系统治理 体系规划新型数据安全防护体系

news2024/12/27 16:46:06

声明

本文是学习2022中国工业数据勒索形势分析报告. 下载地址 http://github5.com/view/55028而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

工业数据勒索应急响应事件攻击者分析

应急响应事件攻击者分析以2022年1-9月所有工业数据勒索应急数据为支撑,从攻击者角度对攻击者攻击手段、攻击影响范围和攻击常用的勒索病毒进行分析,为工业企业建立安全防护体系、制定应急响应处置方案提供参考依据。

业务专网成为攻击者攻击的首要目标

2022年1-9月工业数据勒索应急响应事件的影响范围主要集中在业务专网,占比75%;其次为办公网,占比25%。根据受影响区域分布对受影响设备数量进行统计,2022年1-9月失陷的设备中,682台服务器受到影响,75台办公终端被攻陷。2022年1-9月工业企业遭受数据勒索攻击影响范围如下图所示。

工业企业在对办公系统进行安全防护建设的同时,更应重视业务系统的安全防护和安全管理。

github5.com 专注免费分享高质量文档

本文中办公网指企业员工使用的台式机/笔记本电脑、打印机等设备,而业务专网泛指工业企业整体运行与正常生产所需要的各种网络系统。

漏洞利用是攻击者最常用的攻击手段

通过对2022年1-9月工业数据勒索安全事件攻击类型进行分析,漏洞利用攻击手段占比最高,达到43.1%。漏洞利用是攻击者利用工业企业网络安全建设不完善的弊端,使用常见系统漏洞、设备漏洞等,对系统进行的破坏性攻击,通常会导致重要数据丢失、泄露、内部投毒、敲诈勒索等严重后果。

github5.com 专注免费分享高质量文档

漏洞利用类型主要包括未授权访问、远程命令执行、文件上传与下载、敏感信息泄漏与 SQL 注入等,这些漏洞仅有少数是未公开的 0day 漏洞,多以历史漏洞为主,历史漏洞基本都是由于没有及时升级、更新应用造成的。这也直接反映出客户网络运维人员对下辖网络资产动态跟踪不及时、网络运维缺乏常态巡检机制、对存在的漏洞及安全威胁缺乏应对等问题。

Phobos和Makop是最活跃的勒索病毒

在2022年1-9月最活跃的勒索病毒分别为Phobos和Makop,占比均为13.9%。

Phobos勒索病毒主要是通过开放的端口或远程桌面协议暴力破解+人工投放或钓鱼邮件的方式进行勒索,值得关注的是,Phobos在运行过程中会进行自复制并在注册表中添加自启动,当工业企业中了该勒索病毒后,一定要进行彻底清除,否则容易遭受二次加密。

Makop勒索病毒主要的攻击方式是通过开放的远程桌面协议端口进行暴力攻击或字典式攻击,Makop以攻击中小企业为主,攻击者使用Phobos勒索病毒发起的攻击数量较多,目前仍然是获利最多的勒索病毒之一。

表1 遭受攻击勒索软件类型TOP 5

勒索软件名称应急次数
Phobos勒索软件10
Makop勒索软件10
Buran勒索软件5
Tellyouthepass勒索软件3
Wannacry勒索软件3

工业企业应加强内部数据安全建设,应重点防护并及时跟踪勒索病毒传播变化趋势,随时调整应对策略。

工业数据勒索应急响应典型案例分析

2022年1-9月奇安信安全应急响应中心关于工业数据勒索共收到全国各地应急求助72起,发生的安全事件均不同程度地给工业企业带来经济损失和恶性的社会影响。下面介绍4起2022年1-9月份典型的数据勒索应急事件。

某制造企业遭Phobos勒索病毒攻击

事件概述

奇安信工业安全专家接到制造业某客户应急响应求助,现场一台刚上线服务器感染勒索病毒,所有文件被加密,客户希望对受害服务器进行排查,溯源入侵途径。

工业安全专家对受害服务器进行排查,发现被加密文件后缀为.dewar,确认受害服务器感染的是Phobos勒索病毒。

工业安全专家对受害服务器日志进行分析,发现从事发前一周开始,公网IP(x.x.x.75)持续对受害服务器RDP服务进行账号密码暴力破解。由于该服务器存在弱口令,于事发前一晚成功爆破登录系统并向受害服务器释放Phobos勒索病毒。获取系统权限后,攻击者继续使用黑客工具向内网进行了横向渗透、端口扫描及RDP爆破等行为,部分内网服务器被爆破,数据被加密。客户反馈,失陷服务器是通过内网工业堡垒机登陆运维的,且只允许8735端口进行访问,工业安全专家继续对堡垒机排查发现,有操作者将8735端口网络流量通过端口转发到服务器3389端口至公网,经确认,是客户运维人员为了方便管理,通过流量转发操作将RDP服务映射至外网。

