减小勒索攻击受害程度的关键措施；有哪些数据恢复方案| FB甲方群话题讨论

摘要：各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第253期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干货讨论内容，为您提供一手价值信息。

各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第253期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干货讨论内容，为您提供一手价值信息。

话题抢先看

1、防护总会有遗漏，有哪些方法可以尽量减小被攻击时的受害程度（比如构建网络纵深）2、基于针对勒索攻击有哪些数据恢复方案？速度和存储成本如何？3、当受到勒索攻击最主要的是快速恢复服务运行，有哪些方案可以采用？（比如备用系统）话题 当业务变多组织变大，不可避免的会暴露一些脆弱点，被勒索攻击盯上也是常见的情况。我们基于勒索攻击进行讨论。

A1：

CTEM，识别薄弱点，通过纵深防御进行加固和提升。

A2：

备份、备份、还是备份！

增量备份、全量备份、定期做备份恢复演练、异地备份、本地备份、云备份...各种备份。

A3：

IPDRR，每个环节覆盖到。

A4：

分区分域，做好横向隔离和权限划分，这个是属于说起来简单，但是落地的时候需要结合业务来做，很繁杂的一个过程，而且最好结合零信任的动态权限评估来做效果会好一些。

这图还不够精辟么

A6：

事前：暴露面

事中：隔离

事后：备份恢复

A7：

现在的勒索坏的很，好多是一个月甚至两三个月后才触发，发现备份的全是感染的，正常的备份也没有了，还原也没用。

A8：

那总有一个时间差，不管啥时候触发，生产被勒索的那天，备份即便被污染但没触发啊。

A9：

收敛互联网攻击面

信息系统权限梳理

纵深防御体系扩展

管理制度强调稽查

核心资产备份隔离

A10：

严格执行ZTNA 框架，和321备份原则。

A11：

1、关闭不必要的对外暴露的系统和接口

2、各部门收敛数据的使用范围，每个数据都有责任人，识别审核第三方合作渠道的安全能力

3、建立内网的数据中心，数据动态备份

4、建立应急响应预案，形成虚拟组织，以便问题快速处理

A12：

做好访问控制，对备份服务器，也就是最后一道防线，做好不可擦除的限制和禁用，最好采用离线+磁带备份的方式。

A13：

勒索就备份靠谱儿，勒索基本都是些未授权漏洞，做好巡检，多扫扫也能部分避免。

A14：

同意，对付勒索最好的方法就是：备份，热备，冷备，虚拟化NBU备份等等。按照业务重要程度做备份。

脆弱点收敛可以考虑零信任收敛一些常用内部系统，至于业务系统能放云就放云。一样重点还是备份。

A15：

构建网络纵深防御，实施最小权限原则，对重要数据进行加密和隔离备份，部署行为分析和异常检测系统，制定并演练应急响应方案。同时加强员工安全意识培训，及时修复系统漏洞，实施多因素身份认证。这些措施能够有效限制攻击范围，保护核心数据，并在遭受攻击时快速恢复业务。关键是要建立多层次、全方位的防护体系，不给攻击者可乘之机。

A16：

搞清楚勒索攻击的本质再说备份，内部全都打穿了，特权账号都沦陷，备份也没用。本质还是要基于纵深防御建立基本防护面，备份也是防护的一种措施。

A17：

常规的就不说了，以前用过某些厂商的免费的管家类产品、独立小工具，在终端释放一些诱饵文档，这些文档是用户自己都不会访问的，如果有进程去访问，说明有问题，就把这些进程干掉。

A18：

管理方面来说：

1. 需要减少对外联络渠道，专事专项专人负责，避免多渠道外联导致的信息不一致，进而出现的诱骗、误导等情况发生；

2. 针对既往发生的事件及行业内常见事件，定期进行安全意识宣讲，提升员工安全意识。

技术方面来说：

1. 收敛各类应用系统（服务）的互联网暴露面，非必要不开放互联网访问；

2. 定期检查安全补丁（升级）、权限管理；

3. 关闭非必要即时通信软件（或邮件等外联通讯方式）的访问通道；

4. 部署HIDS/终端安全管理软件（聊胜于无）；

5. 做好横向/纵向网络隔离措施。（特别是横向隔离）

A19：

前阵子看到个小公司的哥们在求助，被勒索盯上了。刚恢复完就又寄了，老板又舍不得加大安全经费。

A20：

安全经费都是被打出来的。

A21：

安全经费还有自己人折腾出来的，干脆来个物理阻断直接停掉业务。前几天看到一个JD要求能对xxxx实施攻击的...... 不怕被举报吗?

