【AICon】探索RAG 技术在实际应用中遇到的挑战及应对策略!AICon精华内容已上线73%>>> 了解详情
写点什么

构建云上勒索病毒防护体系,轻松保护数据完整性

  • 2019-09-25
  • 本文字数:3628 字

    阅读完需:约 12 分钟

构建云上勒索病毒防护体系,轻松保护数据完整性

最近几年,勒索病毒成为许多企业安全管理者谈之色变的话题。从早期的 WannaCry,到最新的 GlobeImposter,各种勒索病毒以及其变种对企业的数据完整性保护提出了极大的挑战,其中针对制造业、政府、医疗等行业的攻击尤其猖獗。为了有针对性的保护我们的数据,我们先来看一下勒索病毒攻击的典型过程。

勒索病毒典型过程解析

勒索病毒顾名思义它是病毒(或恶意软件)的一种。和其他病毒类型一样,它往往是先由内部网络中的一台主机感染,然后由这台感染的主机扩散到整个企业的内部网络其他主机上。最常见的攻击第一台主机的方式是通过钓鱼邮件或者密码暴力破解,一旦成功,攻击者会尝试利用系统或软件漏洞通过内部网络进行快速病毒复制和扩散。一个新的趋势是攻击者会优先搜寻并加密您内网中的备份文件(.bak),包括各种文件服务器上或者备份系统中的备份数据,从而使您无法恢复数据。

AWS 云上安全视角

AWS 云上安全采用云采用框架(Cloud Adoption Framework),将安全控制措施分为:


  • 指导性控制机制

  • 旨在围绕运营环境构建管理、风险和合规模型。

  • 预防性控制机制

  • 旨在保护您的工作负载并减少威胁和漏洞。

  • 检测性控制机制

  • 可以让您在 AWS 中部署的项目的运行情况变得可见、透明。

  • 响应性控制机制

  • 旨在纠正可能偏离安全基线的行为。

AWS 云上勒索病毒防护之指导性控制机制

1. 构建企业安全管理体系

同在数据中心一样,首先您需要在企业内部制定一套安全管理制度,定期开展员工信息安全意识培训,特别是针对钓鱼邮件、违规网站文件下载、外部存储设备的使用等方面。可以定期进行钓鱼邮件的内部测试,了解内部员工的安全意识水平,常用的工具包括 Kali Linux 集成的 Swaks,以及 Phishing Frenzy,PhishSim 等。

2. 制定 AWS 云上最小安全基线,规范系统安全配置

针对勒索病毒的感染和扩散的特点,制定 AWS 云上安全最小基线,规范云管理员的日常运维配置。

AWS 云上勒索病毒防护之预防性控制机制

病毒的防护重在预防,勒索病毒也如此。AWS 上许多原生的服务以及安全合作伙伴的解决方案帮助客户更好的预防勒索病毒。


  1. 补丁管理

  2. 勒索病毒往往利用操作系统的安全漏洞,在内部网络中快速扩散。因此,预防勒索病毒大面积爆发最有效的方法就是及时安装系统补丁。AWS Systems Manager 可以帮助您在大量 Amazon EC2 或本地实例中自动选择并部署操作系统和软件补丁。下面为大家演示如何利用 AWS Systems Manager 进行补丁的统一管理。初始配置 Systems Manager 请参见:https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up.html。


创建补丁基线


在 AWS Systems Manager – Patch Manager 中,选择 Create patch baseline



输入基线名称、操作系统类型、设置补丁审批规则等参数后,提交创建。



  • 设置实例的 patch group

  • 在 AWS Systems Manager – Managed Instances 中,选择您需要安装补丁的实例,在 View details – Tags 中设置标签 Patch Group。

  • 添加 patch group 到补丁基线 patch baseline 中

  • 回到 Patch Manager,选中刚才创建的补丁基线,选择 Actions – Modify patch groups。


将刚才设置的 patch group 的值加到 baseline 中。



  • 创建 Maintenance Window

  • 在 AWS Systems Manager – Maintenance Window 中,创建一个新的维护窗口。




设置 Schedule 各项参数,并创建维护窗口。


选中创建的维护窗口, 选择 Actions – Register targets,注册您需要打补丁的实例。



选中创建的维护窗口, 选择 Actions – Register Run command task。设置 Command document 为 AWS-RunPatchBaseline,设置 Priority,选中之前设置的 target group id,关联 role 权限,设置 rate control 等参数。具体各参数设置参见:https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-patch-mw-console.html。