github5.com 专注免费分享高质量文档

防护建议

  1. 定期进行内部人员安全意识培训,禁止擅自修改服务器配置,关闭不常用的端口,对已安装的工业堡垒机正常启用,没有部署工业堡垒机的业务系统进行补充部署,对运维操作进行集中化管控;
  2. 杜绝使用弱口令,应使用高复杂强度的密码,如包含大小写字母、数字、特殊符号等的混合密码;
  3. 采用特权账号管理系统(PAM)主动发现各类基础设施的账号分布、识别账号和口令风险,帮助工业企业实现账号安全管理;
  4. 加强内外部数据库访问行为的监测,部署实施数据库审计系统,提高数据资产安全。

做好以上基础安全防护,结合具体业务场景,落实分类分级工作,做好系统治理,从数据安全全生命周期和全流程两种视角做好体系规划和有序建设。

某医疗卫生企业遭Bonzon3勒索病毒攻击

(一) 事件概述

奇安信工业安全专家接到医疗卫生行业某客户求助,某制药企业内网服务器感染勒索病毒,重要数据被加密,客户希望对受害机器进行排查,并溯源入侵途径。

工业安全专家对客户现场被加密服务器A(x.x.x.7)进行排查,根据被加密文件后缀、勒索信等内容,确认服务器A(x.x.x.7)感染Bonzon3勒索病毒,文件加密时间为事发当天凌晨03:50:08;实施复杂度高。

攻击者发现服务器A(x.x.x.7)的sqlserver数据库端口1433对公网开放,并存在远程命令执行漏洞;事发前一天22:03:53,攻击者利用远程命令执行漏洞执行恶意命令,使服务器A(x.x.x.7)主动连接恶意网站https://kmsauto.us/,下载并执行恶意脚本start.psl; 事发前一天22:04:12,恶意脚本start.ps1执行后主动外连恶意网站https://kmsauto.us/,下载后门程序java w.exe至服务器A(x.x.x.7);事发当天01:12:51,攻击者利用远程命令执行漏洞启动后门程序javaw.exe,并执行命令创建计划任务,使后门程序javaw.exe定时启动,确保权限维持;事发当天03:44:46,攻击者再次利用远程命令执行漏洞,成功创建恶意用户systemw并将其添加至管理员用户组中;事发当天03:50:08,攻击者利用后门程序javaw.exe成功获取服务器A(x.x.x.7)权限,手动投放Bonzon3勒索病毒样本,全盘加密服务器A(x.x.x.7)。

github5.com 专注免费分享高质量文档

(二) 防护建议

  1. 关闭服务器不必要的高危端口,建议内网部署如工业堡垒机等设备,并只允许工业堡垒机IP访问服务器的远程管理端口,对运维操作进行集中化运维管控;
  2. 设置防火墙策略,禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,对主动连接IP范围进行限制;
  3. 部署工业安全监测设备,资产自动发现并识别资产中存在的安全漏洞,形成以资产为中心的漏洞发现与风险分析。

做好以上基础安全防护,结合具体业务场景,落实分类分级工作,做好系统治理,从数据安全全生命周期和全流程两种视角做好体系规划和有序建设。

某集成电路企业遭Makop勒索病毒攻击

事件概述

奇安信工业安全专家接到集成电路行业某客户应急响应求助,公司多台服务器感染勒索病毒,所有文件被加密,客户希望对该事件进行分析排查处理。

工业安全专家抵达现场后对受害服务器进行排查,发现被加密文件后缀为.mkp,确认受害服务器感染的是Makop勒索病毒。

工业安全专家沟通了解,被感染服务器且存在弱口令,通过查看安全设备日志对主机日志排查,存在长达一周非正常时间的RDP登录操作,继续分析发现,服务器A(x.x.x.38)的3389端口对公网开放。为了扩大影响,攻击者继续使用黑客工具对内网进行横向渗透、端口扫描及RDP爆破等操作,最终在未获得其他可利用主机后,向其他受害服务器投放勒索病毒,文件被加密。至此,工业安全专家确认,本次事件为客户服务器(x.x.x.38)端口暴露在公网且存在弱口令所导致。

github5.com 专注免费分享高质量文档

防护建议

  1. 杜绝使用弱口令,应使用高复杂强度的密码,如包含大小写字母、数字、特殊符号等的混合密码;
  2. 采用特权账号管理系统(PAM)主动发现各类基础设施的账号分布、识别账号和口令风险,帮助工业企业实现账号安全管理;
  3. 有效加强访问控制策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用工业堡垒机进行统一运维管控。

