距離5.12，全球性勒索蠕蟲(chóng)WannaCry（魔窟）攻擊的大規(guī)模爆發(fā)已經(jīng)過(guò)去了近兩周時(shí)間。中國(guó)大陸雖然也罕見(jiàn)地成為了這起全球性網(wǎng)絡(luò)攻擊事件的重災(zāi)區(qū)，但本土安全廠商對(duì)此次安全事件的響應(yīng)表現(xiàn)，小到廠商的每個(gè)客戶(hù)，大到某個(gè)行業(yè)，以及和國(guó)家相關(guān)部門(mén)的配合，都是可圈可點(diǎn)的。

同時(shí)，作為一起造成全球范圍惡劣影響的勒索攻擊事件 （注：微軟甚至因此次攻擊而在5.13發(fā)布了針對(duì)Windows XP、Server 2003等老舊操作系統(tǒng)的追加安全補(bǔ)丁） ，還有諸如IBM等擁有更廣闊視野的國(guó)際IT/安全廠商，他們對(duì)勒索攻擊的認(rèn)識(shí)和防范思路也同樣值得我們思考和借鑒。

超過(guò)半數(shù)個(gè)人用戶(hù)未做針對(duì)性防護(hù) 近4成遭遇勒索企業(yè)支付超過(guò)1萬(wàn)美元贖金

時(shí)間回?fù)艿桨肽昵啊?016年12月IBM X-Force團(tuán)隊(duì)發(fā)布了一份關(guān)于個(gè)人和企業(yè)如何透過(guò)勒索攻擊看待數(shù)據(jù)價(jià)值的報(bào)告，十分具有預(yù)見(jiàn)性。

目前企業(yè)和個(gè)人對(duì)勒索攻擊的認(rèn)知和有效防護(hù)手段及意識(shí)的缺失，是造成近兩年勒索攻擊事件幾乎成井噴式爆發(fā)的主要原因之一。

通過(guò)對(duì)1千余名美國(guó)居民的調(diào)研，IBM發(fā)現(xiàn)，僅有 41% 的個(gè)人用戶(hù)采取了針對(duì)勒索軟件的保護(hù)措施，而超過(guò)1/3遭受勒索攻擊的個(gè)人最終會(huì)選擇以支付贖金的形式換回對(duì)數(shù)據(jù)的正常訪問(wèn)權(quán)限（雖然FBI并不鼓勵(lì)這種行為），而典型針對(duì)個(gè)人用戶(hù)的贖金金額一般會(huì)介于200到10,000美元之間，但是有一半以上的人表示即使是財(cái)務(wù)數(shù)據(jù)也最多支付100美元用于數(shù)據(jù)找回。

而企業(yè)側(cè)遭受勒索攻擊的情況則與個(gè)人大相徑庭。

勒索攻擊往往通過(guò)對(duì)公司服務(wù)器和關(guān)鍵數(shù)據(jù)和備份的加密/公開(kāi)，并以此要挾勒索贖金，而這些行為會(huì)對(duì)企業(yè)業(yè)務(wù)的正常運(yùn)營(yíng)造成嚴(yán)重的負(fù)面影響。

據(jù)IBM統(tǒng)計(jì)（調(diào)查對(duì)象覆蓋大/中/小不同規(guī)模企業(yè)的各200名高管），近半數(shù)企業(yè)高管曾經(jīng)歷過(guò)勒索攻擊，其中選擇付費(fèi)找回?cái)?shù)據(jù)的高管占 7 成。

在金額方面，近半數(shù)選擇支付的企業(yè)支付了超過(guò)1萬(wàn)美元的贖金，而這其中支付贖金超過(guò) 4萬(wàn) 美元的企業(yè)約占 4 成。甚至部分高管還曾向黑客表示愿意支付更多費(fèi)用，以獲取對(duì)企業(yè)IT資產(chǎn)修復(fù)和保護(hù)的建議。IBM還發(fā)現(xiàn)，企業(yè)高管最終是否會(huì)選擇支付贖金以及支付數(shù)額，直接取決于被加密數(shù)據(jù)類(lèi)型以及企業(yè)規(guī)模。

盡管不同行業(yè)企業(yè)對(duì)數(shù)據(jù)的風(fēng)險(xiǎn)偏好不盡相同，但總體上來(lái)看，雖然差別不明顯，但 財(cái)務(wù)、客戶(hù)和銷(xiāo)售記錄是企業(yè)選擇支付贖金的強(qiáng)大驅(qū)動(dòng)力 ，企業(yè)郵件系統(tǒng)/服務(wù)器、知識(shí)產(chǎn)權(quán)數(shù)據(jù)、人力資源檔案等則要次之。有意思的是，商業(yè)及研發(fā)計(jì)劃、源代碼等數(shù)據(jù)卻排到了末位。

而在企業(yè)規(guī)模上，無(wú)論是對(duì)于財(cái)務(wù)還是銷(xiāo)售記錄，愿意支付高額贖金（超過(guò)5萬(wàn)美元）的大型企業(yè)占比幾乎是中/小型企業(yè)占比總和的2倍。