A22：

笑死，很多年前求职遇到过要求我拿下任正非工作邮箱的。

A23：

有没有尝试过逆向的，成功率大概有多少？

A24：

只要不是国产小垃圾，用的就都是统一购买的高端货，基本逆不了。

Q：基于针对勒索攻击有哪些数据恢复方案？速度和存储成本如何？

N多年前被勒索的，数据不重要，直接重装完事，趁机要钱全体上了杀软。

当初那网管小可爱，开个3389然后admin 123456，直接被日了，就一个晚上的事情，3389映射到公网。救了他一命，后面让他干活都不会推脱了。

A26：

GlobeImposter

A27：

1、备份恢复

2、交钱。某行都交了两次了。

安全公司代交钱，还能开发票。

A28：

从NAS恢复、从云恢复、从本地恢复、Windows自带系统还原。

速度和成本取决于企业规模和数据量，没法回答的。

小公司不可能中勒索，大公司只能从NAS恢复，取决于NAS的性能、空间和速度。

Veenam或者Veritas，200TB基本在几十个W左右。

A29：

看你RPO/RTO怎么定的。

A30：

RPO/RTO和钱成比例，时间越短，花的钱越多。

A31：

需要分情况，有解密工具的用工具，没有做底层加密的做数据恢复，有备份的用备份恢复，最后就是躺平或支付。备份的话，云上比较贵，云下用NAS最便宜，支付是最贵的。

A32：

1. 数据恢复方案大同小异，无非就是冷备、热备；增量、差量；

2. 备份数据的存储是成本重心，需要针对系统/数据的重要程度制订不同的备份方案（配额、频次、是否加密），具体成本需要根据实际情况考量，不可一概而论；

3. 良好的数据恢复方案的前提是良好的系统架构，尽量做好应用与数据分离（存储），重点保护数据；

4. 定期做备份数据有效性验证是必要的，重要的，非常重要的；

5. 速度和存储成本分为两类实体机房和云服务，依实际情况考量吧，这不是技术问题，是预算问题。

A33：

被勒索在没有备份的情况下，恢复最快的方法就是交赎金。

A34：

交了赎金也未必能恢复。

A35：

一般还行，我那几次都恢复了。或者去某宝看看有人能不能给解。为了给黑客唱征服，我连俄语和比特币交易都学会了。我交了3万不到，那时候比特币不贵，好像0.25个比特币。另一次是找某宝解决的，因为可以开发票。

A36：

你这价格很便宜啊，不自己去暗网谈判？

A37：

对啊，时间早，我给黑客哭穷，讨价还价还了一些钱。

A38：

领导说还搞什么安全建设，交赎金便宜多了。

A39：

对，不过隐形损失没算进去。

A40：

当时我们算过，交一次赎金1.5-3w，重新为这个系统配存储要20w，所以，最后选择学俄语，学苦情戏，黑客再来我给黑客跪下唱征服，让他稍微便宜点。

A41：

各国语言的征服也是技术储备的一种啊（狗头）。

Q：当受到勒索攻击最主要的是快速恢复服务运行，有哪些方案可以采用？（比如备用系统）

A42：

只有容灾备份。

A43：

对，以我的经验，只有恢复备份。在我的理解范围内，其他什么都不好使。说起这个，我觉得供应链管理的重要性，当时我们是泛微的OA，用Apache发布的，当时被勒索了之后，我看了下系统，发现那个Apache是09年的版本，当时已经是17年了。

A44：

用一句20年前的话说，就是系统正常的时候做个Ghost镜像，灾难来了直接Ghost恢复，现在虽然时代变了，原理一样。

A45：

快速止血避免扩大范围+日常的备份，没其他方案。

不做备份说明不重要，随便重装。

A46：

随便重装这个其实不好说，单机（终端或服务器）也许不重要可以随便重装，如果数量大的话就不一样了。Cs那次为啥影响这么大，还不是影响面广。

A47：

做好备份才是正解，经历过不少次做好防护措施，最后让开发大牛给破防了，Aa123456。

A48：

启用备用服务器，将最新版本应用部署到备用服务器上，Nginx或者负载换一下对应服务器IP。

A49：

就算切换了，会不会还会被勒索？先搞个静态页面，排查出原因，把漏洞一修再上线。

A50：

感觉除非是双活，否则再快也相当于开局或者大割接，如果部署速度快，说明这个业务本身不复杂。

我们这边有个监管部门搬机房，楼上搬楼下，相关监管系统断了两三天，我也不知道为啥断这么久。

A51：

真被勒索了，反倒是简单了，该断断，还追求啥最快恢复。勒索病毒他是长腿的，可能你刚恢复，就又被感染了，还不如有个干净的备份，还能重头开始。

A52：

95%都是有损恢复，放心吧，能有损就烧高香了。

A53：

能恢复80%就不错了，特别是卡预算的情况下，补丁打不打。

A54：

1. 最简单的、成本最高的、服务方最口嗨的：两地三中心建设方案；

2. 另受到勒索攻击最主要的应该是确认数据有效性和完整性（个人认为），服务运行反而是其次的；

3. 快速恢复服务运行的顺序应该是：验证数据有效性和完整性 —> 验证应用服务（版本）可用性 —> 验证基础环境安全性（网络、服务器、操作系统） —> 构建/恢复基础环境 —> 部署应用服务 —> 连通数据链路 —> 开放服务访问；（可能会有疏漏，欢迎补充）

