2020 年 CNCERT 捕获勒索软件近 78.1 万个,总体呈现快速增长趋势。勒索软件 GandCrab 一年时间内就出现约 19 个版本,其更新迭代速度远超组织安全架构的迭代速度。同时,勒索病毒的技术手段不断升级,利用漏洞入侵过程以及随后的内网横向移动过程的自动化、集成化、模块化、组织化特点愈发明显,攻击技术呈现快速升级趋势,且更新频率和威胁影响范围都大幅度增加,导致企业网络安全的有效性面临极大的挑战。
近几年,随着勒索病毒不断地肆虐,越来越多的企业和国家正深受其害,前有哥斯达黎加因勒索软件攻击宣布进入全国紧急状态,后有阿根廷地方司法机构遭勒索软件攻击,IT系统全部关闭被迫纸笔办公,甚至连网络巨头思科都难以幸免,因勒索攻击导致VPN访问权限被窃取,2.8GB数据被泄露。可以说,勒索软件已成为了各国的燃眉之急。
那到底什么是勒索病毒攻击?它为什么能这么猖獗?企业对此该怎么防护?防护的要点又是什么?带着这些疑问,8月26日,安在特别邀请上海九方云智能科技有限公司产品技术中心总监张福明,某A+H上市公司信息安全负责人孙琦,ISC2上海理事米登科,齐聚线上分享直播。本次直播由安在新媒体合伙人、安在新榜出品人张威主持。
(由左至右,自上而下分别为张威、孙琦、张福明、米登科)
直播一开始,张威就以“思科事件”为引提问,到底什么是勒索病毒?它是如何被定义的?和之前的WannaCry有无区别?
张福明表示,勒索病毒兴起于近年,区别于传统的电脑中毒,比如蓝屏、木马或网络被控,勒索病毒更像是为你的数据“添了一把锁”,它不再像过去的病毒那样是为了破坏、为了窃取,而是用加密的方式控制了你的使用权,如果你想夺回自己的使用权,就得支付赎金,而当下的支付方式是使用比特币,此类虚拟币的特征是去中心化,其目的是为了让人找不到始作俑者。
勒索病毒和WannaCry本质上并不同,WannaCry是美国安全局因漏洞泄露而被制造出的病毒,由于它基于Windows系统,所以才导致很多企业和个人都受到了攻击,但勒索病毒的概念更广,它涵盖了WannaCry,可以说WannaCry相当于勒索病毒的子集。
张威提问,当下的勒索病毒为什么会这么猖獗?有什么具体的原因吗?
孙琦表示,勒索病毒之所以这么猖獗其最核心的观点在于,勒索病毒有一个完整的价值体系和利益链。从整个global的勒索病毒的监控状态来看,会发现它的多发始终非常稳定,也就是勒索事件一直在发生,从未停止。为什么?因为企业在面对勒索病毒时的选择面非常广,企业可以选择付赎金,可以直接放弃,也可以找合作伙伴对它进行处理。正是由于部分企业愿意尝试用付钱的方式解决问题,所以才会导致整个勒索的攻击源源不断。
众所周知,任何黑客攻击都有其对应的成本,从黑产的角度来看,如果没有利益驱动,就不会有动力去推动他们做这些事。可以说一切的原罪都源于利益。基于此,张威提问,是否在黑产的角度而言这也能算作一种商业模式?
孙琦认为,任何事情的成功其背后都会有足够的动力在推动,黑产会乐此不疲地做勒索病毒并不在于它有多么高深的技术背景,而在于它整个核心已经形成了闭环的利益链。对于实施者而言,随着迭代、随着变革,勒索病毒的成本会比以前低很多,因为它已经工具化、产业化了。
张威提问,攻击者会针对哪些企业下手?哪些是高危的行业?当下的勒索病毒又有哪些新套路?
