写点什么

构建云上勒索病毒防护体系,轻松保护数据完整性

  • 2019-09-25
  • 本文字数:3628 字

    阅读完需:约 12 分钟

构建云上勒索病毒防护体系,轻松保护数据完整性

最近几年,勒索病毒成为许多企业安全管理者谈之色变的话题。从早期的 WannaCry,到最新的 GlobeImposter,各种勒索病毒以及其变种对企业的数据完整性保护提出了极大的挑战,其中针对制造业、政府、医疗等行业的攻击尤其猖獗。为了有针对性的保护我们的数据,我们先来看一下勒索病毒攻击的典型过程。

勒索病毒典型过程解析

勒索病毒顾名思义它是病毒(或恶意软件)的一种。和其他病毒类型一样,它往往是先由内部网络中的一台主机感染,然后由这台感染的主机扩散到整个企业的内部网络其他主机上。最常见的攻击第一台主机的方式是通过钓鱼邮件或者密码暴力破解,一旦成功,攻击者会尝试利用系统或软件漏洞通过内部网络进行快速病毒复制和扩散。一个新的趋势是攻击者会优先搜寻并加密您内网中的备份文件(.bak),包括各种文件服务器上或者备份系统中的备份数据,从而使您无法恢复数据。

AWS 云上安全视角

AWS 云上安全采用云采用框架(Cloud Adoption Framework),将安全控制措施分为:


  • 指导性控制机制

  • 旨在围绕运营环境构建管理、风险和合规模型。

  • 预防性控制机制

  • 旨在保护您的工作负载并减少威胁和漏洞。

  • 检测性控制机制

  • 可以让您在 AWS 中部署的项目的运行情况变得可见、透明。

  • 响应性控制机制

  • 旨在纠正可能偏离安全基线的行为。

AWS 云上勒索病毒防护之指导性控制机制

1. 构建企业安全管理体系

同在数据中心一样,首先您需要在企业内部制定一套安全管理制度,定期开展员工信息安全意识培训,特别是针对钓鱼邮件、违规网站文件下载、外部存储设备的使用等方面。可以定期进行钓鱼邮件的内部测试,了解内部员工的安全意识水平,常用的工具包括 Kali Linux 集成的 Swaks,以及 Phishing Frenzy,PhishSim 等。

2. 制定 AWS 云上最小安全基线,规范系统安全配置

针对勒索病毒的感染和扩散的特点,制定 AWS 云上安全最小基线,规范云管理员的日常运维配置。

AWS 云上勒索病毒防护之预防性控制机制

病毒的防护重在预防,勒索病毒也如此。AWS 上许多原生的服务以及安全合作伙伴的解决方案帮助客户更好的预防勒索病毒。


  1. 补丁管理

  2. 勒索病毒往往利用操作系统的安全漏洞,在内部网络中快速扩散。因此,预防勒索病毒大面积爆发最有效的方法就是及时安装系统补丁。AWS Systems Manager 可以帮助您在大量 Amazon EC2 或本地实例中自动选择并部署操作系统和软件补丁。下面为大家演示如何利用 AWS Systems Manager 进行补丁的统一管理。初始配置 Systems Manager 请参见:https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up.html。


创建补丁基线


在 AWS Systems Manager – Patch Manager 中,选择 Create patch baseline



输入基线名称、操作系统类型、设置补丁审批规则等参数后,提交创建。



  • 设置实例的 patch group

  • 在 AWS Systems Manager – Managed Instances 中,选择您需要安装补丁的实例,在 View details – Tags 中设置标签 Patch Group。

  • 添加 patch group 到补丁基线 patch baseline 中

  • 回到 Patch Manager,选中刚才创建的补丁基线,选择 Actions – Modify patch groups。


将刚才设置的 patch group 的值加到 baseline 中。



  • 创建 Maintenance Window

  • 在 AWS Systems Manager – Maintenance Window 中,创建一个新的维护窗口。




设置 Schedule 各项参数,并创建维护窗口。


选中创建的维护窗口, 选择 Actions – Register targets,注册您需要打补丁的实例。



选中创建的维护窗口, 选择 Actions – Register Run command task。设置 Command document 为 AWS-RunPatchBaseline,设置 Priority,选中之前设置的 target group id,关联 role 权限,设置 rate control 等参数。具体各参数设置参见:https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-patch-mw-console.html。



