防勒索日常操作指引
為了應對不斷演變的安全威脅和不確定的攻擊行為,您需要持續(xù)關注勒索防護備份策略的執(zhí)行狀態(tài),及時處理系統(tǒng)中存在的安全告警和漏洞,加固系統(tǒng)安全防線。本文介紹防御勒索病毒的實用操作指南,幫助您有效防范勒索病毒侵害,降低潛在的勒索風險。
步驟一:創(chuàng)建防勒索備份策略
根據(jù)需要防護的文件或數(shù)據(jù)庫的大小,購買防勒索容量。具體操作,請參見開通服務。
為核心數(shù)據(jù)或重要文件創(chuàng)建勒索防護策略。
需防護數(shù)據(jù)庫文件時,您需要在防勒索頁面數(shù)據(jù)庫防勒索頁簽下創(chuàng)建防護策略。具體操作,請參見創(chuàng)建防護策略。
需要防護服務器指定路徑下的文件(非數(shù)據(jù)庫文件)時,您需要在防勒索頁面服務器防勒索頁簽下創(chuàng)建防護策略。具體操作,請參見創(chuàng)建防護策略。
創(chuàng)建防勒索策略后,會為相應服務器自動安裝防勒索客戶端,您需要關注防勒索客戶端是否安裝成功、狀態(tài)是否正常,以確保備份任務可以正常執(zhí)行。
重要防護策略首次進行數(shù)據(jù)備份時,會備份防護目錄下的所有數(shù)據(jù),因此首次備份會花費較長時間。后續(xù)進行的周期性備份,僅做增量備份,即只備份有變化的數(shù)據(jù)。
支持同時使用服務器防勒索和數(shù)據(jù)庫防勒索。
避免在防勒索的防護目錄中設置非本地目錄(即掛載目錄,例如OSS、NAS掛載到ECS上的目錄),防止云安全中心訪問對應服務中的數(shù)據(jù)時產(chǎn)生額外費用。如果需要備份掛載目錄,建議您直接使用云備份服務。具體操作,請參見快速入門-OSS備份、快速入門-本地NAS備份。
步驟二:配置防勒索通知
創(chuàng)建防護策略后,您需要配置防勒索通知以確保及時收到防勒索備份相關的消息通知。您需要在通知設置頁面開啟防勒索任務執(zhí)行結果通知和防勒索空間超量通知。具體操作,請參見通知設置。
步驟三:日常巡檢
創(chuàng)建防護策略并配置通知后,您需要進行日常的巡檢以確保防勒索服務正常運行,并提升服務器的安全水位。您可以按照下述事項的順序執(zhí)行日常巡檢。
定期觀察備份任務是否正常執(zhí)行。
建議您每天,或者按照備份數(shù)據(jù)保留時間為周期前往云安全中心控制臺防勒索頁面,查看對應防勒索客戶端狀態(tài)是否正常,防勒索容量是否足夠,備份任務是否正常,可恢復數(shù)據(jù)是否正常。如果有異常,建議您及時排查和處理問題。具體操作,請參見防勒索客戶端和備份任務異常狀態(tài)排查、數(shù)據(jù)庫防勒索策略狀態(tài)異常排查。
定期觀察服務器上安裝的云安全中心客戶端在線情況。
云安全中心客戶端是安裝在服務器中的軟件程序,用于收集和分析多種日志和數(shù)據(jù),以監(jiān)控和檢測服務器中潛在的安全威脅。建議您及時關注云安全中心客戶端的在線情況,避免因為云安全中心客戶端離線導致安全防護失效。在主機資產(chǎn)頁面,可查看客戶端狀態(tài)??蛻舳穗x線問題的處理方法,請參見客戶端離線排查。
關注服務器中的安全告警并及時處理。
關注服務器中的安全告警可以確認服務器是否受到外界攻擊。云安全中心支持實時檢測服務器中的安全告警事件,包括網(wǎng)頁防篡改、進程異常、網(wǎng)站后門、異常登錄、惡意進程等。在主機資產(chǎn)頁面目標服務器的詳情頁,可以查看該服務器中發(fā)現(xiàn)的所有告警事件。處理安全告警的具體操作,請參見查看和處理安全告警。
設置漏洞檢測策略并及時修復漏洞。
漏洞的存在為攻擊者提供了侵入系統(tǒng)的通道,及時修補漏洞能顯著減少潛在的安全風險。建議您設置周期性漏洞掃描,并在發(fā)現(xiàn)漏洞后及時處理。執(zhí)行漏洞掃描后,在主機資產(chǎn)頁面目標服務器的詳情頁,可以查看該服務器中存在的所有漏洞。設置漏洞掃描周期并處理漏洞的具體操作,請參見掃描漏洞、查看和處理漏洞。
設置基線檢查策略并及時修復風險。
病毒和黑客會利用服務器存在的安全配置缺陷入侵服務器盜取數(shù)據(jù)或是植入后門。建議您使用基線檢查功能針對服務器操作系統(tǒng)、數(shù)據(jù)庫、軟件和容器的配置進行安全檢測并及時修復,可以加固系統(tǒng)安全,降低入侵風險并滿足安全合規(guī)要求。具體操作,請參見基線檢查。
定期核查核心業(yè)務運行是否正常。
建議您設置周期性任務或定期人工核查核心業(yè)務是否可以正常訪問。勒索攻擊一般會對服務器進行全盤加密,或刪除數(shù)據(jù)庫的數(shù)據(jù),造成業(yè)務無法正常訪問。對于核心業(yè)務,建議您定期進行排查以便及時發(fā)現(xiàn)和處理勒索事件。
注意事項
請勿在備份任務執(zhí)行過程中重啟服務器。在執(zhí)行備份任務時重啟服務器會導致備份任務執(zhí)行失敗。備份任務執(zhí)行失敗后,系統(tǒng)默認到下次備份周期才會再次進行備份。
發(fā)生勒索事件后,請勿刪除防護策略或防護策略下已被勒索的服務器。刪除防護策略或防護策略下被勒索的服務器,對應備份數(shù)據(jù)會被清除,數(shù)據(jù)清除后將無法找回。
對于非常重要的文件或數(shù)據(jù)庫數(shù)據(jù),建議您同時通過其他渠道進行多重備份。