米登科表示,自2017年到现在,他帮助过的企业将近200家,也就是差不多200个左右的真实案例。从2019年开始,勒索病毒有了一些比较明显的变化,攻击团队的目标发展为了两极分化的趋势。一些大的勒索病毒团队,他们会自制研发病毒和入侵手段,他们的攻击目标基本上是一些上市公司,他们会根据股市的情况、财报、上市公司上一年的营收情况进行攻击。并且他们这些数额巨大的定制化赎金往往可以得手,因为这些上市企业害怕他们的隐私信息被暴露出去,或会因此受到监管部门的处罚。其次还有广撒网的形式。攻击者会对制造、医疗、教育这些行业进行攻击,因为这些行业尤其是像教育和制造业,它们在安全上的投入并不充足。其中,制造业还额外存在爆炸式业务增长的情况,一旦业务在短期内不断上升,他的安全就会跟不上实际需求。类似于这样的企业,由于它本身的这些缺陷,攻击者可以使用自动化脚本来进行攻击,所以非常容易得手。
而针对于这类企业,赎金往往比较低廉,因为这类企业对金额比较敏感,所以攻击者会用较为低廉的赎金去诱导企业支付。
关于套路。广撒网的攻击者会使用基于互联网的端口扫描技术寻找一些RDP或3389,还有一些比较有趣的趋势,攻击者会扫描国产的OA系统或者ERP系统。由于这些企业为了满足移动化办公的需求,会把OA、ERP开放到互联网,而这些系统又很少会及时地打上对应的补丁,因此攻击者就会找到这些补丁,并对其进行逆向找到其中可以利用的漏洞,这样攻击者就可以通过大规模扫描的方式一次性攻击多个企业了。
最近通过钓鱼邮件这种形式的套路也比较多。通过钓鱼邮件切入到企业的内部网络,从而长期控制以寻找有价值的目标。
对于攻击国内的黑客组织是中国人多还是外国人多,米登科根据实际情况阐述,当下的趋势显明,东南亚这块地区参与的人数比较多,国内的黑产团队应该也有所参与。米登科团队对病毒做过逆向,从代码的编写情况和赎金支付的沟通情况来看,他认为比起原先东欧、俄罗斯、乌克兰参与得较多,现在的覆盖人群更广。
张威提问,勒索病毒已越来越多地出现在人前,那为什么还会有企业中招?是攻击者的套路太厉害了,还是企业对这方面的防护依旧不够重视?
张福明表示,这两方面的可能性都有。作为甲方来讲,对勒索病毒的防护可以理解为一种成本,但它看不见、摸不着,在事件未发生之前,它所投入的量是没有标准的,因为安全永不可能做到百分之百的保障,因此投入多少、怎么投入更像是一种博弈。
在手段方面,相比于过去的黑客竞争,如今的攻击组织更是可以直接产生盈利,它们能做到自产自销,而且还让人逮不到。它可以通过3389漏洞去扫描,做一个勒索病毒,把全网都扫一遍,而且机器每天都在无止尽的运行,因此他所带来的投入产出比太高了,攻击者会乐此不疲地投入其中。
此二者结合,一方面攻击者在不断成长、不断变化,另一方面企业相对于自己的投入永远是不足的,那这所带来的结果就是攻击者永远领先企业,企业难以抗衡。
对于实际经历,孙琦表示,自己身边的同事或多或少都经受过勒索病毒的洗礼。被勒索病毒攻击后,如果企业整个信息化能力的体系比较完善,他一定不会交赎金,为什么?首先是因为这样的企业其被攻击的范围是可控的;其次他被勒索的那部分内容是可接受的。很多企业在面对勒索病毒时会直接缴枪,是因为他们整个IT体系的能力是缺失的。
孙琦介绍了曾经和朋友一起处理过的勒索事件。那次他们将病毒控制在了一定的范围后,就斩钉截铁将那部分的业务放弃了,然后和业务方确认好之后,他们认为可以接受T+2或者T+3的损失。之后更多的会反思这次病毒是怎么进来的,会用更多的技术手段去做追溯。
孙琦指出,在神州大地上,整个信息化的能力和数字化的能力正在不断地上升,但问题在于现在强调的重点还是停留在应用层面的建设,更多地会强调应用层上面的展示或者在数据层上面的呈现,基于这些数字该怎么样让它产生价值等。但其背后的那部分内容其实还有着较大的遗漏,会认为够用就行了,实际上对于整个IT治理体系,仍有很大的差距。
国外之所以比我们好,原因就在于他们经过了一轮又一轮的洗礼,他们吃过亏所以愿意投入。而对于国内的企业而言,发展太过迅速,因此这一部分的内容企业还是可能会从ROA的角度去考量,如此,便会为企业IT能力带来明显的短板,在意识上也会存在较大的差距。
