又来勒索，有完没完 - 数据库安全指南

加密勒索事件仍会继续蔓延

2016年下半年，勒索软件成了企业安全的一个致命伤。卡巴斯基在2016年12月份发布的年度热门事件：加密勒索报告显示，截止到2016年，全球有114个国家受到加密勒索事件的影响，共发现44000多个勒索软件样本。亚信安全发布的勒索软件风险研究报告也显示，近十个月内，全球传播的勒索软件数量增长了15倍，中国勒索软件数量增长更是突破了67倍。

企业如遭到勒索，需要按照要求支付“赎金”，否则文件将有可能永远无法打开。勒索软件欺诈金额巨大，且防范困难；通常，企业支出的赎金，会用来发展下一代勒索软件。近期，国外安全研究人员还发现，有勒索软件目标锁定 Linux服务器，还有新型的勒索软件集成了DDoS功能。可预测，加密勒索事件仍会持续蔓延。

KASPERSKY SECURITY BULLETIN 2016. STORY OF THE YEARTHE RANSOMWARE REVOLUTION

阿里云安全团队深入分析勒索软件背后成因

阿里云安全团队第一时间告知用户勒索软件的蔓延趋势，并为用户提供应急加固方案。同时，从勒索软件行为方式方面着手，研发针对勒索加密软件的查杀功能，保证用户云上安全。

点击链接查看加密勒索软件防护方案：https://help.aliyun.com/knowledge_detail/48701.html

阿里云安全通过对目前勒索事件的数据分析，发现被勒索软件入侵的受害者，都有两大共性：

1、关键账号存在弱口令或无认证机制

·服务器登录关键账号(root、administrator)密码简单或空密码；

·数据库(Redis、MongoDB、MySQL、MSsql Server)等相关重要业务服务直接可以无密码登录。

2、无访问控制策略，业务“裸奔”在互联网上

·RDP、SSH、Redis、MongoDB、MySQL、MSsql Server等高危服务直接裸奔在互联网上

以上两类问题是黑客利用成本较低的攻击方式。攻击者不需要获取账号密码，就可以对业务造成重创。目前，大部分勒索软件攻击都是通过Windows可执行文件中包含的恶意代码实现的，随着勒索软件的不断“变种”，还可能演化出新的攻击方式。

云计算平台如何帮助企业减少被勒索风险

云计算平台的威胁情报能力，基础安全功能，安全产品和专家团队，能够有效帮助企业减少风险。相比自建IDC的封闭环境，云上的安全防护选择和管理手段更加多样化，企业在了解业务现状和防御情况的前提下，可在云上定制防御策略，找到合适自己的预防措施。

云平台为企业提供必要的安全工具（如快照功能），并具备强大的容灾、数据恢复能力；经验丰富的安全专家，会针对最新的攻击类型制定相应加固措施。

在应对勒索软件攻击的场景下，阿里云建议企业采用以下防护措施：

定期备份数据。

在阿里云上，建议企业开启镜像和快照，每天进行备份，并保存3份以上的版本。这样即使遇到勒索软件病毒入侵，也可以迅速恢复到1天前的业务数据。

对服务器进行合理的安全域规划。

建议使用阿里云的VPC服务，用于隔离不同租户间业务应用。同时将不同安全级别的服务器，划分到不同的安全域。以免低安全域的服务器中招后，感染高安全域的其它服务器。

服务口令和远程访问权限管理。

服务器的口令建议至少8位以上，同时必须包含复杂的字符。不应向外网直接开放服务器的远程访问权限。如需要远程运维，建议通过阿里云.云市场上的IPsecVPN或SSLVPN的远程访问解决方案。推荐企业在VPC网关处部署云市场的专业防火墙镜像系统：其可同时支持VPN的远程访问，还可实现VPC南北向流量的访问控制。

服务器对外只开放必要的端口，控制服务器的主动外联访问。

可以在VPC 网关处的防火墙，或阿里云安全组防火墙上，设置服务器对外访问端口。只开放必要的端口，减少攻击面，保护服务器的安全。同时，通过阿里云安全组防火墙禁止服务器的主动访问行为，以阻止受感染服务器可能会尝试连接C&C服务器。

服务器口令和漏洞的防护。

建议使用阿里云云盾的安骑士产品，以对非法破解密码的行为进行识别，避免被黑客多次猜解密码而入侵。同时可以一键清除网站后门维护服务器环境纯净，批量修复高危漏洞。

Web应用漏洞的防护。

对于Web网站，推荐使用阿里云云盾WAF，用于防御OWASP 常见威胁，并对SQL注入、XSS跨站、Webshell上传、后门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越、扫描防护等安全防护；定期及时更新0day补丁，对网站进行安全防护。