AICon 上海站|90%日程已就绪,解锁Al未来! 了解详情
写点什么

构建云上勒索病毒防护体系,轻松保护数据完整性

  • 2019-09-25
  • 本文字数:3628 字

    阅读完需:约 12 分钟

构建云上勒索病毒防护体系,轻松保护数据完整性

最近几年,勒索病毒成为许多企业安全管理者谈之色变的话题。从早期的 WannaCry,到最新的 GlobeImposter,各种勒索病毒以及其变种对企业的数据完整性保护提出了极大的挑战,其中针对制造业、政府、医疗等行业的攻击尤其猖獗。为了有针对性的保护我们的数据,我们先来看一下勒索病毒攻击的典型过程。

勒索病毒典型过程解析

勒索病毒顾名思义它是病毒(或恶意软件)的一种。和其他病毒类型一样,它往往是先由内部网络中的一台主机感染,然后由这台感染的主机扩散到整个企业的内部网络其他主机上。最常见的攻击第一台主机的方式是通过钓鱼邮件或者密码暴力破解,一旦成功,攻击者会尝试利用系统或软件漏洞通过内部网络进行快速病毒复制和扩散。一个新的趋势是攻击者会优先搜寻并加密您内网中的备份文件(.bak),包括各种文件服务器上或者备份系统中的备份数据,从而使您无法恢复数据。

AWS 云上安全视角

AWS 云上安全采用云采用框架(Cloud Adoption Framework),将安全控制措施分为:


  • 指导性控制机制

  • 旨在围绕运营环境构建管理、风险和合规模型。

  • 预防性控制机制

  • 旨在保护您的工作负载并减少威胁和漏洞。

  • 检测性控制机制

  • 可以让您在 AWS 中部署的项目的运行情况变得可见、透明。

  • 响应性控制机制

  • 旨在纠正可能偏离安全基线的行为。

AWS 云上勒索病毒防护之指导性控制机制

1. 构建企业安全管理体系

同在数据中心一样,首先您需要在企业内部制定一套安全管理制度,定期开展员工信息安全意识培训,特别是针对钓鱼邮件、违规网站文件下载、外部存储设备的使用等方面。可以定期进行钓鱼邮件的内部测试,了解内部员工的安全意识水平,常用的工具包括 Kali Linux 集成的 Swaks,以及 Phishing Frenzy,PhishSim 等。

2. 制定 AWS 云上最小安全基线,规范系统安全配置

针对勒索病毒的感染和扩散的特点,制定 AWS 云上安全最小基线,规范云管理员的日常运维配置。

AWS 云上勒索病毒防护之预防性控制机制

病毒的防护重在预防,勒索病毒也如此。AWS 上许多原生的服务以及安全合作伙伴的解决方案帮助客户更好的预防勒索病毒。


  1. 补丁管理

  2. 勒索病毒往往利用操作系统的安全漏洞,在内部网络中快速扩散。因此,预防勒索病毒大面积爆发最有效的方法就是及时安装系统补丁。AWS Systems Manager 可以帮助您在大量 Amazon EC2 或本地实例中自动选择并部署操作系统和软件补丁。下面为大家演示如何利用 AWS Systems Manager 进行补丁的统一管理。初始配置 Systems Manager 请参见:https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up.html。


创建补丁基线


在 AWS Systems Manager – Patch Manager 中,选择 Create patch baseline



输入基线名称、操作系统类型、设置补丁审批规则等参数后,提交创建。



  • 设置实例的 patch group

  • 在 AWS Systems Manager – Managed Instances 中,选择您需要安装补丁的实例,在 View details – Tags 中设置标签 Patch Group。

  • 添加 patch group 到补丁基线 patch baseline 中

  • 回到 Patch Manager,选中刚才创建的补丁基线,选择 Actions – Modify patch groups。


将刚才设置的 patch group 的值加到 baseline 中。



  • 创建 Maintenance Window

  • 在 AWS Systems Manager – Maintenance Window 中,创建一个新的维护窗口。




设置 Schedule 各项参数,并创建维护窗口。


选中创建的维护窗口, 选择 Actions – Register targets,注册您需要打补丁的实例。



选中创建的维护窗口, 选择 Actions – Register Run command task。设置 Command document 为 AWS-RunPatchBaseline,设置 Priority,选中之前设置的 target group id,关联 role 权限,设置 rate control 等参数。具体各参数设置参见:https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-patch-mw-console.html。



