网络层是第一道防御线,也是最重要的一道 ,建议从 防火墙 ,waf,安全域划分 等方面进行建设
- 防火墙 虽然对于大多数组织来说,外围防火墙可能已经就位,但重要的是要验证你的防火墙是否配置为出口过滤和入口过滤。入口过滤控制允许哪些通信进入组织的网络,而出口过滤控制允许哪些通信离开组织的网络。出入口访问控制都应该基于最小权限原则。应阻止不需要访问外部信息源和系统的系统与外部实体通信。一个无法访问任何外部实体的系统比一个连接互联网的系统更不可能成为恶意软件的入口。此外,如果发生勒索软件感染,如果适当的出口过滤到位,它将无法回调它预置的地址。另外还应为防火墙打开日志记录,因为记录到已知恶意IP地址的重复访问尝试可以作为问题的指示器。
- Web 过滤器 在可行的情况下,完全切断系统与互联网的连接是一个很好的防御措施,但现实情况是,在所有系统上完全阻断互联网是不可行的,并且会阻碍业务运营。应将连接到Internet的系统配置为通过允许过滤Web内容的代理服务器,并使用防火墙规则来确保代理Web访问是http和https连接的唯一出口方式。尽管对Web访问采用白名单方式最为理想,但组织至少应使用其过滤设备来阻止其对已知恶意网站、垃圾邮件/钓鱼网站、代理规避网站、色情网站和所有其他被认为对正常业务运营不必要的网站的访问。在可行的情况下,还建议屏蔽供应商尚未分类的任何网站,因为与新的有效商业网站相比,此类网站更可能是恶意的。虽然它在许多组织中可能在政治上不受欢迎,但强烈建议在这一级别阻止访问个人电子邮件、文件共享网站、社交媒体、即时消息和广告网络。文件共享网站、社交媒体等的特殊豁免可根据需要添加。还应禁止将可执行文件(例如.exe、.scr等)下载到端点。许多代理服务器/Web过滤设备还能够使用AV引擎扫描传入的Web内容。如果支持这一点,建议将其打开,并在可行的情况下,使用不同于内部使用的AV引擎,以增加发现相对新的威胁的可能性。应定期更新Web筛选器,以确保恶意网站和其他网站的分类始终是最新的。
- VPN/远程访问 SamSam勒索软件通常被报告为通过尝试使用安全性差的面向公众的RDP服务远程连接到组织内部进行传播。建议各组织将远程访问限制为只访问必需的帐户,并制定帐户锁定策略,以帮助防止访问凭据的暴力破解。远程访问还应在可行的情况下使用双因素身份验证,以减轻丢失或被盗的访问凭据可能造成的损害
- 安全域划分 通过VLAN和控制VLAN之间流量的ACL进行网络分段将无法防止勒索软件攻击访问您的系统,但如果恶意软件感染能够在您的组织内站稳脚跟,这将是非常宝贵的。网络分段有助于确保恶意软件感染或其他安全问题仅与受感染端点所在的网段隔离,并且不会在整个组织中传播。对于维护不再能够接收安全更新的遗留系统的组织来说,这一点尤为重要。只要可行,就应尽可能细化网络分段,以确保仅允许在网络上进行必要的通信,并且默认情况下阻止所有其他通信。对网络安全采取零信任的方法将极大地减少在您的环境中 发生横向移动的可能性,从而大大减少恶意软件和其他威胁的传播
- 网络入侵检测系统(NIDS/NIPS) 拥有NIDS可能不是防止恶意软件访问您的系统的一个非常有效的方法,因为大多数NIDS都更倾向于检测攻击企图而不是恶意软件,但是当恶意软件与恶意IP地址,如僵尸网络的指挥控制中心和勒索软件工具的密钥生成站点,进行尝试通信时,NIDS系统可以警告潜在的风险爆发。IT和安全工作人员越早收到恶意软件爆发的警报,成功控制事件的可能性就越大,这是一种可以利用的检测手段。根据部署情况,NIDS系统还可以帮助确定组织内试图感染其他系统的系统。
GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范http://www.github5.com/view/558 GB/T 28827.3-2012 信息技术服务 运行维护 第3部分:应急响应规范 GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南 OWASP 反勒索软件指南
