為了應對不斷演變的安全威脅和不確定的攻擊行為,您需要持續關注勒索防護備份策略的執行狀態,及時處理系統中存在的安全警示和漏洞,加固系統安全防線。本文介紹防禦勒索病毒的實用操作指南,協助您有效防範勒索病毒侵害,降低潛在的勒索風險。
步驟一:建立防勒索備份策略
根據需要防護的檔案或資料庫的大小,購買防勒索容量。具體操作,請參見開通併購買服務。
為核心資料或重要檔案建立勒索防護策略。
需防護資料庫檔案時,您需要在防勒索頁面数据库防勒索頁簽下建立防護策略。具體操作,請參見建立防護策略。
需要防護伺服器指定路徑下的檔案(非資料庫檔案)時,您需要在防勒索頁面服务器防勒索頁簽下建立防護策略。具體操作,請參見建立防護策略。
建立防勒索策略後,會為相應伺服器自動安裝防勒索用戶端,您需要關注防勒索用戶端是否安裝成功、狀態是否正常,以確保備份任務可以正常執行。
重要防護策略首次進行資料備份時,會備份防護目錄下的所有資料,因此首次備份會花費較長時間。後續進行的周期性備份,僅做增量備份,即只備份有變化的資料。
支援同時使用伺服器防勒索和資料庫防勒索。
避免在防勒索的防護目錄中設定非本地目錄(即掛載目錄,例如OSS、NAS掛載到ECS上的目錄),防止Security Center訪問對應服務中的資料時產生額外費用。如果需要備份掛載目錄,建議您直接使用雲備份服務。具體操作,請參見快速入門-OSS備份、快速入門-本地NAS備份。
步驟二:配置防勒索通知
建立防護策略後,您需要配置防勒索通知以確保及時收到防勒索備份相關的訊息通知。您需要在通知設定頁面開啟防勒索任务执行结果通知和防勒索空間超量通知。具體操作,請參見通知設定。
步驟三:日常巡檢
建立防護策略並配置通知後,您需要進行日常的巡檢以確保防勒索服務正常運行,並提升伺服器的安全水位。您可以按照下述事項的順序執行日常巡檢。
定期觀察備份任務是否正常執行。
建議您每天,或者按照備份資料保留時間為周期前往Security Center控制台防勒索頁面,查看對應防勒索用戶端狀態是否正常,防勒索容量是否足夠,備份任務是否正常,可恢複資料是否正常。如果有異常,建議您及時排查和處理問題。具體操作,請參見防勒索用戶端和備份任務異常狀態排查、資料庫防勒索策略狀態和備份任務異常狀態排查。
定期觀察伺服器上安裝的Security Center用戶端線上情況。
Security Center用戶端是安裝在伺服器中的軟體程式,用於收集和分析多種日誌和資料,以監控和檢測伺服器中潛在的安全威脅。建議您及時關注云資訊安全中心用戶端的線上情況,避免因為Security Center用戶端離線導致安全防護失效。在主机资产頁面,可查看用戶端狀態。用戶端離線問題的處理方法,請參見用戶端離線排查。
關注伺服器中的安全警示並及時處理。
關注伺服器中的安全警示可以確認伺服器是否受到外界攻擊。Security Center支援即時檢測伺服器中的安全警示事件,包括網頁防篡改、進程異常、網站後門、異常登入、惡意進程等。在主机资产頁面目標伺服器的詳情頁,可以查看該伺服器中發現的所有警示事件。處理安全警示的具體操作,請參見查看和處理安全警示。
設定漏洞檢測策略並及時修複漏洞。
漏洞的存在為攻擊者提供了侵入系統的通道,及時修補漏洞能顯著減少潛在的安全風險。建議您設定周期性漏洞掃描,並在發現漏洞後及時處理。執行漏洞掃描後,在主机资产頁面目標伺服器的詳情頁,可以查看該伺服器中存在的所有漏洞。設定漏洞掃描周期並處理漏洞的具體操作,請參見掃描漏洞、查看和處理漏洞。
設定基準檢查策略並及時修複風險。
病毒和駭客會利用伺服器存在的安全配置缺陷入侵伺服器盜取資料或是植入後門。建議您使用基準檢查功能針對伺服器作業系統、資料庫、軟體和容器的配置進行安全檢測並及時修複,可以加固系統安全,降低入侵風險並滿足安全合規要求。具體操作,請參見基準檢查。
定期核查核心業務運行是否正常。
建議您設定週期性任務或定期人工核查核心業務是否可以正常訪問。勒索攻擊一般會對伺服器進行全盤加密,或刪除資料庫的資料,造成業務無法正常訪問。對於核心業務,建議您定期進行排查以便及時發現和處理勒索事件。
注意事項
請勿在備份任務執行過程中重啟伺服器。在執行備份任務時重啟伺服器會導致備份任務執行失敗。備份任務執行失敗後,系統預設到下次備份周期才會再次進行備份。
發生勒索事件後,請勿刪除防護策略或防護策略下已被勒索的伺服器。刪除防護策略或防護策略下被勒索的伺服器,對應備份資料會被清除,資料清除後將無法找回。
對於非常重要的檔案或資料庫資料,建議您同時通過其他渠道進行多重備份。