  1. 实例远程管理

  2. TCP 22 和 TCP 3389 是管理员们最常用的远程管理端口。勒索病毒攻击者往往会使用这些端口进行密码暴力破解,从而拿到主机的用户权限,并植入勒索病毒。这种方式也同样适用于内网中。您可以选择 AWS 合作伙伴中的商业化堡垒机来避免实例直接向陌生地址暴露上述端口,您也可以选择 AWS Systems Manager- Session Manager 来实现主机的远程管理。


在 AWS Systems Manager- Session Manager 中,点击 Start Session,选择需要管理的主机,Start Session 进入主机命令行界面进行日常操作。


AWS 云上勒索病毒防护之检测性控制机制

  1. 安全合规检查

  2. 在指导性控制机制中,我们定义了 AWS 云上最小安全基线,我们应该如何来检测并确保安全基线的落实呢?AWS Config rules 为我们提供了强大的自动化合规工具,我们可以通过这个服务,将我们原来指导性的控制机制通过 Compliance as Code 的方式,变成自动化的检测性控制机制。之前我们提到过,勒索病毒的一种攻击途径就是通过远程管理端口使用暴力破解的方式,进入到我们内部网络中,针对这个风险,应该在安全基线中要求“实例禁止使用 Public IP”。下面我们通过这个 User Case 为大家展示如何通过 AWS Config rules 来持续监控这项安全基线要求。


在 AWS 托管规则中,我们没有找到对应的规则,因此需要创建自定义的 Config 规则。这里推荐使用 Github 上开源的开发套件 aws-config-rdk 来部署。RDK 环境准备,参见:https://github.com/awslabs/aws-config-rdk。




  • 设置 AWS Profile

  • 在您的 CLI 中设置 AWS Profile,具体可参见 https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-profiles.html。

  • 部署 Config rules

  • 在 RDK 目录下输入 rdk –profile=china deploy EC2_INSTANCE_NO_PUBLIC_IP 进行部署。



  • 验证

  • 在 Lambda 函数中,可以看到使用 RDK 自动创建的 Lambda 函数。


在 AWS Config 规则中,可以看到 RDK 部署的 Config 规则。



点击规则名称,我们可以查看到不合规的具体资源情况。



  1. 构建安全日志 SIEM 系统

  2. 除了安全合规检查以外,您还选择购买 AWS 合作伙伴的安全日志 SIEM 类产品,帮助集中管理和展示当前安全态势。通过对类似防病毒软件产品日志、系统安全日志等的分析,及时发现潜在的勒索病毒,并在其扩散前进行响应。对于使用 AWS Global 的用户,您也可以使用 AWS Security Hub 帮助您对当前的安全态势进行集中监控。

AWS 云上勒索病毒防护之响应性控制机制

一旦被勒索软件感染,最有效的解决手段是从备份中恢复数据。因此,那些存在主机上的备份文件成为了勒索病毒最主要的攻击目标,如何有效保护备份文件给用户带来了新的挑战。AWS 采用快照的方式对块存储进行备份,这些备份被存储在 S3 对象存储上,能够帮助您解决备份的安全性问题。与此同时,AWS 也推出了 AWS Backup 服务,能够帮助您集中的管理备份策略。目前支持的服务有 Amazon EFS, EBS, Storage Gateway, DynamoDB 以及 RDS。



我们以 EBS 的备份和恢复为例:


  • 创建 Backup Vault

  • Backup Vault 用于集中管理您的备份。在 AWS Console 中选择 AWS Backup – Backup vaults – Create Backup vault



输入 Backup vault 名称,选择用于加密 Vault 中备份的 KMS master key (目前仅支持对 Amazon EFS 的 backup 加密),输入标签;





选择 Assign resources 并关联需要备份的资源。



  • 备份恢复

  • 在 AWS Console 中选择 AWS Backup – Protected resources 中,选中您需要恢复的 AWS Resource ID;



选中需要恢复的备份,并点击 Restore,确认参数后,选择 Restore backup;



等待片刻后,备份恢复成功。


最后也是最重要的

尽可能的使用 AWS 云原生的托管服务,例如 RDS、DynamoDB 等。因为 AWS 采用责任分担模型来明确用户和 AWS 之间的安全责任,当您选择使用这些服务时,您将不再需要将精力放在如何给操作系统安装补丁,如何保护操作系统的密钥,是否有防病毒措施等安全问题上,这些工作将由 AWS 为你负责,您可以更放心的在 AWS 上存放您的数据,免受勒索软件的困扰。


