2025 年头号威胁勒索软件：80 后信息安全掌门人实践总结 如何写好seo原创文章

关于作者

一位80后信息安全从业者，现任某公司安全[负责人]，负责信息安全管理和建设。本系列是安全建设工作的实践总结。

2、基础安全工作，细节决定成败

2.4 主机安全实现之路

2025 年第一大威胁是什么？相信大家都能用一个声音来回答——勒索软件。

我们先来盘点一下2025年上半年全球十大典型勒索软件。

1. 勒索软件迷宫； 2.Ryuk勒索软件； 3. 勒索软件/REvil； 4. 勒索软件； 5. 勒索软件； 6.勒索软件CLOP； 7.勒索软件EKANS； 8. 勒索软件； 9. 勒索软件； 10.勒索软件。

那么今天我们就从几个维度来谈谈主机安全！

2.4.1.主机防病毒软件

防病毒软件，也称为反病毒软件或杀毒软件，是用于消除计算机病毒、特洛伊木马、恶意软件等计算机威胁的一类软件。

防病毒软件通常集成了监控识别、病毒扫描清除、自动升级、主动防御等功能。有些杀毒软件还具有数据恢复、防止黑客入侵、网络流量控制等功能。它是一种计算机防御系统（包括防病毒软件、防火墙、木马和恶意软件查杀程序、入侵防御系统等）。

防病毒软件是一种程序工具，可以清除病毒、木马和其他已知对计算机有害的程序代码。 “杀毒软件”是由国内老一代杀毒软件厂商命名的。后来由于与世界反病毒行业接轨，被统称为“杀毒软件”、“安全防护软件”或“安全软件”。用于清除计算机病毒、木马和恶意软件的一类软件，如集成防火墙的“网络安全套件”、“全功能安全套件”等，都属于防病毒软件的范畴。

物理机：乖乖在系统上安装Agent，并定期升级，不管你的服务器是Linux还是Linux！然后一定要定期检查并及时确认发现的病毒威胁。当然这是最基本的。

虚拟机：建议购买轻代理甚至无代理的杀毒软件。传统代理只占用CPU和内存，运行数据库和业务时消耗流量，轻松！ ！作者放火烧墙，看到了T数据流。

轻量代理：在每台虚拟机主机上安装轻量代理。灯光剂的任务由控制中心统一下发。客户端程序完成病毒扫描任务后，将任务执行状态和病毒文件详细日志发送至控制中心。

无代理：无需安装代理，保护功能由单独的安全虚拟机（或虚拟化系统上的进程）实现。

裸机：一定要购买云防病毒服务。

注：笔者这里推荐几个在线防病毒扫描网站，在购买防病毒软件时一定会有帮助。

1.（它是一个非盈利网站，免费为网民服务。它使用多种不同厂家提供的最新版本的病毒检测引擎来扫描您在线上传的可疑文件，并可以立即显示检测结果。为您提供有关怀疑程度的建议）。

2.（免费的病毒、蠕虫、木马及各种恶意软件分析服务。可以快速检测可疑文件和URL。）

3.（Jotti 的恶意软件扫描程序是一项免费服务，允许您使用多个防病毒程序同时扫描可疑文件。您最多可以同时提交 5 个文件。每个文件的大小限制为 250MB。请注意，没有安全解决方案可以提供100%的保护，甚至使用多个防病毒引擎，所有扫描的文件将与防病毒公司共享，以改进他们的产品并提高他们的检测准确性。）

4.（支持多种文件格式、各种压缩包、文档；普通用户不超过30MB，高级用户不超过100MB。）

笔者在2019年购买新的杀毒软件时，使用了100个病毒样本进行了针对性的比较。总之，你还是需要购买合适的防病毒软件。

2.4.2.主机安全基线检查

安全基线：它借用了“基线”的概念。类比“木桶理论”，安全基线可以认为是安全桶的最短板，或者说是安全要求的最低限度。 （很多公司对这个最低要求视而不见）

安全基线的元素包括： 1. 服务和应用程序设置。 2. 操作系统组件的配置。 3、权限及权限分配。 4、管理规则。

目前常用的基线有很多，例如：常用操作系统基线、数据库基线、Web服务应用基线等，可以参考工信部基线配置要求或者CIS安全基线进行配置和检查。

这里必须强调的是，所有的基线配置表都必须经过业务系统的测试后才能真正上线。笔者曾经花了半年的时间来确认每个策略对业务的影响，最终达到了最终的目标。

如何做好基线配置管理？简要思路如下：

1. 建立基线配置管理计划

业务+开发+运维共同制定计划，必要时寻求高层支持。实施情况和实施效果关系到绩效。明确了基线的制定、实施和审查的职责。有检查方法可以确认安全基线未成功部署的原因。奖励和惩罚措施将提高基线执行的有效性。

