企業環境User多,風險更大,勒索軟體不只會加密Client端,也會把網路磁碟機檔案加密。
大家都知道面對勒索軟體威脅,要做好備份,問題是還原資料會花上很多時間阿...
我們家總量是20TB,檔案數量大約800萬筆...
高階storage有辦法將快照做即時還原,但是價格也是問題。
不知道有沒有IT同業可以提供建議?
要先了解貴公司的網路狀況..
公司性質...還有目前的資訊設備..和儲存方式..
檔案分享方式....等..
才有辦法去做分析...
大公司有大公司的做法..
小公司有小公司的做法...
無法用同一種方式....來建議...
建議上..還是要先評估貴公司的整個資訊流結構...
才能給予有效的建議...
我做過2百人的企業..也做過10多人的小公司..
設備和費用都不相同...
所以建議你...先幫貴公司分析好..貴公司的系統結構..
和預算..才能做有效的處理
● 資料庫 或 ERP 的目錄,千萬不要開網路磁碟分享(samba 什麼的)
獨立伺服器主機,鎖在機房或櫃子,禁止一般員工操作,只准擁有資格的人去操作主機。
主機平時登入也不要用 root 或 Administrator 身份。
除非是需要管理員身份操作的東西,才 sudo 或 UAC 提升到管理員權限。
● 網路磁碟分享,分各部門權限,
比方說一間公司有:行銷部、企劃部、生產部、人事部.....什麼的
本來就是各部門的權限要分開
比方說:行銷部的人,無法進入生產部、人事部的目錄....等等的。只能進入他自己部門的目錄。
跨部門要交換資料,另設一個交換區目錄。交換區只做臨時交換用,排程每日固定時間清空。或者用內部 E-MAIL 傳。
● 把 只讀資料的目錄,設為唯讀
有些資料是只會讀取的,不會再修改了,比方說:範本、版型、素材、參考資料、歷史封存、備份....等等的。
這類只會讀取,不再修改的資料,分類集中起來,設為「唯讀」分享目錄。
當然這要有人去整理,那個人仍是有寫入權限。
可以讓各部門的主管、主任、或指派特定人員,就是比較可靠,或年資比較久的人,去整理。
菜鳥有可能會亂搞(經驗不足,或混吃隨時準備離職的)。老鳥還擔心飯碗,較不會亂來。
● 增設 把關機制 (主動防衛)
(只是概念,實做需要寫程式,或防火牆腳本)
1) 偵測到 異常大量寫入,立刻封鎖
比如說:正常情況,每次寫入資料頂多幾百 MB,或幾 GB。
但如果有某台電腦,持續在對網路磁碟寫入,5分鐘內就寫入了好幾十 GB,則可以判斷此台電腦寫入異常(非人為,機器人程式,或在搞破壞)。
偵測到,防火牆要立刻封鎖那台電腦繼續寫入(IP或MAC)。並紀錄在 LOG檔,系統馬上自動 mail 相關人員處理。
已經被破壞的部份就沒救了,但可防止災情繼續擴大到全部。
2) 設 陷阱探查(假檔,引誘病毒中計)
※ 這招個人覺的不錯,但實際有沒有用就不知道了。
加密病毒,會對特定副檔名的檔案,進行竄改加密。比如說:doc 啥的,網路上有資料。
檔名有所謂排序,比如 111.doc 會排在 222.doc 前面。
如果病毒程式要批次對檔案動手腳,照理說會從 ASCII 碼低的檔名開始動手腳。
在每個可寫入的目錄中,放一個陷阱(探查檔)。比如說:111.doc 、.!!.doc什麼的,總之檔名要排在最前面的。和員工吩咐好,那個是特殊用途的,不要去動。
每隔 1分鐘之類的(時間自行斟酌),寫腳本程式,排程循環執行,讓系統去檢查那些檔,是否還能正常讀取(能不能讀出資料來比對)。
假如讀不出資料了(比對不了),肯定就是被動手腳了,被加密了。立刻自動停止網路磁碟分享(停止 smb 服務)。並呼叫相關人員處理。
從寫入 LOG 檔,可以查出最後對那個 陷阱探查檔 寫入的是哪台電腦,就可抓出誰電腦中毒了。
