客戶感染Ransomeware, 陸續發現有多達40台左右PC及5台Server感染
2020年真實個案分享
Server 及 Workstation 被感染:
Server 包括 (Web Server “Win7” ), (Design Server “Win7”), (SAP Server {Domain controller AD} “Win08r2”), (File
Server Win08r2) 以及尖沙咀數台Server及1台主管電腦 (CRM “Win7”),所有連接在Server上的外置硬碟備份都被加
密而無法使用。
被感染電腦均裝有防毒軟件ESET Endpoint Antivirus, 當時發現所有防毒已被強行關閉,同時網絡上仍發現有大量攻
擊封包由Web Server發出。
根據數據分析後,導致這次安全事故的原因主要是以下幾點:
沒有使用VPN連接
因疫情影響下緊急啟動在家工作模式,由於在開業時當時的網絡已使用了192.168.1.0/24 這個非常普遍
的網段,這網段會很大機會與家中的網絡衝突,影響設置VPN client to site 模式而無法連接公司網絡,由於時間緊
迫,最後選擇了較為方便但安全性較差的方案,直接從外部網絡轉接到公司各自的 PC上工作,但VPN我們認為不
是這次安全事故最主要原因。
# 解決方案
所有需要在家工作的同事必須使用以下的方法連到公司網絡:
已設置SSL VPN服務,數據傳輸以SHA512 RSA / RSA (4096 bit) 級別加密,
並且必須以個人數碼證書及個人密碼,及2 Factor Authentication (2 FA 多重要素驗證) "Google Authentication Apps (每30秒更新一次動態密碼)" , 才能登入公司網絡。(每組登入只能允許同時間一個終端使用 ”PC, Laptop, Mobile”)
家中電腦必先安裝有效防毒軟件 (密碼保護) 及防火牆軟件 (密碼保護),掃瞄後確定沒病毒,黑客威脅 (如沒有有效防毒軟件,我們會安裝Check Point 旗下的網絡安全產品), 以及完成最新Windows Update。
3389 port
主要受到大規模感染的主因是內部電腦開啟了3389 (MS RDP) port 而在防毒軟件被強行關閉後,勒索軟件病毒在
LAN網絡短時間大量散播。
# 解決方案
- 全面WAN, LAN, VPN禁止使用135, 139, 3389端口,可避免部份網絡攻擊
Web Server 漏動
當時由於Web Server 仍用Win7舊系統以及多個網站已開發多年,沒有定期做程式安全漏動修補,導致黑客容易入
侵到Web Server以至整個公司網絡。
# 解決方案
- 採用Web Hosting服務,可隔離較高的網絡風險漏動
密碼管理
禁止使用Administrator作為最高權限級別的使用者名稱,Domain Admins Password 及 防毒系統需設置不相同密
碼,定期在不多於60天內更改新密碼。
軟件供應商及外部連接
除了企業的系統及員工外,確保與公司合作的軟件供應商制定健全的網絡安全措施及政策,確保攻擊者無法利用漏
洞入侵企業網絡。
# 解決方案
不使用80 port http:// 作為登入,改為https:// 安全連接;
只允許供應商固定IP連接及有限度開啟必要服務的端口;
定期更新不再支援的軟件。
淘汰舊作業系統及升級軟件
# 解決方案
所有作業系統及office軟件應升級到Windows Server 2016, Windows 10及Office 2016或以上版本 。
備份及虛擬化系統
除了 Design Server 外, 所有 Server已設換至VM,可防止Ransomeware 直接加密 Server (此次攻擊沒影響到Email
及HR Server 就是使用了VM作為系統) ;
- 啟用 Volume shadow copy service
- 每天深夜定時本機備份系統,並保留7到14天的回復點 (1. Veeam Backup, 2. Veeam replication, 3. Windows
Server Backup, 4. Robocopy );
- 每天在備份時間以外,會把備份磁碟機強行離線,以免備份被加密軟件及刪改 ;
- 每天 Admin Dept. 3位同事會收到備份電郵報告,報告能簡易得知每天的備份狀況 ;
- 新增使用第二份本機備份,把現有備份複雜一份作為備用 ;
- 部署雲備份系統,把現有備份定期更新到數據中心備份系統上。
更新路由器為次世代防火牆 (NG-Firewall)
公司所有工作點,更換為次世代防火牆 (NG-Firewall),並運作入侵偵測系統 (IDS),入侵防護系統 (IPS),及嚴格不
允許使用預設的RDP 3389 Port
- 每星期定時更新 (NG-Firewall) 的網絡安全更新,系統模組更新及檢查系統及硬件及網絡健康情況
Block Malware Activity
Block Phishing Servers
Block Spam sites
Block Hacking Sites
Block Parked Domains
Block Potentially Dangerous Sites
Block Firstly Seen Sites
Block Undecided Not Safe Sites
Block Undecided Safe Sites
另以下一些需要收費的網絡保安服務項目
Block Recent Malware/Phishing/Virus Outbreaks
Block Proxy
Block Dead Sites
Block Dynamic DNS Sites
Block Local IP
Block Newly Registered Sites
Block Newly Recovered Sites
- 還有其他收費功能,如過濾成人,不合法網、尋找工作網,一些與工作沒關係及高危的網站類別,如過濾了正常使用的網站可在行政部申請開通。
升級所有交換機為可網管型交換機
除了必要的外部網絡防禦以外,內部網絡安全也不能忽視,定期及有效的系統監察及封鎖一些風險端口,可減低被連鎖攻擊的機會。
人員風險
員工既是企業最薄弱的環節,但同時也是企業最大的防線。
可定期發佈內部電郵提醒員工避免瀏覽一些有威脅的網絡、分辨可疑的電郵,不要使用破解軟件及被破解軟件,並提高員工對網絡安全的知識。
如有任何有關網絡安全問題,歡迎與我們聯絡,為 貴公司制定最合適的解決方案。
網絡安全檢討及解決方案
 |
歡迎來電查詢 服務熱線:8208 0822 或 使用我們的線上查詢功能,我們會盡快回覆您 |