做好以上基础安全防护,结合具体业务场景,落实分类分级工作,做好系统治理,从数据安全全生命周期和全流程两种视角做好体系规划和有序建设。

某医疗企业API存在安全漏洞导致数据泄露

事件概述

某医疗企业数据泄露,涉及身份证手机号或姓名、医保信息、家庭住址等个人隐私信息;攻击者利用政务系统注册、查询等业务场景存在API未授权访问等漏洞进行攻击。

攻击者探测到该医疗企业API资产端口存在未授权访问漏洞,利用账务系统注册、查询业务场景筛选出已注册账号,爆破登录接口,成功登录系统,窃取数据。

github5.com 专注免费分享高质量文档

现阶段,API成热点攻击入口,由于应用架构的快速演变,API成为业务应用与数据服务之间的主要通信方式,导致利用API接口成为新型攻击手段。从奇安信实际处置的案例证明95%以上的客户业务系统中一定存在API接口,少则几百,多则数十万,但API安全建设一直是盲区。

防护建议

  1. 部署API安全卫士,采用API资产识别、敏感数据识别、漏洞利用检测与防护、未知威胁检测与防护、API访问控制等技术解决API资产管理、敏感数据泄露、API异常行为、攻击威胁等API安全问题;
  2. 同时,为了防范终端和邮件数据被泄露,部署数据防泄漏系统,对敏感数据的违规使用、扩散等敏感行为进行策略响应控制;
  3. 此外,为了防范数据库数据被窃取,加强内外部数据库行为的监控,部署实施数据库审计系统,提高数据资产安全。

做好以上基础安全防护,结合具体业务场景,落实分类分级工作,做好系统治理,从数据安全全生命周期和全流程两种视角做好体系规划和有序建设。

工业领域数据勒索安全防护建议

工业企业在面对数据勒索安全防护建设过程中,面对琳琅满目的安全产品和服务,常常找不到针对网络勒索和数据安全的防护重点,不知从哪下手,也往往因资金、技术人才限制而望而却步。因此,奇安信建议工业企业应先做好基础安全防护,补短固底,在有限资源条件下抵御大部分中低强度网络攻击,在此基础上落实工业数据分类分级,体系规划安全防护体系,有序建设,持续运营。

补短固底,做好基础安全防护是当务之急

1)梳理业务,识别重要数据集 。盘家底,梳理关键的业务场景和访问关系,梳理业务安全现状,识别重要的数据资产。

2)要做好基础网络安全防护 。依据工业企业业务系统特点进行分区分域,落实企业边界防护,做好安全隔离;落实服务器安全防护;全面梳理远程服务访问端口,配置工业防火墙进行访问控制,过滤非正常报文进入工业网络;使用工业主机安全防护系统的关卡式病毒拦截技术对病毒进行拦截,利用外设管控功能避免数据泄露,利用白名单功能阻断恶意程序执行。

3)加强运维和账号安全防护 。部署工业堡垒机,对所有被运维的资产账号和操作集中化运维管控,联动特权账号管理系统,主动发现各类基础设施的账号分布、识别账号和口令风险,帮助工业企业实现运维安全管理;

4)落实数据实体防护 。部署数据防泄漏设备,对触发敏感数据策略的外发数据过程能产生实时告警;通过数据库审计设备对工业网络勒索和数据安全事件进行审计。

5)做好API接口安全防护 。部署API安全卫士,持续动态监测API接口变化,通过API资产识别、API敏感数据识别、API漏洞利用攻击检测与防护、API异常行为分析、 API策略防护等技术手解决API资产管理、API攻击威胁、API敏感数据泄露的安全问题。

结合具体业务场景, 做好工业数据分类分级工作

在补齐短板后,工业企业要尽快识别出要重点保护的数据。工业数据本身具有行业差异大、数据类型多的特点,应根据实际业务场景,识别重要和敏感数据资产,形成数据保护目录,对数据进行分类分级,做到“摸清家底,识别关键,分清主次”。