不過這個也是防止災情擴大而已,把災情縮小到 1分鐘以內 寫入/修改 的檔案。但實做上很簡單。
3) 寫入沙箱(純理論)
就是說:每次寫入/修改檔案,並不會直接就真的寫入/修改 網路磁碟中的東西。
而是先放在沙箱中,存放個一天之類的,待相關人員抽樣檢查過後,才實際 搬移/覆蓋 到真正的目錄。
不過這個實做起來有很大難度。
或者有一個較簡單的方式:網路磁碟,全部目錄都唯讀,只開放一層目錄可以寫入。然後每天、每部門有人員去抽樣檢查,再去分類、放到唯讀目錄中。
不過那個的確需要懂伺服器的人的去設定,至少要會寫 shell script 腳本。
****************************
再說說 Client端 方面的:
1) 防毒鎖密碼,並自動處理
防毒軟體當然一定要裝,這部份沒問題的。
但是常見的 資安漏洞 情況是:竟然允許使用者更改防毒設置。或選擇:偵測到病毒時,要如何處理。
大部分的防毒軟體,都可以鎖密碼,密碼不要讓使用者知道,只有安裝或維護電腦的人才知道。
如果使用者企圖:更改防毒設定、關閉防毒、卸載。就會要求密碼。讓使用者無法成功。(防毒軟體自我保護)
然後偵測到病毒時的處置:千萬不要彈窗問。
應該設置為:全自動處理(刪除、隔離區)
若彈窗問:偵測到病毒,請問怎麼處理?
大部分人就根本看都不看,以為彈廣告什麼的,直接就點了放行/信任/關閉。
或者有看了,但又非常想要下載那個檔案,想看那個網頁,以為可能防毒誤判,又或者公司電腦中毒爛了,也不關他事,也點了放行。
於是,防毒就形同虛設。
即便再厲害的防毒軟體,有確實抓到病毒,但使用者自己點了放行,那就沒用了。
所以公司的防毒軟體,千萬不要問(全自動處理),且密碼一定要鎖(防止更動、關閉/卸載)
防衛性資安:
不假設使用者是聰明的或猴子,一律當電腦白痴看待。不給任何選擇權,全自動處理。
也有一種:閘道路由器防火牆(兼防毒)。比較貴。屬於源頭處理的。
就是在路由器上,再裝一台閘道防火牆(兼防毒軟體)。
使用者 clinet端 做啥都無所謂,也無法破解。
封包只要含病毒的,過路由器就會被攔下來。並且網頁會跳轉:此 網頁/檔案 偵測到病毒,已經被攔截處理。
不過如果使用者插 usb 隨身碟中毒的,那就防不了,路由器防火牆是過濾網路封包的,不經網路通道的資料,無法過濾。
2) 可以考慮在桌面放置:流量監視軟體
有些免費軟體可以常駐在桌面上,隨時監視網路流量。
比如說:明明沒在存取網路,也沒在讀寫網路磁碟,但是流量卻好幾 MB 的一直跑?
或甚至更扯的,電腦根本就閒置狀態,沒在用,磁碟和網路流量卻一直跑?
這種情況,當然必定有鬼,99.9% 就是電腦中毒了
背後有程式軟體在大量存取網路,可能給網路磁碟中的檔案加密(讀寫/修改)什麼的。
常駐監視 CPU 使用率的也行,windwos 工作管理員,縮小到工作列,就可以監視 cpu 使用率。
電腦明明閒置,CPU 使用率卻居高不下,八成也是中毒。
加密需要演算,如果 CPU 使用率莫名其妙一直很高,八成就有問題。
不過對 網路磁碟/網路芳鄰 來說,監視網路流量,比監視 CPU使用率,更有效。
這個只要簡單教育使用者:如果電腦明明沒在存取網路資源,網路流量卻莫名其妙居高不下,極有可能就是中毒,請聯絡公司電腦維護人員檢查。
文中有說, 加密綁架軟體通常需要時間慢慢的在背景把所有東西加密
越早抓到, 災情就越小
CryptoPrevent
防範Best Practices
不過道高一尺, 魔高一丈
零時差的還是很難防
這至少也許能擋掉舊的版本
剩下的只能靠policy, user security consciousness 和 offline backup
內文搜尋
從 APP 打開
X