4. 应急响应方案各企业需求不同，从因地制宜制订。

A55：

快速恢复的核心是预防优于治疗，通过多层级备用系统（热备 / 温备 / 冷备结合）、严格的离线备份策略、高频次应急演练，确保在攻击发生时能绕过被加密的主系统，直接启用干净的备用环境。同时，需平衡恢复速度与成本，对核心业务优先投入热备 + 异地多云架构，非核心业务采用冷备 + 定期离线备份，最终实现检测 - 隔离 - 恢复 - 加固的闭环响应。

A56：

要结合系统架构来，用k8s和数据快照备份的恢复最快，有些重要系统设计的时候就是严格基于RTO/RPO来开发的，这种是最快的，也是成本最高的，可能都没感觉就恢复了。最麻烦的是那种老旧系统，不得不用，还没法改，也没厂商支持的，这种最好有灾备一体机，或者手动备份的，不然就只有躺平了。

A57：

国产高级软件开发架构师，又名【内网无敌爱好者】、【123456狂热粉丝】、【嫌麻烦者】、【不记密码者】、【3389开公网、3306开公网、1521开公网狂热者】。

本周话题总结

本期话题围绕勒索攻击展开讨论，指出防护难免有遗漏，可通过构建网络纵深防御（如实施 CTEM、零信任框架、分区分域隔离、收敛攻击面等）、落实备份策略（如 321 原则、定期演练、异地冷备等）减小受害程度；数据恢复方案包括备份恢复、解密工具、支付赎金等，速度和成本因方案（如热备、冷备、云备份）及企业规模而异，备份恢复是核心且相对经济的方案；快速恢复服务运行需依赖备用系统（如热备、冷备、灾备一体机）和应急响应流程，强调验证数据完整性、隔离攻击源及优先恢复核心业务。

近期群内答疑解惑
Q：甲方安全管理人员挖洞技术一般不如乙方安全或在野大神，发展方向是什么？如何发挥优势？要不要多了解安全设备？

A1：

和业务沟通、最优化修复手法、安全基线和Devsecops推进，另外还要代码审计，乙方都是黑盒。

A2：

很多问题技术都能解决，但是内部协调，推动，落地就不是技术上的问题。乙方还是比较难适应氛围，并不是说技术能力不行，而且对于内部资源和问题的协调以及和一些完全不懂技术的领导和负责人去沟通的艺术。

A3：

甲方安全优势就是可以指挥乙方安全服务人员。甲方安全要么了解业务开展业务安全，要么了解数据走数据安全，或者走安全合规、个人信息保护等的路线。

A4：

资源在手，权限在兜，规则你定调——技术流在野党再凶，进了你的场子也得按你的规矩来，1、方向别跑偏玩管理就别硬刚技术 2、优势在主场，乙方不懂业务痛点 3、设备必须啃透裤不摸清，等着被乙方拿200页解决方案忽悠到死吧。

A5：

甲方安全有一个不太好的点，除非直接去大公司，一般公司成长空间没那么大。只能通过不断跳槽去更大的平台来获得更高的收入和更多做事情的资源，或者去创业的独角兽公司，或者获得投资比较多的公司，反正得去外面找机会，或者转行。当做到安全主管or安全经理的时候，就很难有大的发展空间了，只有薪资随着普调了。

A6：

这个我的认识是存在一个悖论。大公司，安全重要性高，但是体系往往已经成熟了，大部分安全人员只需要当好钉子角色，但是钉子也是最容易被替换的。小公司，安全体系不那么成熟，参与负责的多了，反而重要性在那儿，只是工资天花板有限。

A7：

甲方涉及管理更需要广度而不是深度，但是在某些领域比如挖洞有深度是加分项。怎么把漏洞或者说风险和业务结合起来考虑才是甲方最重要的视角。现在是因为建设蓝军，甲方也有很多挖洞高手，但是更多都是操作层面。

Q：家里Windows10在公网开了个3389端口天天被各种爆破怎么办，需要用到远程桌面。

A1：

换个端口，至少别是3389。连的时候是可以设置要连接的端口的。

A2：

异地组网+ACL、EasyTier。

A3：

家里的电脑为啥要弄公网上面呢，家里的就内网穿透嘛。

A4：

方便连回去哇，而且很多时候是为了当个跳板，大概是这样的场景：
我希望能够随时随地任意电脑或者我自己手机连到A电脑（只有公网IPV6地址，无公网IPV4地址），然后B电脑在另一个地方（有公网IPV4和IPV6），很多场景目前拿不到v6地址，我通过远程桌面连到B电脑，在B电脑里的远程桌面到A电脑，感觉又麻烦又危险。

A5：

3389都敢开出去，话说直接wgv6对v6组网不就行了，而且你还两台都开。我家里也是远程，我的blog打算扔家里的minipc上了。

A6：

”话说直接wgv6对v6组网不就行了“——这个能细说下么。

A7：

就是组网，组个虚拟局域网，两端都有公网server随便放一台就行了，然后客户端一连就是分配个IP比如10.10.xx.xx，我觉得要是linux，可以直接iptables直接转发路由过去，v6转到v6，然后本机再转一下。

A8：

你就把有V4和V6的开放就好了，然后做个组网服务器，做跳板就行，v4和v6的，也不用开3389，换个端口。