数据勒索防范手册(1.0版)
AI智能总结
前言 当前,数据勒索攻击已成为全球最严重的数据安全威胁之一,攻击方式呈现APT化、平台化、多重化、AI驱动化等发展趋势。据统计,近年来针对制造业、公共事业、卫生保健、电力、交通、能源等领域的勒索攻击显著增加。随着云计算、边缘计算等技术的不断发展,新型信息基础设施日益成为勒索攻击的新目标。 为有效处理并防范数据勒索攻击,在工业和信息化部网络安全管理局指导下,国家工业信息安全发展研究中心深入开展调研,联合深信服科技股份有限公司、北京威努特技术有限公司、烽台科技(北京)有限公司、绿盟科技集团股份有限公司、天融信科技集团股份有限公司、杭州安恒信息技术股份有限公司、闪捷信息科技有限公司等单位编制《数据勒索防范手册(1.0版)》,分析数据勒索表现形式、感染风险及数据勒索攻击流程,聚焦事前风险防范、事中快速响应、事后整改加固三个阶段,提出数据勒索防护措施,帮助企业防范化解数据勒索软件攻击风险。本手册可供广大工业企业以及其他行业单位和公众在数据防勒索等工作中作为实操参考,后续将持续迭代更新,欢迎各方提供宝贵意见建议。 本手册版权属于国家工业信息安全发展研究中心,并受法律保护。如需引用,请注明来源。 目录 1.1.1数据加密......................................................................-1-1.1.2数据窃取......................................................................-1-1.1.3系统加密......................................................................-2-1.1.4凭证篡改......................................................................-2- 1.2.1人员管理安全风险.......................................................-3-1.2.2系统漏洞安全风险.......................................................-3-1.2.3凭证失窃安全风险.......................................................-3-1.2.4第三方供应商安全风险................................................-3-1.2.5移动存储介质安全风险................................................-4-1.2.6缺乏保护导致安全风险................................................-4- 1.3数据勒索攻击流程................................................................-4- 1.3.1勒索侦察阶段..............................................................-5-1.3.2渗透入侵阶段..............................................................-5-1.3.3勒索威胁阶段..............................................................-6-1.3.4勒索兑现阶段..............................................................-6- 第二章数据勒索防护....................................................................-8- 2.1.1梳理数据处理相关载体清单........................................-9-2.1.2健全数据安全管理制度..............................................-10-2.1.3强化数据处理环境安全管理......................................-11-2.1.4排查修复重要安全漏洞..............................................-13-2.1.5做好数据备份............................................................-13-2.1.6加强社会工程学攻击应对措施...................................-14-2.1.7定期开展风险评估.....................................................-15-2.1.8强化勒索攻击风险监测预警......................................-15-2.1.9定期开展数据安全教育培训......................................-15-2.1.10定期开展应急演练...................................................-17- 2.2.1确认勒索攻击事件.....................................................-17-2.2.2隔离感染源................................................................-18-2.2.3加固未感染设备.........................................................-18-2.2.4及时上报事件............................................................-19- 2.3.1提取样本....................................................................-20-2.3.2排查攻击痕迹............................................................-20-2.3.3整改加固....................................................................-23-2.3.4恢复服务....................................................................-24-2.3.5事件总结....................................................................-25- 第三章数据勒索防护与处置案例.................................................-26- 3.1数据勒索事件概述..............................................................-26-3.2事件应急处置过程..............................................................-26-3.2.1确定勒索攻击事件..................................................-26-3.2.2隔离感染源..............................................................-27-3.2.3加固未感染设备......................................................-27-3.2.4及时上报事件..........................................................-28-3.3事后加固措施.....................................................................-28-3.3.1提取样本特征..........................................................-28-3.3.2排查攻击痕迹..........................................................-30-3.3.3整改加固..................................................................-32-3.3.4恢复系统数据..........................................................-33-附录勒索软件主要利用的已知漏洞及修复补丁............................-35- 第一章数据勒索概述 数据勒索是指攻击者通过向目标组织投放勒索软件或系统被植入勒索软件,导致数据资产遭受恶意加密、窃取、篡改、删除等破坏,迫使受害方支付赎金,影响目标组织正常生产运营,甚至导致停工停产,造成巨大经济损失的一种攻击行为。 1.1数据勒索的表现方式 当前数据勒索的表现方式主要分为以下4类: 1.1.1数据加密 数据加密是当前勒索攻击最为活跃的表现形式,受害群体最多、社会影响最广。该方式使用加密算法(如AES、RSA等)加密用户磁盘、文件、数据库等数据资产,一旦感染,用户很难解密被加密的数据。2017年5月,WannaCry勒索病毒通过MS17-010漏洞在全球范围爆发,利用AES-128和RSA-2048算法,加密文件数据,要求勒索目标支付赎金。英国、美国、中国、俄罗斯、西班牙和意大利等上百个国家的数十万台电脑被感染,包括医疗、教育、能源、通信、制造业以及政府等多个领域的计算机终端设备。2023年,匿名者黑客组织利用GhostSec勒索软件攻击加密了俄罗斯境内的远程终端单元(RTU)。 1.1.2数据窃取 该方式建立通信链路,将企业数据窃取并外传给攻击者,同时对原始数据进行加密、删除、格式化等破坏性操作,敲诈企业支付高额赎金。一旦企业不从,攻击者很可能会将窃取的数据公 开发布或售卖。对企业而言,不仅会造成严重的经济损失,也会为企业带来极大的负面影响。2023年9月,黑客组织DarkAngels利用勒索软件攻击美国江森自控国际公司,窃取超过27TB的公司数据,索要赎金5100万美元。 1.1.3系统加密 系统加密和数据加密方式相似,通过使用多种加密算法对系统磁盘主引导记录、卷引导记录等进行加密,篡改系统开机密码,导致用户无法正常登录系统,从而向企业索要赎金。2017年6月,Petya勒索软件攻击了乌克兰、俄罗斯在内的多个国家,该勒索软件会加密计算机的主引导记录(MBR),覆盖Windows引导程序,导致系统无法正常启动。 1.1.4凭证篡改 该方式通过修改目标系统用户登录密码,或伪装成系统锁屏界面、引导用户输入登录密码后,篡改用户密码,从而锁定设备,迫使企业支付赎金。2019年,MegaCortex勒索软件在美国、加拿大等地区传播,主要攻击大型企业,不但加密用户文件,还会进一步修改Windows登录密码,并在加密完毕后进行锁屏,更进一