  1. 实例远程管理

  2. TCP 22 和 TCP 3389 是管理员们最常用的远程管理端口。勒索病毒攻击者往往会使用这些端口进行密码暴力破解,从而拿到主机的用户权限,并植入勒索病毒。这种方式也同样适用于内网中。您可以选择 AWS 合作伙伴中的商业化堡垒机来避免实例直接向陌生地址暴露上述端口,您也可以选择 AWS Systems Manager- Session Manager 来实现主机的远程管理。


在 AWS Systems Manager- Session Manager 中,点击 Start Session,选择需要管理的主机,Start Session 进入主机命令行界面进行日常操作。


AWS 云上勒索病毒防护之检测性控制机制

  1. 安全合规检查

  2. 在指导性控制机制中,我们定义了 AWS 云上最小安全基线,我们应该如何来检测并确保安全基线的落实呢?AWS Config rules 为我们提供了强大的自动化合规工具,我们可以通过这个服务,将我们原来指导性的控制机制通过 Compliance as Code 的方式,变成自动化的检测性控制机制。之前我们提到过,勒索病毒的一种攻击途径就是通过远程管理端口使用暴力破解的方式,进入到我们内部网络中,针对这个风险,应该在安全基线中要求“实例禁止使用 Public IP”。下面我们通过这个 User Case 为大家展示如何通过 AWS Config rules 来持续监控这项安全基线要求。


在 AWS 托管规则中,我们没有找到对应的规则,因此需要创建自定义的 Config 规则。这里推荐使用 Github 上开源的开发套件 aws-config-rdk 来部署。RDK 环境准备,参见:https://github.com/awslabs/aws-config-rdk。




  • 设置 AWS Profile

  • 在您的 CLI 中设置 AWS Profile,具体可参见 https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-profiles.html。

  • 部署 Config rules

  • 在 RDK 目录下输入 rdk –profile=china deploy EC2_INSTANCE_NO_PUBLIC_IP 进行部署。



  • 验证

  • 在 Lambda 函数中,可以看到使用 RDK 自动创建的 Lambda 函数。


在 AWS Config 规则中,可以看到 RDK 部署的 Config 规则。



点击规则名称,我们可以查看到不合规的具体资源情况。



  1. 构建安全日志 SIEM 系统

  2. 除了安全合规检查以外,您还选择购买 AWS 合作伙伴的安全日志 SIEM 类产品,帮助集中管理和展示当前安全态势。通过对类似防病毒软件产品日志、系统安全日志等的分析,及时发现潜在的勒索病毒,并在其扩散前进行响应。对于使用 AWS Global 的用户,您也可以使用 AWS Security Hub 帮助您对当前的安全态势进行集中监控。

AWS 云上勒索病毒防护之响应性控制机制

一旦被勒索软件感染,最有效的解决手段是从备份中恢复数据。因此,那些存在主机上的备份文件成为了勒索病毒最主要的攻击目标,如何有效保护备份文件给用户带来了新的挑战。AWS 采用快照的方式对块存储进行备份,这些备份被存储在 S3 对象存储上,能够帮助您解决备份的安全性问题。与此同时,AWS 也推出了 AWS Backup 服务,能够帮助您集中的管理备份策略。目前支持的服务有 Amazon EFS, EBS, Storage Gateway, DynamoDB 以及 RDS。



我们以 EBS 的备份和恢复为例:


  • 创建 Backup Vault

  • Backup Vault 用于集中管理您的备份。在 AWS Console 中选择 AWS Backup – Backup vaults – Create Backup vault



输入 Backup vault 名称,选择用于加密 Vault 中备份的 KMS master key (目前仅支持对 Amazon EFS 的 backup 加密),输入标签;





选择 Assign resources 并关联需要备份的资源。



  • 备份恢复

  • 在 AWS Console 中选择 AWS Backup – Protected resources 中,选中您需要恢复的 AWS Resource ID;