  1. 实例远程管理

  2. TCP 22 和 TCP 3389 是管理员们最常用的远程管理端口。勒索病毒攻击者往往会使用这些端口进行密码暴力破解,从而拿到主机的用户权限,并植入勒索病毒。这种方式也同样适用于内网中。您可以选择 AWS 合作伙伴中的商业化堡垒机来避免实例直接向陌生地址暴露上述端口,您也可以选择 AWS Systems Manager- Session Manager 来实现主机的远程管理。


在 AWS Systems Manager- Session Manager 中,点击 Start Session,选择需要管理的主机,Start Session 进入主机命令行界面进行日常操作。


AWS 云上勒索病毒防护之检测性控制机制

  1. 安全合规检查

  2. 在指导性控制机制中,我们定义了 AWS 云上最小安全基线,我们应该如何来检测并确保安全基线的落实呢?AWS Config rules 为我们提供了强大的自动化合规工具,我们可以通过这个服务,将我们原来指导性的控制机制通过 Compliance as Code 的方式,变成自动化的检测性控制机制。之前我们提到过,勒索病毒的一种攻击途径就是通过远程管理端口使用暴力破解的方式,进入到我们内部网络中,针对这个风险,应该在安全基线中要求“实例禁止使用 Public IP”。下面我们通过这个 User Case 为大家展示如何通过 AWS Config rules 来持续监控这项安全基线要求。


在 AWS 托管规则中,我们没有找到对应的规则,因此需要创建自定义的 Config 规则。这里推荐使用 Github 上开源的开发套件 aws-config-rdk 来部署。RDK 环境准备,参见:https://github.com/awslabs/aws-config-rdk。




  • 设置 AWS Profile

  • 在您的 CLI 中设置 AWS Profile,具体可参见 https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-profiles.html。

  • 部署 Config rules

  • 在 RDK 目录下输入 rdk –profile=china deploy EC2_INSTANCE_NO_PUBLIC_IP 进行部署。



  • 验证

  • 在 Lambda 函数中,可以看到使用 RDK 自动创建的 Lambda 函数。


在 AWS Config 规则中,可以看到 RDK 部署的 Config 规则。



点击规则名称,我们可以查看到不合规的具体资源情况。



  1. 构建安全日志 SIEM 系统

  2. 除了安全合规检查以外,您还选择购买 AWS 合作伙伴的安全日志 SIEM 类产品,帮助集中管理和展示当前安全态势。通过对类似防病毒软件产品日志、系统安全日志等的分析,及时发现潜在的勒索病毒,并在其扩散前进行响应。对于使用 AWS Global 的用户,您也可以使用 AWS Security Hub 帮助您对当前的安全态势进行集中监控。

AWS 云上勒索病毒防护之响应性控制机制

一旦被勒索软件感染,最有效的解决手段是从备份中恢复数据。因此,那些存在主机上的备份文件成为了勒索病毒最主要的攻击目标,如何有效保护备份文件给用户带来了新的挑战。AWS 采用快照的方式对块存储进行备份,这些备份被存储在 S3 对象存储上,能够帮助您解决备份的安全性问题。与此同时,AWS 也推出了 AWS Backup 服务,能够帮助您集中的管理备份策略。目前支持的服务有 Amazon EFS, EBS, Storage Gateway, DynamoDB 以及 RDS。



我们以 EBS 的备份和恢复为例:


  • 创建 Backup Vault

  • Backup Vault 用于集中管理您的备份。在 AWS Console 中选择 AWS Backup – Backup vaults – Create Backup vault



输入 Backup vault 名称,选择用于加密 Vault 中备份的 KMS master key (目前仅支持对 Amazon EFS 的 backup 加密),输入标签;





选择 Assign resources 并关联需要备份的资源。



  • 备份恢复

  • 在 AWS Console 中选择 AWS Backup – Protected resources 中,选中您需要恢复的 AWS Resource ID;



选中需要恢复的备份,并点击 Restore,确认参数后,选择 Restore backup;



等待片刻后,备份恢复成功。


最后也是最重要的

尽可能的使用 AWS 云原生的托管服务,例如 RDS、DynamoDB 等。因为 AWS 采用责任分担模型来明确用户和 AWS 之间的安全责任,当您选择使用这些服务时,您将不再需要将精力放在如何给操作系统安装补丁,如何保护操作系统的密钥,是否有防病毒措施等安全问题上,这些工作将由 AWS 为你负责,您可以更放心的在 AWS 上存放您的数据,免受勒索软件的困扰。


