检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
勒索事件响应方案 事件类型:勒索软件攻击 勒索软件(Ransomware)又称勒索病毒,是一种特殊的恶意软件,属于“阻断访问式攻击”(denial-of-access attack)的一种。
本文档就恶意软件和勒索软件隔离查杀进行详细介绍。 响应方案 针对以上背景,安全云脑提供的HSS文件隔离查杀剧本,自动隔离查杀恶意软件。
配置剧本 操作场景 本章节介绍如何启用剧本,通过HSS恶意文件隔离查杀进行恶意软件和勒索软件告警处置。 前提条件 已在安全云脑工作空间的“设置 > 数据集成”页面中接入HSS告警数据,并开启自动转告警开关,详细操作请参见数据集成。
图2 资源中心 销售许可证&软件著作权证书 另外,华为云还提供了以下销售许可证及软件著作权证书,供用户下载和参考。具体请查看合规资质证书。 图3 销售许可证&软件著作权证书 父主题: 安全
数据消费 数据消费是指第三方软件、云产品等通过客户端实时消费日志服务的数据,是对全量数据的顺序读写。 安全云脑提供数据消费功能,支持通过客户端实时消费数据。 开启数据消费 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。
这种情况可能通过多种方式发生,包括但不限于网络钓鱼、恶意软件、社交工程、系统漏洞等。一旦凭证被泄露,攻击者可能会利用这些信息来访问敏感数据、进行非法交易或破坏系统,对业务造成严重影响。 事件响应方案 针对以上问题,华为云推出了安全云脑(SecMaster)服务。
执行以下命令查看软件升级结果,确保软件已升级为最新版本。
主机漏洞共支持以下漏洞项的检测: 表1 主机漏洞检测项说明 检测项 说明 Linux软件漏洞检测 通过与漏洞库进行比对,检测出系统和软件(例如:SSH、OpenSSL、Apache、Mysql等)是否存在的漏洞,将存在风险的结果上报至管理控制台,并为您提供漏洞告警。
该团队还跟踪企业/组织中使用的所有安全解决方案,例如防火墙、反恶意软件、反勒索软件和监视软件。 减少攻击面 SOC的主要责任是减少企业/组织的攻击面。为此,SOC会维护包含所有工作负载和资产的清单、将安全修补程序应用于软件和防火墙、识别错误配置,并新资产联机时添加这些资产。
Alert 挖矿主机隔离 当主机告警类型是挖矿程序/挖矿软件,对当前主机进行隔离,添加安全组,对入方向和出方向全部阻断 Alert 勒索主机隔离 当主机告警类型是勒索软件,对当前主机进行隔离,添加安全组,对入方向和出方向全部阻断 Alert 主机防线告警关联历史处置信息 针对主机类告警
入侵成功典型告警 网络防线 NIP攻击日志 网络-恶意软件 [蠕虫、病毒、木马] 首先应该立即断开与互联网的连接,防止恶意软件进一步传播或者窃取您的敏感信息。之后可通过系统还原,杀毒软件等方式扫描和清除恶意软件。
通过隔离查杀,策略阻断等脚本对涉及进程软件进行进程查杀、软件隔离等操作,降低后续影响。 排查感染范围,有感染风险都需要进行排查,一旦有沦陷及时处理控制。 同时也可使用其他剧本流程进行风险控制,比如“主机隔离”,通过安全组策略,从访问控制方面隔离受感染机器,隔离网络传播风险。
Linux DirtyPipe权限提升漏洞(CVE-2022-0847) 如果漏洞影响的软件未启动或启动后无对外开放端口,则实际风险较低,可滞后修复。 应用漏洞 HSS不支持扫描如用友、金蝶等商用软件的漏洞,因此商用软件漏洞您需要自行排查。
malware name String 恶意软件名称,最大64个字符。 sha256 String 恶意软件sha256。
如果存在尽快修补漏洞,并更新相关软件或库的版本。 对系统进行全面的检查,确认是否存在其他的漏洞或后门,以保证系统的安全性。 限制系统的访问权限,例如禁用root账户、限制访问来源IP等,以减少攻击者可能的入侵路径等。
检查主机是否存在Sudo漏洞 HSS提供漏洞管理功能,检测Linux软件漏洞,通过与漏洞库进行比对,检测出系统和官方软件(非绿色版、非自行编译安装版,例如:SSH、OpenSSL、Apache、MySQL等)存在的漏洞,帮助用户识别出存在的风险。
HSS:不仅支持呈现主机的安全状况,还支持深度扫描主机中的账号、端口、进程、Web目录、软件信息和自启动任务。 网站资产 - SecMaster:支持检查和扫描网站安全状态,呈现各网站资产的整体安全状况。 HSS:不支持该功能。
- 主机-高危命令检测 sec-hss-alarm 推荐开启 开箱即用已开启 已升级,需更新模型 网络-检测异常连接行为 sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-检测黑客工具攻击 sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-恶意软件
软件缺陷 软件中的缺陷(如bug)可能导致程序在特定条件下表现异常,并触发告警。如果这些缺陷影响了多个组件或系统,则可能引发多个关联告警。
使用较老的版本可能存在漏洞,运行最新版本的软件可以避免受到某些攻击。