选中需要恢复的备份,并点击 Restore,确认参数后,选择 Restore backup;



等待片刻后,备份恢复成功。


最后也是最重要的

尽可能的使用 AWS 云原生的托管服务,例如 RDS、DynamoDB 等。因为 AWS 采用责任分担模型来明确用户和 AWS 之间的安全责任,当您选择使用这些服务时,您将不再需要将精力放在如何给操作系统安装补丁,如何保护操作系统的密钥,是否有防病毒措施等安全问题上,这些工作将由 AWS 为你负责,您可以更放心的在 AWS 上存放您的数据,免受勒索软件的困扰。


相关文章:


https://aws.amazon.com/blogs/mt/how-to-develop-custom-aws-config-rules-using-the-rule-development-kit/


作者介绍:


陈晓东


亚马逊 AWS 专业服务团队云安全咨询顾问。负责企业级客户的云安全咨询、安全架构设计和技术实施。在信息安全领域拥有多年架构设计、运维、咨询和团队管理经验,对公有云安全、容器安全、DevSecOps 等有深入的研究和热情。


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/build-cloud-protection-system-protect-your-data-easily/


2019-09-25 17:52754
用户头像

发布了 1849 篇内容, 共 115.1 次阅读, 收获喜欢 78 次。

关注

评论

发布
暂无评论
发现更多内容

未来赚钱的行业大预测

ES_her0

28天写作

攀爬天梯的手机厂商,能从LG的滑落中学到什么?

脑极体

无人机蜂群

冠冠

Elasticsearch 相关度评分

escray

elastic 七日更 28天写作 死磕Elasticsearch 60天通过Elastic认证考试 2月春节不断更

正月十五吃汤圆CountDownLatch

叫练

AQS join 共享锁 CountDownLatch 多线程高并发

第五周作业:用例流程图

克比

简单脚本监控SSL证书,并到期提醒续签

运维研习社

收音机焊接

aaaaa

开源镜像仓库Harbor的镜像安全

运维研习社

Docker 安全 Harbor CI/CD

我看JAVA 之 AbstractStringBuilder & StringBuffer & StringBuilder

awen

Java 源码 jdk string

【得物技术】Web Components 初探

得物技术

Web API 得物技术 Web Component 组件

区块链打造“红娘链”,婚姻上链让爱更“牢固”

CECBC

婚姻

产品经理第五周:如何绘制流程图?

克比

分页问题-Offset-based Pagination和Cursor-based Pagination

诸葛小猿

分页 Offset-based Pagination Cursor-based Pagination

微信公众平台-渠道二维码开发

Geek_247dae

【LeetCode】猜字谜Java题解

Albert

算法 LeetCode 28天写作 2月春节不断更

产品迭代最有力的工具:每周产品讨论会

boshi

产品策略 七日更

Kafka 中所谓的 ‘零拷贝’ 技术到底是什么?

码农架构

Java kafka 程序员 架构 微服务

区块链与数字货币的发展到底有什么意义

CECBC

金融

Java中的String类型到底占用多大的内存空间?

冰河

Java 性能优化 string 高并发 内存空间

Nginx中常见header配置及修改

运维研习社

nginx Linux

341 万考生,除了图书馆他们去了这样一个地方

IoT云工坊

小程序 人工智能 物联网 云平台 24小时无人自习室

区块链能否一劳永逸地结束痛苦的选票争端?

CECBC

区块链

Docker安装

Sakura

Docker

分布式应用监控与链路追踪:SkyWalking

xcbeyond

微服务 监控 Skywalking 调用链 28天写作

元宵佳节快乐哦

Nydia

医者,智也:智慧医院破茧时,翻开转型新一页

脑极体

云主机配置微信公众号后台全记录

小jack

这道 Hard 到底难在哪里?大概是难在考察的全是违反“人性直觉”的内容吧 ...

宫水三叶的刷题日记

面试 LeetCode 数据结构与算法

翻译:《实用的 Python 编程》02_07_Objects

codists

Python

28天瞎写的第二百四十五天:怎么样开始练习冥想?

树上

冥想 28天写作 正念

构建云上勒索病毒防护体系,轻松保护数据完整性_语言 & 开发_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章