相关文章:


https://aws.amazon.com/blogs/mt/how-to-develop-custom-aws-config-rules-using-the-rule-development-kit/


作者介绍:


陈晓东


亚马逊 AWS 专业服务团队云安全咨询顾问。负责企业级客户的云安全咨询、安全架构设计和技术实施。在信息安全领域拥有多年架构设计、运维、咨询和团队管理经验,对公有云安全、容器安全、DevSecOps 等有深入的研究和热情。


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/build-cloud-protection-system-protect-your-data-easily/


2019-09-25 17:52621
用户头像

发布了 1829 篇内容, 共 90.0 次阅读, 收获喜欢 73 次。

关注

评论

发布
暂无评论
发现更多内容

✅日活3kw的实际库存业务场景中的超卖到底怎么解决的

派大星

电商超卖 互联网+ 秒杀系统架构

益和热力选择 TDengine,实现智慧供热系统升级

TDengine

tdengine 时序数据库

一键Run带你体验扩散模型的魅力

华为云开发者联盟

人工智能 华为云 华为云ModelArts 华为云开发者联盟

ToothFairy for Mac(一键蓝牙设备连接切换软件)v2.8.4中文版

iMac小白

探索AI的边界:如何精准地测试人工智能

测吧(北京)科技有限公司

测试

探索AI的边界:如何精准地测试人工智能

测试人

软件测试

EagleFiler for Mac(Mac数字信息管理器)v1.9.13注册版

iMac小白

AutoCrypt for Mac(文档加密与解密软件)v2.5.2激活版

iMac小白

管理技巧 | 提升团队效能:如何与下属进行有效沟通

测吧(北京)科技有限公司

测试

春天已至,见证80/90/00后女性开发者的云上生长力量

华为云开发者联盟

人工智能 华为云 科技 华为云开发者联盟 先锋开发者云上说

如何将应用一键部署至多个环境?丨Walrus教程

SEAL安全

MySQL 运维 应用部署 Walrus

大咖公开课 | 探索AI的边界:如何精准地测试人工智能

霍格沃兹测试开发学社

印度股票交易系统搭建GangGuHK

GangguHK

YT Saver for Mac(视频下载和转换器)v7.4.1激活版

iMac小白

LLM 大模型框架 LangChain 可观测性最佳实践

心有千千结

观测云 LLM langchain

Calendar 366 II for Mac(日历管理软件)v2.15.3中文激活版

iMac小白

深入浅出:JavaScript 中 every() 的运作原理

Apifox

JavaScript 程序员 前端 数组 前端开发

[自研开源] MyData 数据集成任务的流程介绍 v0.7.1

LIEN

开源 数据集成 业务融合 API对接 mydata

010 Editor for Mac(文本和十六进制编辑器)v14.0.1激活版

iMac小白

Folder Icons for mac(文件夹个性化图标修改软件)v1.6激活版

iMac小白

软件测试团队管理技巧 | 提升团队效能:如何与下属进行有效沟通

测试人

软件测试

国家科技传播中心讲坛!播出预告:吴甜——当机器学会思考

飞桨PaddlePaddle

人工智能 深度学习 百度 BAIDU 百度飞桨

提升团队效能:如何与下属进行有效沟通

霍格沃兹测试开发学社

Shell 检查程序进程是否存在,自动重启

最爱小胖子

iTubeGo YouTube Downloader for Mac(YouTube 下载器)v7.4.1激活版

iMac小白

Simplemind pro for Mac(mac上的思维导图软件)v2.3.3中文激活版

iMac小白

一文读懂私网解析 PrivateZone

火山引擎边缘云

DNS DNS服务器 DNS劫持 #DNS

云服务和本地部署大对比,应该选择哪种方式?

Finovy Cloud

云计算 云服务器 云部署搭建

深度解析:小红书笔记详情API的背后逻辑

技术冰糖葫芦

API 接口

Sibelius西贝柳斯2023 mac永久使用 兼容M1/M2

Rose

Avid Sibelius 2023 Mac 西贝柳斯 Avid Sibelius

graphpad prism for Mac(专业医学绘图工具)v10.2.1激活版

iMac小白

构建云上勒索病毒防护体系,轻松保护数据完整性_语言 & 开发_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章