按照工信部发布的相关标准要求,工业企业梳理业务流程和业务系统,对工业数据进行分类和标识,形成企业工业数据资产清单。根据不同类别工业数据与国家秘密、国家安全和行业发展安全等相关性对数据进行判断和识别。对初步识别的重要数据和核心数据进行审核,审核确定后,形成目录,增加标识。最后将重要数据和核心数据备案管理。

系统治理,体系规划新型数据安全防护体系

工业企业在做好工业数据分类分级工作后,应以数据分类分级为基础落实数据安全治理。通过数据安全治理,摸清现有管理、技术防护措施和执行情况,结合政策法规、行业规范以及业务和信息化战略,做好数据安全组织和制度建设。

新型工业企业数据安全防护体系围绕数据资产和数据流转进行设计,覆盖数据全生命周期和全流程,实现数据收集、存储、使用加工、传输、提供和公开的全生命周期的安全防护体系,整体保障数据安全建设。

数据安全能力有序建设, 持续运营

有序建设是在体系规划的基础上,将工业企业数据安全工程任务进行归纳,从紧急程度、技术成熟度、实施难度和预期效果等方面制定量化规则,明确建设优先级、实施周期和投入,完成工业企业数据安全场景建设管控。

联动数据安全态势感知,以数据安全监测预警为输入,根据监测研判情况,开展数据安全应急响应和处置工作。组建工业安全应急响应团队,制定数据安全事件专项应急预案和现场处置方案。定期组织数据安全应急预案培训,全面提升数据安全应急处置和快速响应能力。

延伸阅读

更多内容 可以点击下载 2022中国工业数据勒索形势分析报告. http://github5.com/view/55028进一步学习

联系我们

T-SHZSAQS 010—2020 绵羊尾型分型技术规程.pdf

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/138099.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Hadoop HDFS

Hadoop HDFS分布式文件系统分布式文件系统的优点HDFS(Hadoop分布式文件系统)应用常见hdfs集群存储机制元数据管理namespace分布式文件系统 既然我们要学习hdfs那就不能不提分布式文件系统 文件系统是一种存储和组织数据的方法,实现了数据的存储、分级组织、访问和…

Linux DNS 解析与配置 nslookup使用 与 /etc/resolv.conf文件的配置

Linux DNS 解析与配置 序 当我接收到一批新的服务器时,尝试连接外网,比如访问百度的首页: curl www.baidu.com发现报错,不能解析正确的主机名。这个其实就是主机在解析主机名时没能正确发现对应的主机的 ip。当我们使用类似于域…

华为交换机配置笔记

交换机(Switch)是一种用于电信号转发的网络设备,它可以为接入交换机的任意两个网络节点提供独享的电信号通路,最常见的交换机是以太网交换机,其他常见的还有电话语音交换机、光纤交换机等,交换机是集线器的升级替代产品,理论上讲交换机就是按照通信两端传输信息的需求,将需要的…

ONES 入选极客公园「2022 中国创新力量 50 」榜单

极客公园调研发现,2022 年是企业服务的「双杀」转折点:内部造血的难度升级,外部输血的可能性降低。为了表彰逆流而上的企服公司,极客公园对其给予了重点鼓励和点评。其中,企业级研发管理平台 ONES 入选了极客公园 2022…

vue js游戏,抗疫小游戏,抗疫的汤圆,仅以此小游戏献给所有为抗击疫情做出贡献的人

vue js游戏,抗疫小游戏,抗疫的汤圆,仅以此小游戏献给所有为抗击疫情做出贡献的人 完整代码下载地址:vue js游戏,抗疫小游戏,抗疫的汤圆 建议在pc上使用Chrome浏览器进行访问,如果只能手机玩&a…

还不快收藏起来!何恺明全网最全论文合集

原创/文 BFT机器人 人物简介 何恺明,Facebook AI Research (FAIR) 的一名科学家,研究领域包括计算机视觉和深度学习,并且在计算机视觉和深度学习方面发表了众多极具影响力的论文。 他发表的论文中,有关深度残差网络 (ResNets) 的…

当下的零售新进化,同以往的电商时代还是有着很多区别的

一场数字化的浪潮,正在各行各业深刻上演着。在零售领域,亦不例外。以往,提及零售,我们更多地想到的是,各式各样的电商平台,我们看到的是,各式各样的电商模式;现在,提及零…

学习一下如何使用python实现一个超级卡哇伊的五角星吧

Hello呀朋友们~ 今天实在想不出要写啥了,但是前两天有朋友让我写一个五角星,这个好说呀,必须安排的妥妥当当的!!!!! 在这里我就不多说了,这个也挺简单的,那…