2. 定制基本操作系统镜像

基础镜像包括选择哪个版本的操作系统、如何分区、如何最小化安装、如何部署必要的工具软件（如杀毒、HIDS等），统一的基础操作系统镜像进行分发到企业。

3. 开发基线配置模板

基线配置模板可以包括运维和安全两部分：运维部分如性能相关配置、稳定性相关配置、个性化配置等。同一应用（、IIS等）可以做成统一的配置模板进行分发；对于安全部分，可以参考两个来源：工信部安全配置建议基线配置要求（）。

4. 分发基线配置

基线配置最好和运维一起分发，由运维支撑系统分发，这样可以加快效率。如果现阶段运维没有统一的分发管理系统，用单一的配置脚本就可以完成，效率会非常低。

5. 基线配置检查

买一个主流的扫描仪/HIDS，或者自己使用一些开源工具（比如大佬写的）。最好自动化检查。笔者做了一年多的人工检查，非常不推荐。

6. 基线配置修改

每年检查并根据需要进行升级。

2.4.3. HIDS

HIDS的全称是Host-based，是一种基于主机的入侵检测系统。作为计算机系统监视器和分析器，它不作用于外部接口，而是着眼于系统内部，监视全部或部分系统的动态行为以及整个计算机系统的状态。

由于HIDS会动态检查网络数据包，因此它可以检测哪个程序访问了哪些资源，并确保文字处理器（Word-）不会突然无端启动和修改系统密码数据库。同样，无论信息存储在内存、文件系统、日志文件还是其他地方，HIDS 都会始终监视系统状态并检查它们是否符合预期。

HIDS 的运行原理是，成功的入侵者通常会留下入侵痕迹。这样，计算机管理员可以检测到一些系统修改，HIDS可以检测并报告检测结果。

一般来说，HIDS 使用它们监视的目标系统和文件系统的数据库（可选）。 HIDS 还可以检查未被非法修改的内存区域。对于正在处理的每个目标文件，HIDS 都会记录其属性（例如权限、大小、修改时间等），然后，如果该文件有其文件内容，HIDS 将创建校验和（例如 SHA1、MD5 或类似的） 。该验证码信息将被存储在一个安全的数据库——验证码数据库中，以供将来验证。

主机入侵检测的重点是：动作和成功的恶意行为。

常见的可能的网络攻击

直接上传获取、SQL注入、远程文件包含（RFI）、FTP，甚至使用跨站脚本（XSS）作为攻击的一部分，甚至一些较旧的方法使用后台数据库备份和恢复获取、数据库压缩等。功能包括但不限于shell命令执行、代码执行、数据库枚举和文件管理。

检测

可以监控指定目录下所有文件的创建、修改、重命名等操作。上有这样一个项目：()，之前有大佬写过用机器学习的方法来检测：机器学习检测PHP的初步探索()、入侵检测()

作为传统攻防视角的重要组成部分，HIDS发挥着不可替代的作用，可以有效地检测从网络层面难以检测到的安全问题。

HIDS架构

目前大多数HIDS平台建设主要分为三个部分：终端代理监控组件、控制面板以及与SIEM、运维数据等其他平台对接的接口集合：

1、终端Agent组件：其主要功能包括：监控文件变化、监控服务器状态、发出一些操作指令等；

2.：用于执行一些策略推送和资源管理操作；

3、MQ &&：用于负载均衡和吞吐量数据到数据库；

4.：数据库；

5. SIEM API：用于将HIDS数据与SIEM集成。

通过监控业务IT资产文件，终端代理可以发现一些潜在威胁的文件或受损的后门，还可以记录和发现文件的变化。同时，终端代理负责将日志传输到数据库，方便运维人员检索日志，对终端日志进行统一采集和管理。