相关文章:


https://aws.amazon.com/blogs/mt/how-to-develop-custom-aws-config-rules-using-the-rule-development-kit/


作者介绍:


陈晓东


亚马逊 AWS 专业服务团队云安全咨询顾问。负责企业级客户的云安全咨询、安全架构设计和技术实施。在信息安全领域拥有多年架构设计、运维、咨询和团队管理经验,对公有云安全、容器安全、DevSecOps 等有深入的研究和热情。


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/build-cloud-protection-system-protect-your-data-easily/


2019-09-25 17:52818
用户头像

发布了 1868 篇内容, 共 133.7 次阅读, 收获喜欢 81 次。

关注

评论

发布
暂无评论
发现更多内容

亚马逊云科技启示录:创新作帆,云计算的征途是汪洋大海

亚马逊云科技 (Amazon Web Services)

云计算 亚马逊云科技 Builder 专栏

MarkDown高阶语法手册

Geek_7ubdnf

markdown

使用 NineData 访问 SQL Server 数据库

NineData

sql 数据迁移 逻辑备份 NineData SQL Server

python 中 json 序列化汇总

ModStart

阿里云数据湖3.0解决方案两度登上InfoQ 2022年度榜单

云布道师

阿里云

如何用 7 分钟玩转函数计算?

Serverless Devs

C++基础知识

Geek_7ubdnf

c++

为什么我们的微服务中需要网关?

江南一点雨

nginx SpringcloudGateway

如何提高Java代码的质量!

风铃架构日知录

Java 程序员 后端 IT 代码规则

传输丰富的特征层次结构以实现稳健的视觉跟踪 Transferring Rich Feature Hierarchies for Robust Visual Tracking

Geek_7ubdnf

神经网络

EMQ & IoTDB 联合 Meetup 回顾 | 数据基础设施软件的应用实践分享

Apache IoTDB

PCB行业龙头企业*IoTDB | 利用 IoTDB 替换HBase,打破查询功能局限性

Apache IoTDB

IoT 设备发送 MQTT 请求上云协议讲解——基础知识

阿里云AIoT

缓存 监控 存储 传感器 消息中间件

带你玩转OpenHarmony AI-基于海思NNIE的AI能力自定义

OpenHarmony开发者

OpenHarmony

中冶赛迪*IoTDB | 多项目全流程以IoTDB为时序数据处理方案,预计写入查询效率提升一倍

Apache IoTDB

软件测试/测试开发丨Java or Python?测试开发工程师如何选择合适的编程语言?

测试人

Java Python 软件测试 自动化测试 测试开发

百度工程师带你玩转正则

百度Geek说

正则表达式 开发工具 正则 企业号 1 月 PK 榜

Java二级高速缓存架构设计

元年技术洞察

缓存 数字化转型 二级缓存 Spring Cache Java’

Curve 文件存储在 Elasticsearch 冷热数据存储中的应用实践

网易数帆

elasticsearch 云原生 分布式存储 curve 企业号 1 月 PK 榜

如何使用 Towify 在小程序里实现一个广告轮播图?

Towify

面积曲线AUC(area under curve)

Geek_7ubdnf

图像处理

深度学习跟踪DLT (deep learning tracker)

Geek_7ubdnf

深度学习

知道这10个让你的API接口突然超时的原因吗?

风铃架构日知录

Java IT java程序员 超时 API接口

到底什么样的 REST 才是最佳 REST?

小小怪下士

Java 程序员 Rest API

接口压测实践-压力测试常见参数解释说明

不想敲代码

性能测试 接口测试 压力测试 测试工具 接口测试工具

Linux挂载硬盘

Geek_7ubdnf

Linux

“天猫双11”背后的流量治理技术与标准实践

阿里巴巴中间件

阿里云 云原生 OpenSergo

数据湖(十八):Flink与Iceberg整合SQL API操作

Lansonli

数据湖 1月月更

当我们在谈论DataOps时,我们到底在谈论什么

阿里云大数据AI技术

大数据 运维 数据管理 企业号 1 月 PK 榜

阿里妈妈 Dolphin 智能计算引擎基于 Flink+Hologres 实践

阿里云大数据AI技术

人工智能 大数据 flink 计算引擎 企业号 1 月 PK 榜

CheckStyle使用

soap said

idea插件 格式化代码

构建云上勒索病毒防护体系,轻松保护数据完整性_语言 & 开发_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章