新代机床联网

一、设备信息确认 1、确认型号 数控面板拍照确认: 此系统为:6TA 2、确认通讯接口 1、数控面板的后面 2、其他位置 其他位置一般是前面两个位置用网线引出来后做的网口母头,常见在机床数控面板侧面,机床电器柜后面等等。 3、…

Kubernetes知识扫盲

1. Kubernetes介绍 1.1 应用部署方式演变 在部署应用程序的方式上,主要经历了三个时代: 传统部署:互联网早期,会直接将应用程序部署在物理机上 优点:简单,不需要其它技术的参与 缺点:不能为应…

SQL数据库—事务(ACID特性、数据库恢复技术)

各位朋友大家好,博主新创立了一个公众号《自学编程村》哈,感兴趣的可以也关注关注捏~~ 【简介】 它是由村长发起,然后邀请了一些小伙伴来作为自己的嘉宾,不定时的为大家分享学习、生活、信息。他们中间,有来自中国科学…

调整网关或iptables导致ssh连接未响应

同一子网之间可以相互连接,问题服务器可以通过同一子网的其他机器ssh连接,通过VPN可以直接连接到同一子网的其他服务器,但是无法直接连接问题服务器 ssh连接一直停在连接状态 xshell连接如图 问题服务器A无法上外网,之前调整过网…

node.js创建网站实例2

1.在cmd中输入:npm install express -s 2.在demo01文件夹中新建api.js,代码如下: // 1.先引入express模块,express是一个函数 var express require("express") //2.执行express函数;用变量接收express函数…

《图的基础概念》

【一】图的基本概念 图是由顶点集合和顶点之间的关系组成的一部分&#xff1a;G&#xff08;V&#xff0c;E&#xff09;&#xff0c;其中&#xff1a; 顶点集合V {x|x属于某个数据对象集}是有穷非空集合&#xff1b; E {(x,y)|x,y属于V}或者E {<x, y>|x,y属于V &…

ElasticSearch6.x版本的SpringBoot增删改查操作和ElasticSearch6.x版本的过滤查询

文章目录一、SpringBoot操作ElasticSearch前期准备工作二、SpringBoot增删改查ElasticSearch1.新增修改2.删除3.查询三、ElasticSearch中的过滤查询1.概念介绍2.过滤语法3.常见的过滤器类型① term filter② terms filter③ ranage filter④ exists filter⑤ ids filter一、Spr…

【阶段二】Python数据分析Pandas工具使用05篇:数据预处理:数据的规范化

本篇的思维导图: 数据预处理:数据的规范化 数据标准化(归一化)处理是数据挖掘的一项基础工作。不同评价指标往往具有不同的量纲,数值间的差别可能很大,不进行处理可能会影响数据分析的结果。为了消除指标之间的量纲和取值范围差异的影响,需要进行标准化处理,将数据按…

LEETCODE 98. 验证二叉搜索树

给你一个二叉树的根节点 root &#xff0c;判断其是否是一个有效的二叉搜索树。 有效 二叉搜索树定义如下&#xff1a; 节点的左子树只包含 小于 当前节点的数。节点的右子树只包含 大于 当前节点的数。所有左子树和右子树自身必须也是二叉搜索树。示例 1&#xff1a; 输入&a…

+ 数学与算法系列之牛顿、二分迭代法求解非线性方程

1. 前言 前文介绍了如何使用“高斯消元法”求解线性方程组。 本文秉承有始有终的态度&#xff0c;继续介绍“非线性方程”的求解算法。 本文将介绍 2 个非线性方程算法&#xff1a; 牛顿迭代法。二分迭代法。 牛顿迭代法&#xff08;Newtons method&#xff09;又称为牛顿…

C#,图像二值化(13)——基于双峰平均值的全局阈值算法与源程序

1、图像二值化概述 图像二值化是将彩色图像转换为黑白图像。大多数计算机视觉应用程序将图片转换为二进制表示。图像越是未经处理&#xff0c;计算机就越容易解释其基本特征。 二值化过程 在计算机存储器中&#xff0c;所有文件通常以灰度级的形式存储&#xff0c;灰度级具有…

Linux Free 命令

目录 Free命令有什么用 各项名词解释 服务器实际可用内存看哪个值 为什么free2是实际可用内存 结论 Free命令语法 Free命令有什么用 熟悉的都知道&#xff0c;这是用来Linux主机内存使用情况的。如下&#xff1a; 各项名词解释 可以把上图看为3部分&#xff0c;分别是 M…