事前舉措

由于勒索攻擊高強度加密算法的難破解性和數字貨幣交易方式的隱蔽性， 解決勒索攻擊的首要是構建“安全能力前置”，提升自身的“免疫力” 。

建議按照如下加固方式開展事前勒索防護：

• 收斂互聯網暴露面： 定期掃描外部端口，保證公開范圍最小化。
• 減少系統風險入口： 定期開展漏洞掃描及系統風險配置參數掃描，第一時間修復漏洞及風險項，減小系統風險等級。同時，應關注軟件廠商發布的安全漏洞信息和補丁信息，及時做好漏洞管理和修復工作。
• 加強網絡訪問控制： 各企業應具有明確的網絡安全區域劃分、訪問限制規則，最小化開放訪問權限，及時更新訪問控制規則。
• 關鍵數據備份： 加強重要數據備份工作，可靠的數據備份可以最小化勒索軟件帶來的損失。需要主動加密存儲和定期備份關鍵業務數據，并合理設置備份保留策略，確保被勒索攻擊后存在有效副本可以恢復數據。
• 加強帳號權限管控： 通過身份管理、細粒度權限控制等訪問控制規則為企業不同角色分配帳號并授權，同時應提升特權賬戶的安全性。在另一方面，企業關鍵業務資產，需要妥善設置并保存帳號及口令信息。關鍵資產上，配置雙因素認證鑒別登錄人員身份，可有效防范系統爆破風險。
• 搭建高可靠業務架構： 采用集群模式的云服務部署模式。當某一個節點發生緊急問題，業務切換至備用節點，提升業務系統可靠性能力，也可防止數據丟失。在資源允許的條件下，企業或組織可以搭建同城或異地容災備份系統，當主系統出現發生勒索事件后，可以快速切換到備份系統，從而保證業務的連續性。
• 制定安全事件應急預案： 建立應對勒索病毒攻擊等網絡安全突發事件的應急組織體系和管理機制，明確工作原則、職責分工、應急流程、關鍵措施等。一旦發生勒索病毒攻擊事件，立即啟動內部網絡安全應急預案，標準化開展應急處置工作來減輕、消除勒索病毒攻擊影響。
• 加強企業員工安全意識： 通過培訓、演練等方式提高員工網絡安全意識，明確國家網絡安全法令及公司網絡安全規范，能夠識別網絡釣魚等常見的網絡安全攻擊，具備一定的事件處理能力，知曉安全事件帶來的后果和影響。

事中舉措

當一個入侵者繞過防御機制時，如果您能及時發現并阻斷，便可避免災難的發生。

建議按照如下處理方式開展事中勒索防護：

迅速隔離感染設備： 確保在遭受勒索攻擊后，立即采取斷網、斷電等方式切斷勒索病毒外聯擴散行為。及時修改感染設備的密碼及同一局域網其他設備密碼。

及時處置告警入侵事件： 確保對業務資源進行實時安全檢測，可及時隔離阻斷勒索病毒運行、攔截勒索主控端惡意IP及嘗試爆破攻擊源IP，阻斷其運行、通信及聯接行為。

事后舉措

當前勒索攻擊發展迅速，任何工具都無法提供100%防護。所以，在事后應及時恢復業務、開展網絡安全加固以減弱勒索攻擊帶來的影響。

建議按照如下處理方式開展事后勒索恢復：

• 利用備份數據恢復數據： 根據遭受勒索攻擊的設備備份情況，確認數據恢復范圍、順序及備份版本，利用備份副本恢復數據。
• 排查修復網絡風險： 根據勒索攻擊路徑識別系統薄弱點，重點排查并修復系統薄弱項。