开源 HIDS：OSSEC,,-HIDS

2.4.4. EDR

无文件病毒、无文件挖矿、无文件勒索软件……近年来，一种被称为无文件攻击的渗透形式日益增多，其流行给用户的网络安全带来了巨大威胁。因此，在端点保护之战中，EDR(&)占据了C位。

顾名思义，EDR技术专注于高级威胁的检测和响应。填补了传统防病毒产品在高级威胁检测和响应方面的技术空白。 EDR技术本质上是基于行为规则IOA和外部特征库IOC，通过对操作系统行为进行高清记录和长期存储，对漏洞攻击、无文件攻击等高级威胁进行关联、分类和检测。这是通过绘制流程事件树来实现的。攻击可视化、远程遏制和修复可疑威胁主机。

高级威胁的 EDR 管理给出了四个基本定义：检测、遏制、调查和补救能力。

定义EDR的四个基本功能

EDR需要具备对操作系统行为进行高清记录“内核态”和“用户态”的能力，并且行为日志需要保存3个月以上。其次，EDR还需要实现攻击的可视化，提供IOA/IOC来检测无文件攻击和零日漏洞攻击的高级威胁，并提供威胁狩猎（ Hunt）服务。

下图可以说明EPP和EDR之间的关系。

笔者认为终端安全EPP+EDR不能缺少。

2.4.5 最终建议

终端安全是保护业务的核心任务。一旦被渗透，后果将十分严重。

1、加强端点保护

及时对终端和服务器进行加固。所有服务器和终端应执行复杂的密码策略并消除弱密码；安装防病毒软件、终端安全管理软件，及时更新病毒库；及时安装漏洞补丁；启用服务器上的关键日志收集功能，为安全事件的追溯提供了基础。

2.关闭不必要的端口和服务

严格控制端口管理，尽量关闭不必要的文件共享权限，关闭不必要的端口。

3.使用多重身份验证（MFA）

使用被盗的员工凭据进入网络并分发勒索软件是一种常见的攻击媒介。这些凭据通常是通过网络钓鱼收集的或从过去的入侵中获取的。为了减少攻击的可能性，请务必在所有技术解决方案中采用多因素身份验证。

4、全面强化资产细粒度准入

增强资产可视性并完善资产访问控制。员工、合作伙伴和客户都以身份和访问管理为中心。合理划分安全域，采取必要的微隔离。实施最小特权原则。

5、威胁态势深度掌控

持续强化威胁监测和发现能力，依托资产可视能力、威胁情报共享和态势感知能力，形成威胁早发现、早隔离、早处置的有效机制。

6. 制定业务连续性计划

加强业务数据备份，及时对业务系统和数据进行备份，并验证备份系统和备份数据的可用性；制定安全灾难恢复计划。同时，保证备份系统与主系统之间的安全隔离，防止主系统和备份系统同时受到攻击，影响业务连续性。业务连续性和灾难恢复 (BCDR) 解决方案应成为在发生攻击时维持运营的策略的一部分。

七、加强安全意识培训教育

员工安全意识缺乏是一个重要问题。必须经常提供网络安全培训，以确保员工能够检测并避免潜在的网络钓鱼电子邮件，这是勒索软件的主要入口点之一。将此培训与网络钓鱼演习结合使用，以了解员工的漏洞。确定最脆弱的员工，并为他们提供额外的支持或安全措施以降低风险。

8、定期检查

每三到六个月对网络卫生实践、威胁态势、业务连续性计划和关键资产访问日志进行一次审查。通过这些措施不断改进您的安全计划。随时了解风险并主动防御勒索软件攻击并减轻其影响。

欢迎大家和我一起讨论实际执行中的各种安全细节。

待续

# 2025 年头号威胁勒索软件：80 后信息安全掌门人实践总结  # 2025 年头号威胁勒索软件  # 80 后信息安全掌门人实践总结  # 防病毒  # 操作系统  # 这是  # 是一种  # 大佬  # 镜像  # 他们的  # 几个  # 还可以  # 多个  # 它是  # 不超过  # 等功能  # 套件  # 验证码  # 信息安全  # 文件系统  # 开源  # 控制中心  # 检测到  # 眉山网站营销与推广  # 网站在哪里推广最好呢  # 付费营销推广的共作原理  # 清镇抖音seo策略  # 推广营销预算方案  # 福州seo公司哪家强  # 大型网站建设与管理系统  # 长远网站建设规划图  # n-seo什么意思  # 网络seo又到有客网络seo又  # 建设网站人力资源  # 宜昌农业网站推广开户  # SEO优化 内部  # 邯郸正规的网站推广报价  # 西区关键词排名  # 徐州网站推广工作内容  # 多种网站推广  # 南宁seo服务公  # 网站策划网站建设流程  # mfwol.cn gt seo 

