勒索软件攻击正日益威胁到企业和家庭用户。本文将介绍专门针对Synology产品的勒索软件预防推荐实践。以下提供的准则基于网络安全和基础架构安全局(CISA)和多州信息共享和分析中心(MS-ISAC)创建的勒索软件指南。
勒索软件预防推荐实践
- 用户应维护数据的离线加密备份,并定期验证备份是否能够还原。确保备份计划正确遵守备份3-2-1和Backup-A-Rest原则1。分别为每个平台设置恢复时间目标和恢复点目标,并执行定期灾难恢复测试。
- 构建基本的网络事件响应计划和相关的通信计划。例如,制作紧急联系人列表并为每个角色分配责任(请参阅附录)。这些计划应在发生勒索软件事件后制定通知程序。定期对这些计划进行演练,以确保您准备好应对勒索软件事件。
常见勒索病毒感染媒介
1. 面向Internet的漏洞和配置错误
- 除非必要,否则请勿将DSM暴露于Internet。
- 如果必须通过Internet访问文件服务,则强烈建议您使用VPN连接到Synology设备。
- 如果必须通过Internet直接访问SMB文件服务而不使用VPN,请将传输加密模式设置为强制以获得更好的安全性2。
- 如果您的Synology设备用作使用Synology Directory Server套件的域控制器,请打开SMB服务器签发3
- 如果必须打开DSM访问Internet的权限,请仅打开服务所需的端口。请参阅Synology服务使用哪些网络端口?以了解更多信息。
2. 电子邮件钓鱼请注意恶意电子邮件钓鱼。请勿为可疑电子邮件地址提供DSM凭据。如果您使用的是Synology MailPlus,请启用SPF,DKIM,DMARC等,以增强电子邮件验证的安全性。
3. 恶意软件感染除了在DSM客户端设备(计算机,Mac,Linux等)上安装端点保护之外,还要确保杀毒和反恶意软件和行为特征是新的。考虑在DSM和安全顾问上安装和使用Antivirus Essential以执行定期扫描。
4. 第三方和托管服务提供商请随时关注Synology安全顾问以及来自安装的第三方套件的安全更新。
- 对于Synology产品,请关注Synology安全顾问,了解影响Synology发布的DSM和套件的新漏洞问题。
- 我们建议用户不要安装第三方套件。但是,如果安装了它们,请确保针对其漏洞问题更新了新的补丁程序。
常规推荐实践和强化指南
- 确保已启用自动封锁,帐户保护和多重验证。这些安全设置有助于增强您的DSM访问身份检查。
- 仅打开您需要的服务。对于您使用的服务,您可在DSM中启用防火墙并将其配置为仅允许特定IP地址和端口。
- 当您将DSM与外部服务(如Synology帐户)连接时,请确认您已设置多重验证。
- 如果您将DSM用作目录服务器,请注意DSM和套件的安全更新和补丁。
- 通过在日志中心定期检查连接日志来监控DSM。此外,考虑启用文件协议传输日志4以通过文件协议5审核DSM用户的活动。
Ransomware响应清单
前三个步骤在勒索软件攻击之后至关重要:
- 确定受影响的系统并立即隔离。将受感染设备与本地网络分开。
- 如果无法断开受影响设备与网络的连接,请将其关机以停止勒索软件感染。但是,关闭这些受影响的设备会导致您无法维护勒索软件感染伪像以及存储在易失性内存中的潜在证据。
- 将受影响的系统分流以进行还原和恢复,请使用备份任务或快照来还原数据。
以下步骤有助于减轻影响或帮助您应对勒索软件灾难:
1. 收集有关勒索软件攻击的信息。与您的团队协商,在初始分析的基础上发展并记录对所发生情况的初始了解。初始分析报告应包含以下内容:
① 系统信息
- DSM版本
- 正在使用的服务列表
- 已安装套件列表
- 网络拓扑
- 防火墙规则
② 勒索信息
- 发现问题的时间戳。
- 您在联系Synology支持团队之前所做的工作(例如,还原数据,重置DSM…)
- 解密指令文件
③ 协议信息
- 正在使用的文件协议列表以及是否已启用传输日志。
- 如果有常登录行为。
- 违规行为使用了哪个帐户。
④ 对于Synology支持
- 从DSM的支持中心生成系统日志。
2. 寻求相关帮助并提供调查结果。将初始报告发送给Synology支持团队。此外,您可能要联系您的IT部门,托管安全服务提供商或网络保险公司。
3. 有关可能的解密器,请咨询执法部门。安全研究人员可能已经破坏了某些勒索软件变体的加密算法。
4. Research信任该特定勒索软件变体的准则,并按照建议的其他步骤操作,以识别和包含确认受影响的系统或网络。
5. 确定初始违规行为所涉及的系统和帐户。 Synology的客户可以联系Synology支持以帮助确定根本原因。查看此事件是否为暴力攻击,尚未安装的必要套件补丁或潜在产品漏洞。
6. 如有可能,请使用预先配置的标准映像,根据优先服务的优先顺序来重建系统。
7. 考虑重新安装DSM。确认DSM完全清洁且所有套件都是新的版本之后,请考虑在DSM6上重置帐户密码。
附录
考虑考虑为勒索软件事件响应准备紧急联系人列表。例如,下表包含可帮助您恢复和响应的多个角色。紧急联系人应包含联系信息(如可能,提供全天候服务),并澄清事件响应团队每个角色的职责。
紧急联系人
联系人 | 联系信息(24 * 7) | 角色和责任 |
---|---|---|
IT / IT安全团队 | ||
执法 | ||
服务供应商 | ||
网络保险 |
注:
- 要了解更多信息,请参阅Synology的备份解决方案指南。
- 如果客户端计算机不支持传输加密,请将传输加密设置为自动模式。但是请注意,启用SMB传输加密会严重影响文件传输性能。
- 考虑启用SMB服务器签发。但是请注意,启用SMB服务器签名会显着影响文件传输性能。
- 考虑启用协议传输日志。但请注意,启用协议传输日志可能会影响传输性能。
- Synology日志中心支持SMB,AFP,FTP,WebDAV和File Station的传输日志。请注意,您需要从以下位置手动启用它们:
- SMB : DSM控制面板>文件服务> SMB / AFP / NFS > SMB >启用SMB服务>启用传输日志
- AFP : DSM控制面板>文件服务> SMB / AFP / NFS > AFP >启用AFP服务>启用传输日志
- FTP : DSM控制面板>文件服务> FTP >常规>高级设置>启用FTP文件传输日志
- WebDAV : WebDAV Server >设置>高级设置>启用WebDAV日志
- File Station : File Station >设置>常规>启用File Station日志
- 请参阅如何重置Synology NAS以了解更多信息。