三星电子数据“陷落”，依旧是勒索软件攻击惹的祸

数据“陷落”，依旧是勒索软件攻击惹的祸。

近日，Lapsus$勒索组织与英伟达之间的较量再传新消息。继NVIDIA核心源码被开源，7万多员工信息遭泄露，韩国消费电子巨头三星电子也惨遭开源，并连带高通也被捎上。

3月2日，数据泄露检测 站HIBP证实，Lapsus$窃取的7万多份英伟达员工信息已经被完全泄露。

3月4日，Lapsus$勒索组织发布了一份 告，其中包含了三星电子大量的机密数据，以及三星软件中C/C++指令快照的内容。Lapsus$称即将公布三星的这些数据和源代码，涉及的内容包括了三星 TrustZone环境中安装的每个受信任小程序 (TA) 的源代码、所有最新三星设备的引导加载程序源代码、三星激活服务器的源代码以及来自高通的机密源代码等等。

据悉，Lapsus$勒索组织将泄露的数据拆分为三个压缩文件，总计已经达到190GB，并且以非常受欢迎的torrent形式提供，且目前已经有400多人共享了这三个文件。

毫无疑问，如果数据不假，这将是三星遭遇的重大数据泄露事件，并很有可能因此遭受严重伤害。

在大数据和互联 时代，数据就是生产力，数据安全是现代企业最重要资产之一。而以勒索软件攻击为主的多种 络攻击，给企业数据安全带来的威胁以及损害是严重甚至致命的。频频 道的勒索安全事件即是对各企业组织拉响的安全警告，提醒企业组织要及时做好安全防护。

勒索攻击防范

《勒索软件防范指南》中给企业组织提出了九要、四不要：

【九要】

1、要做好资产梳理与分级分类管理。清点和梳理组织内的信息系统和应用程序，建立完整的资产清单；梳理通信数据在不同信息系统或设备间的流动方向，摸清攻击者横向移动可能路径；识别内部系统与外部第三方系统间的连接关系，尤其是与合作伙伴共享控制的区域，降低勒索软件从第三方系统进入的风险；对信息系统、数据进行分级分类，识别关键业务和关键系统，识别关键业务和关键系统间的依赖关系，确定应急响应的优先级。

2、要备份重要数据和系统。重要的文件、数据和业务系统要定期进行备份，并采取隔离措施，严格限制对备份设备和备份数据的访问权限，防止勒索软件横移对备份数据进行加密。

3、要设置复杂密码并保密。使用高强度且无规律的登录密码，要求包括数字、大小写字母、符 ，且长度至少为8位的密码，并经常更换密码；对于同一局域 内的设备杜绝使用同一密码，杜绝密码与设备信息（例如IP、设备名）具有强关联性。

4、要定期安全风险评估。定期开展风险评估与渗透测试，识别并记录资产脆弱性，确定信息系统攻击面，及时修复系统存在的安全漏洞。

5、要常杀毒、关端口。安装杀毒软件并定期更新病毒库，定期全盘杀毒；关闭不必要的服务和端口，包括不必要的远程访问服务（3389端口、22端口），以及不必要的135、139、445等局域 共享端口等。

6、要做好身份验证和权限管理。加强访问凭证颁发、管理、验证、撤销和审计，防止勒索软件非法获取和使用访问凭证，建议使用双因子身份认证；细化权限管理，遵守最小特权原则和职责分离原则，合理配置访问权限和授权，尽量使用标准用户而非管理员权限用户。

7、要严格访问控制策略。加强 络隔离，使用 络分段、 络划分等技术实现不同信息设备间的 络隔离，禁止或限制 络内机器之间不必要的访问通道；严格远程访问管理，限制对重要数据或系统的访问，如无必要关闭所有远程管理端口，若必须开放远程管理端口，使用白名单策略结合防火墙、身份验证、行为审计等访问控制技术细化访问授权范围，定期梳理访问控制策略。

8、要提高人员安全意识。为组织内人员和合作伙伴提供 络安全意识教育;教育开发人员开发和测试环境要与生产环境分开，防止勒索软件从开发和测试系统传播到生产系统。

9、要制定应急响应预案。针对重要信息系统，制定勒索软件应急响应预案，明确应急人员与职责，制定信息系统应急和恢复方案，并定期开展演练；制定事件响应流程，必要时请专业安全公司协助，分析清楚攻击入侵途径，并及时加固堵塞漏洞。

【四不要】

4、不要插拔来历不明的存储介质。不要随意将来历不明的U盘、移动硬盘、闪存卡等移动存储设备插入机器。

威胁检测

作为国内领先的安全产品提供商和安全托管服务运营商，聚铭 络一直专注于 络安全智能分析与检测，致力于为企业组织提供全面的信息安全防护。在应对勒索软件攻击上，聚铭 络建议把事前检测防御放在 络安全防御机制建设的前端，通过精准的威胁检测分析，挖掘可能的入侵威胁，在源头规避安全事件的发生，尽可能减少损失。

由聚铭自主研发的聚铭威胁检测系统（TDS），就能以全流量还原为基础，结合多种检测分析技术进行威胁感知与可疑流量分析，可及时、全面、精准挖掘已知和未知威胁，为用户提供一整套的威胁入侵检测解决方案，对安全防御系统进行完善和补充。

TDS有独有的智能协议识别技术，可高速、准确识别上千种应用，检测各种协议伪装行为。系统可充分利用CPU向量化指令对各类模式进行识别匹配，保证整体处理无延迟。

TDS内置多种 络攻击检测策略，可对一般 络攻击、明文传输、过期系统或软件、木马、隐蔽通道、电子加密货币活动、勒索软件、数据库攻击等进行精准检测。

TDS能够实时检测僵尸 络、C&C节点、木马回连、垃圾邮件、钓鱼节点、扫描节点、恶意软件等威胁IP、URL、文件HASH，并支持情 详情的追踪溯源，精准呈现威胁情 详细信息。

目前，聚铭威胁检测系统已广泛应用于电信、能源、医疗、教育、金融等多个行业，为客户提供全面的威胁入侵检测服务。