防勒索日常操作指引

为了应对不断演变的安全威胁和不确定的攻击行为,您需要持续关注勒索防护备份策略的执行状态,及时处理系统中存在的安全告警和漏洞,加固系统安全防线。本文介绍防御勒索病毒的实用操作指南,帮助您有效防范勒索病毒侵害,降低潜在的勒索风险。

步骤一:创建防勒索备份策略

  1. 根据需要防护的文件或数据库的大小,购买防勒索容量。具体操作,请参见开通服务

  2. 为核心数据或重要文件创建勒索防护策略。

    • 需防护数据库文件时,您需要在防勒索页面数据库防勒索页签下创建防护策略。具体操作,请参见创建防护策略

    • 需要防护服务器指定路径下的文件(非数据库文件)时,您需要在防勒索页面服务器防勒索页签下创建防护策略。具体操作,请参见创建防护策略

    创建防勒索策略后,会为相应服务器自动安装防勒索客户端,您需要关注防勒索客户端是否安装成功、状态是否正常,以确保备份任务可以正常执行。

    image

    重要
    • 防护策略首次进行数据备份时,会备份防护目录下的所有数据,因此首次备份会花费较长时间。后续进行的周期性备份,仅做增量备份,即只备份有变化的数据。

    • 支持同时使用服务器防勒索和数据库防勒索。

    • 避免在防勒索的防护目录中设置非本地目录(即挂载目录,例如OSS、NAS挂载到ECS上的目录),防止云安全中心访问对应服务中的数据时产生额外费用。如果需要备份挂载目录,建议您直接使用云备份服务。具体操作,请参见快速入门-OSS备份快速入门-本地NAS备份

步骤二:配置防勒索通知

创建防护策略后,您需要配置防勒索通知以确保及时收到防勒索备份相关的消息通知。您需要在通知设置页面开启防勒索任务执行结果通知防勒索空间超量通知。具体操作,请参见通知设置

image

步骤三:日常巡检

创建防护策略并配置通知后,您需要进行日常的巡检以确保防勒索服务正常运行,并提升服务器的安全水位。您可以按照下述事项的顺序执行日常巡检。

  1. 定期观察备份任务是否正常执行。

    建议您每天,或者按照备份数据保留时间为周期前往云安全中心控制台防勒索页面,查看对应防勒索客户端状态是否正常,防勒索容量是否足够,备份任务是否正常,可恢复数据是否正常。如果有异常,建议您及时排查和处理问题。具体操作,请参见防勒索客户端和备份任务异常状态排查数据库防勒索策略状态异常排查

  2. 定期观察服务器上安装的云安全中心客户端在线情况。

    云安全中心客户端是安装在服务器中的软件程序,用于收集和分析多种日志和数据,以监控和检测服务器中潜在的安全威胁。建议您及时关注云安全中心客户端的在线情况,避免因为云安全中心客户端离线导致安全防护失效。在主机资产页面,可查看客户端状态。客户端离线问题的处理方法,请参见客户端离线排查

    image

  3. 关注服务器中的安全告警并及时处理。

    关注服务器中的安全告警可以确认服务器是否受到外界攻击。云安全中心支持实时检测服务器中的安全告警事件,包括网页防篡改、进程异常、网站后门、异常登录、恶意进程等。在主机资产页面目标服务器的详情页,可以查看该服务器中发现的所有告警事件。处理安全告警的具体操作,请参见查看和处理安全告警

    image

  4. 设置漏洞检测策略并及时修复漏洞。

    漏洞的存在为攻击者提供了侵入系统的通道,及时修补漏洞能显著减少潜在的安全风险。建议您设置周期性漏洞扫描,并在发现漏洞后及时处理。执行漏洞扫描后,在主机资产页面目标服务器的详情页,可以查看该服务器中存在的所有漏洞。设置漏洞扫描周期并处理漏洞的具体操作,请参见扫描漏洞查看和处理漏洞

  5. 设置基线检查策略并及时修复风险。

    病毒和黑客会利用服务器存在的安全配置缺陷入侵服务器盗取数据或是植入后门。建议您使用基线检查功能针对服务器操作系统、数据库、软件和容器的配置进行安全检测并及时修复,可以加固系统安全,降低入侵风险并满足安全合规要求。具体操作,请参见基线检查

  6. 定期核查核心业务运行是否正常。

    建议您设置周期性任务或定期人工核查核心业务是否可以正常访问。勒索攻击一般会对服务器进行全盘加密,或删除数据库的数据,造成业务无法正常访问。对于核心业务,建议您定期进行排查以便及时发现和处理勒索事件。

注意事项

  • 请勿在备份任务执行过程中重启服务器。在执行备份任务时重启服务器会导致备份任务执行失败。备份任务执行失败后,系统默认到下次备份周期才会再次进行备份。

  • 发生勒索事件后,请勿删除防护策略或防护策略下已被勒索的服务器。删除防护策略或防护策略下被勒索的服务器,对应备份数据会被清除,数据清除后将无法找回。

  • 对于非常重要的文件或数据库数据,建议您同时通过其他渠道进行多重备份。

相关文档