还原过程文档、配置管理数据库 (CMDB) 和网络图。

攻击者会故意攻击这些资源，因为这会影响你的恢复能力。确保它们能够经受住勒索软件的攻击。