1. 服务器存漏洞感染勒索病毒
事件概述
某日,接到某医院的服务器安全应急响应请求。该机构反馈有几台服务器出现重启/蓝屏现象,应急响应人员初步判定为感染了勒索病毒。
应急响应人员对重启/蓝屏服务器分析后,判定均遭受"永恒之蓝"勒索病毒,同时遭受感染的服务器中部分文件被加密。通过对服务器进行漏洞检查发现服务器存在MS17-010漏洞,同时发现服务器开放了445端口。
通过本次安全事件,医院信息系统暴露了诸多安全隐患,包括未定期开展安全评估工作,导致内部服务器存在严重高危漏洞;安全域划分不明确,较为混乱;安全意识仍需加强等。
防护建议
- 周期性对全网进行安全评估工作,及时发现网络主机存在的安全缺陷,修复高风险漏洞,避免类似事件发生
- 系统、应用相关的用户杜绝使用弱口令
- 有效加强访问控制ACL策略,细化策略粒度,采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员IP可对管理端口进行访问
- 加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作
- 加强安全意识,提高对网络安全的认识,关注重要漏洞与网络安全事件