相关文章： SEO白帽：提升网站排名的绿色正道,专业关键词排名趋势  推广赚钱怎么才能达到日赚1000+？你得这样做！  站长必看:四个关键因素影响网站生死！  悬赏汪赚钱真的吗？悬赏汪赚钱玩法介绍！  教你如何利用app交叉推广来0成本推广自己的app，大量吸粉！  SEO排序：如何让你的网页在搜索引擎中脱颖而出,学会seo课程  在做推广时，怎样才能让推广的广告吸引潜在用户关注？  网站主动引流推广赚钱该怎么做？这6个方法简单又实用！  企业营销：如何在竞争激烈的市场中脱颖而出,蚌埠网站排名优化哪家好  小红书引流该如何做？10个小红书快速引流方式介绍！  公众号誊录：让你的内容传播更广，吸引力倍增的秘诀,数据化展示网站建设  单页网站怎么做排名，有什么优势吗？  SEO表格：优化网站排名的秘密武器,巫溪的知名网站建设  想赚点零花钱不知道怎么做？这6款靠谱的手机赚钱软件推荐给你！  个人站长网站变现，务必注意这8条做广告联盟赚钱的小技巧！  想要快速引流获客？qq群营销的这6大主要手段必须掌握！  优排软件：高效管理新天地，轻松提升工作效率,影楼网站建设海报设计  高佣联盟是什么？使用高佣联盟有什么好处？  SEO软优化：助力网站实现流量爆发的秘密武器,咖啡包装网站推广方法  关键词截流：数字营销中的制胜利器,抖音推广怎么做热门网站  【联盟基础】地推是什么意思？地推项目怎么赚钱？  伪文章：互联网时代的营销神器，打造品牌的全新突破口,seo 推广排名  【站长联盟】个人站长怎么通过网站赚钱？  广州建设网站，打造数字化城市，广州，打造数字化城市，推动智慧城市建设的实践探索，广州，从建设网站到数字城市转型，推动智慧城市建设实践探索  推广过程中怎么利用豆瓣来进行引流？  SEO调整，助力网站流量爆发式增长！,罗湖网站排名优化公司  SEO对策：提升网站排名与流量的必备策略,南通网站优化经验  关键效果：如何通过聚焦核心要素，突破瓶颈，创造卓越成就,营销和定向计划怎么推广  SEO代做：让你的企业轻松登顶搜索引擎，快速提升曝光率,seo实战课堂收录  深入解析网站优化的重要性与实现 *** ，深度探索，网站优化的重要性及其实施策略，深入理解网站优化，重要性、实现 *** 及有效策略  揭秘利用百度小程序挂广告赚钱的操作玩法，竟然还可以这样玩？  QQ群操作红包引流cppa推广赚钱日赚1000+的运营思路和方法分析！  2020年的广告联盟行业，你的赚钱能力及格了吗？  搜狗联盟怎么样，还能赚到钱吗？  关键词引擎：数字营销的核心驱动力,seo兼职做什么工作  SEO优化：让你的网站在竞争中脱颖而出,优化首页网站加载  谷歌所使用的网页排序算法，J*a排序算法  SEO功能：助力网站流量提升与品牌曝光,扶绥网站建设费用  qq群营销秘籍！13种QQ群快速引流获客的方法！  免费爬虫-轻松抓取网络数据，打造个人化数据神器,铁岭网站推广哪家便宜  2022年app营销怎么做？app营销推广9大策略！  SEO发明：引领数字时代营销革命的力量,美食网站bbs推广  怎么通过问卷调查赚钱？怎样才能真的赚到钱？  SEO要素：优化网站排名的关键因素全解析,创新能力建设资金网站  谷歌团建游戏规则和玩法，凑钱抱团游戏规则  从社交APP的九大流派分析做好社交app推广运营的关键！  哪类的产品广告适合广告模式来进行推广？  假原创：互联网时代的隐形危机与解决之道,兰州网站建设前端设计  广告联盟上的网赚形式有哪些优势？  想要利用qq群赚钱月入过万，该怎么做？