應(yīng)對(duì)勒索攻擊 更成熟的安全能力建設(shè)是關(guān)鍵

針對(duì)勒索攻擊，無(wú)論是從執(zhí)法部門(mén)打擊網(wǎng)絡(luò)犯罪還是企業(yè)高管挽回業(yè)務(wù)損失的角度，也無(wú)關(guān)具體勒索金額，支付贖金都不是上策。此次WannaCry勒索攻擊的爆發(fā)，無(wú)疑再次給企業(yè)敲響了加強(qiáng)內(nèi)部安全能力建設(shè)的警鐘。

當(dāng)然，選擇具有更加及時(shí)、全面響應(yīng)能力的安全廠商在應(yīng)急響應(yīng)中顯得至關(guān)重要。但除此以外，企業(yè)安全建設(shè)成熟度和運(yùn)營(yíng)能力也亟待提高。

IBM給出的企業(yè)安全能力建設(shè)最佳實(shí)踐模型

還是以WannaCry為例：

• 在攻擊爆發(fā)前不到兩個(gè)月的時(shí)間，微軟已經(jīng)推送了相應(yīng)安全補(bǔ)丁，企業(yè)的漏洞管理平臺(tái)未能及時(shí)對(duì)企業(yè)現(xiàn)有資產(chǎn)進(jìn)行漏洞掃描、告警管理員并實(shí)現(xiàn)各終端的補(bǔ)丁下發(fā)，這體現(xiàn)了企業(yè)安全建設(shè)中 “預(yù)防” 能力的不足；
• 攻擊爆發(fā)后，各企業(yè)安全或IT部門(mén)的無(wú)法快速根據(jù)攻擊事件相關(guān)的威脅情報(bào)修改企業(yè)防火墻、IPS等安全產(chǎn)品規(guī)則和策略配置，并快速對(duì)企業(yè)內(nèi)部資產(chǎn)自檢，隔離受感染終端，而是沒(méi)有響應(yīng)流程可依據(jù)，不知所措地等待供應(yīng)商能第一時(shí)間來(lái)現(xiàn)場(chǎng)幫助解決問(wèn)題，雖然確實(shí)國(guó)內(nèi)很多安全廠商做到了這一點(diǎn)，但是遠(yuǎn)水解不了近渴，這是 “響應(yīng)” 能力的缺失；
• 在攻擊事件不斷蔓延，企業(yè)正遭受勒索蠕蟲(chóng)入侵時(shí)，短時(shí)間內(nèi)加密大量文件、或者大量對(duì)某些不常用端口訪問(wèn)等異常行為沒(méi)有持續(xù)性監(jiān)測(cè)，并即使與外部情報(bào)實(shí)現(xiàn)關(guān)聯(lián)分析確定攻擊的發(fā)生，是 “監(jiān)測(cè)” 能力的不足；
• 拓展到傳統(tǒng)的安全之外，對(duì)數(shù)據(jù)和系統(tǒng)的容災(zāi)備份和災(zāi)難恢復(fù)能力準(zhǔn)備的不充分，沒(méi)有持續(xù)的業(yè)務(wù)連續(xù)性規(guī)劃，是 “恢復(fù)” 能力的空白。除此以外，上文所涉及的報(bào)告還提及了應(yīng)加強(qiáng)員工對(duì)勒索攻擊等安全事件的認(rèn)知和安全防范意識(shí)的教育，包括郵件宏附件禁用、安全瀏覽站點(diǎn)等。

   

  這些都是降低企業(yè)所面臨的勒索風(fēng)險(xiǎn)，以及將來(lái)安全能力建設(shè)的方向。

  Tips

  特別在漏洞管理&補(bǔ)丁分發(fā)、網(wǎng)絡(luò)層阻斷、監(jiān)測(cè)和響應(yīng)這四個(gè)點(diǎn)，IBM給出了以下安全能力建設(shè)建議：

  1. 漏洞管理&補(bǔ)丁分發(fā)

  確保安全管理員不受位置和網(wǎng)絡(luò)帶寬限制地發(fā)現(xiàn)所有終端在安全漏洞方面的狀況，并將補(bǔ)丁開(kāi)發(fā)自動(dòng)化。同時(shí)，因?yàn)檠a(bǔ)丁的修復(fù)可以大幅減少企業(yè)的攻擊面，所以需要閉環(huán)確認(rèn)補(bǔ)丁安裝是否成功，并把以上工作通過(guò)內(nèi)部規(guī)定等形式常態(tài)化。

  2. 網(wǎng)絡(luò)層阻斷

  確保IP信譽(yù)庫(kù)、URL過(guò)濾庫(kù)、簽名、固件的隨時(shí)更新，以實(shí)現(xiàn)對(duì)惡意站點(diǎn)接入的自動(dòng)阻斷。

  3. 監(jiān)測(cè)

  對(duì)與安全分析相關(guān)的日志、網(wǎng)絡(luò)流和用戶(hù)行為數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析；確保監(jiān)測(cè)的實(shí)時(shí)性和持續(xù)性；使用云端的惡意軟件分析服務(wù)可以更快速的對(duì)威脅進(jìn)行識(shí)別；利用認(rèn)知技術(shù)實(shí)現(xiàn)更快速有深度的決策輔助。

  4. 響應(yīng)

  提前做好事件響應(yīng)計(jì)劃并測(cè)試，確保響應(yīng)流程的一致性、容易重定義和合規(guī)，注重流程的編排和自動(dòng)化，遇到棘手情況要果斷求助專(zhuān)家服務(wù)。

•