检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
常见的勒索软件类型如下: 加密勒索软件:加密文件和对象。 锁定勒索软件:锁定对设备的访问。 其他类型:新类型或以前未记载的类型。
图2 资源中心 销售许可证&软件著作权证书 另外,华为云还提供了以下销售许可证及软件著作权证书,供用户下载和参考。具体请查看合规资质证书。 图3 销售许可证&软件著作权证书 父主题: 安全
与私有访问密钥关联的唯一标识符;访问密钥ID和私有访问密钥一起使用,对请求进行加密签名。 SK(Secret Access Key):与访问密钥ID结合使用的密钥,对请求进行加密签名,可标识发送方,并防止请求被修改。
如果您已成功使用任何开源解密工具恢复数据,请从实例中删除该数据,并执行必要的分析以确认数据是安全的。然后,恢复实例,终止或隔离实例并创建新的实例,并将数据还原至新实例中。 如果从备份恢复或解密数据都不可行,请评估在新环境中重新开始的可能性。 事故后活动。
表1 SecMaster的数据保护手段和特性 数据保护手段 简要说明 静态数据保护 SecMaster通过敏感数据加密保证用户流量中敏感数据的安全性。 传输中的数据保护 微服务间数据传输进行加密,防止数据在传输过程中泄露或被篡改。
Linux DirtyPipe权限提升漏洞(CVE-2022-0847) 如果漏洞影响的软件未启动或启动后无对外开放端口,则实际风险较低,可滞后修复。 应用漏洞 HSS不支持扫描如用友、金蝶等商用软件的漏洞,因此商用软件漏洞您需要自行排查。
基础监控为用户提供免安装的基础指标监控服务;操作系监控和进程监控通过在主机中安装开源插件,为用户主机提供系统级、主动式、细颗粒度的监控服务。 检查主机监控中的弹性云服务器是否已安装监控插件。
该团队还跟踪企业/组织中使用的所有安全解决方案,例如防火墙、反恶意软件、反勒索软件和监视软件。 减少攻击面 SOC的主要责任是减少企业/组织的攻击面。为此,SOC会维护包含所有工作负载和资产的清单、将安全修补程序应用于软件和防火墙、识别错误配置,并新资产联机时添加这些资产。
这种情况可能通过多种方式发生,包括但不限于网络钓鱼、恶意软件、社交工程、系统漏洞等。一旦凭证被泄露,攻击者可能会利用这些信息来访问敏感数据、进行非法交易或破坏系统,对业务造成严重影响。 事件响应方案 针对以上问题,华为云推出了安全云脑(SecMaster)服务。
is_pw_encrypted string true 否 是否加密 sasl机制 sasl_mechanism string PLAIN 否 sasl_mechanism 其中,“sasl连接配置”需要根据kafka规格进行填写。
Alert 挖矿主机隔离 当主机告警类型是挖矿程序/挖矿软件,对当前主机进行隔离,添加安全组,对入方向和出方向全部阻断 Alert 勒索主机隔离 当主机告警类型是勒索软件,对当前主机进行隔离,添加安全组,对入方向和出方向全部阻断 Alert 主机防线告警关联历史处置信息 针对主机类告警
主机漏洞共支持以下漏洞项的检测: 表1 主机漏洞检测项说明 检测项 说明 Linux软件漏洞检测 通过与漏洞库进行比对,检测出系统和软件(例如:SSH、OpenSSL、Apache、Mysql等)是否存在的漏洞,将存在风险的结果上报至管理控制台,并为您提供漏洞告警。
配置剧本 操作场景 本章节介绍如何启用剧本,通过HSS恶意文件隔离查杀进行恶意软件和勒索软件告警处置。 前提条件 已在安全云脑工作空间的“设置 > 数据集成”页面中接入HSS告警数据,并开启自动转告警开关,详细操作请参见数据集成。
开启数据消费 数据消费是指第三方软件、云产品等通过客户端实时消费日志服务的数据,是对全量数据的顺序读写。 安全云脑提供数据消费功能,支持通过客户端实时消费数据。 开启数据消费 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。
通过隔离查杀,策略阻断等脚本对涉及进程软件进行进程查杀、软件隔离等操作,降低后续影响。 排查感染范围,有感染风险都需要进行排查,一旦有沦陷及时处理控制。 同时也可使用其他剧本流程进行风险控制,比如“主机隔离”,通过安全组策略,从访问控制方面隔离受感染机器,隔离网络传播风险。
检查主机是否存在Sudo漏洞 HSS提供漏洞管理功能,检测Linux软件漏洞,通过与漏洞库进行比对,检测出系统和官方软件(非绿色版、非自行编译安装版,例如:SSH、OpenSSL、Apache、MySQL等)存在的漏洞,帮助用户识别出存在的风险。
执行以下命令查看软件升级结果,确保软件已升级为最新版本。
可以采取加密、备份、访问控制等措施,确保文件的完整性和可用性。 父主题: 告警管理
encrypted String 是否加密。 表19 数据敏感字段信息(db_risk) 字段 类型 字段含义 log_type String 告警类型。 region_id String region。 domain_id String 账号ID。
入侵成功典型告警 网络防线 NIP攻击日志 网络-恶意软件 [蠕虫、病毒、木马] 首先应该立即断开与互联网的连接,防止恶意软件进一步传播或者窃取您的敏感信息。之后可通过系统还原,杀毒软件等方式扫描和清除恶意软件。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