张福明补充道,很多传统行业的老总也迫切地想发展数字化,但他们在信息化建设上是有所缺陷的,从线上化、信息化、数字化,再到智能化,这是一个过程,然而这些制造业的老总,他们企业在传统IT上的建设已经很弱了,可想而知,一旦他们把业务都放到线上必然会成为病毒软件的主要攻击目标。
另一方面,当关于数据安全的各种法律法规都出台后,许多企业还将面临监管的压力,比如一些企业出现系统崩溃等问题也会被监管处罚。再加上还有一部分上市公司在面临勒索病毒攻击后会影响市值。因此,综上所述,许多企业会选择息事宁人,偷偷把赎金交了。
也就是说,当企业在传统IT能力建设、安全体系能力建设还不足的时候,就迅速想要推行数字化,这相反给攻击者制造了更大的攻击空间。因为数字化会将更多的数据聚合起来,相当于将企业原本分散的内容变成了“一锅端”。
而米登科从两种不同类型的企业进行了分析。首先是对类似于上市公司的分析,上市公司一般会对安全做一些加固,但是无论企业怎么加固,攻击者还是能够攻破,因为就像攻防里常说的那样,企业需要防一个面,但黑客攻击只需攻击一个点。企业可以在安全设备上投入成千上百万的钱,每年、每季度、每月都可找人来做渗透测试等,但黑客很可能只需通过钓鱼邮件这种诱导的方式,让企业内部的员工帮助他成功混入到企业内部。所以企业的投入和它实际的收益往往不成正比,这就是为什么面对大型企业勒索病毒还是能得手的原因。
对于小公司来说,米登科在诸多案例中得出,确实大多企业的安全投入是严重不足的,大部分企业的老板认为只要一个防火墙就够了,而且还觉得自己这种小公司不太可能被盯上,因此这就是为什么那么多3389 端口会暴露在互联网,并被暴力破解。
另一方面,对于大公司来说,投入是分阶段性的,可能1000万的安全投入会分几个阶段,比如第一季度只加强边界安全,然后逐步往后延伸,因此黑客就会利用时间差来进行攻击,或者当新的0-day出现后,他可以及时地利用0-day实施攻击,这就导致了企业投再多的钱还是防不住。
对于到底怎样规模的公司黑客才会感兴趣,米登科表示,如今的黑客基本上不讲武德,他们只做大规模的扫描,扫到哪里是哪里,或许当他们利用漏洞或暴力破解成功进入到系统后,他们会去判断公司的大小,以衡量是实施定制化赎金还是批量低价格的勒索一把。所以很多企业认为自己规模小不会被黑客盯上,其实黑客完全不care你的公司规模到底多大,他们反正都是批量性的攻击。
对此,米登科补充了一件真实的案例,在上海封城期间,一家小公司被勒索软件攻击了,攻击者的赎金要的比较高,超出了这家小公司的接受范围,大概是十几万。最终由于老板做完所有评估以后,发现无论是修复的费用,还是应急响应的费用,还是支付赎金的费用都已经超过了他的可接受范围,因此这家公司就直接被关掉了。
张威提问,企业该花多少钱防护勒索病毒?该花多大力量去管理它比较合适?
张福明认为,对金融行业来说,中了勒索病毒是天大的事情,因为金融行业所有客户的资料、资产、数据、信息全都在系统里,一旦中了勒索病毒,其后果是不可想象的。张福明表示,就自己公司而言,每年在安全上的投入占总研发费用的5%,但并不会单独列出一部分费用只为防御勒索病毒,而是包含所有安全的防护。
其他嘉宾一致认同,能在安全上投入总费用的5%已经算是很良心的了。
中了勒索病毒后,哪些事一定要做,哪些事一定不能做?
张威提问,企业若不幸中了勒索病毒,有哪些事是一定要做的?又有哪些事是一定不能做的?
孙琦表示,中了勒索病毒意味着企业需要进行一个全面的梳理,可能牵扯到需要把企业自己都不怎么熟悉的系统翻出来,把它关联关系建立起来后才能看问题到底是什么。
孙琦认为,勒索一旦发生后,由不得安全人员去思考“什么该做、什么不该做”,所有技术人员都会围绕此事展开行动,他拿亲身经历举例,遇到勒索病毒后首先是断网,防止病毒扩散,接着看技术团队有没有能力在现有的环境里把企业的数据取出,或看网络层面有无对应的NTA,以及有无把整个攻击链找出来的能力。
孙琦表示,自己公司的团队可以在4到8个小时之内将整个攻击链还原出来,再用细化分段的方式逐步将攻击链分割,之后IT团队、安全团队就会乐此不疲地对整个病毒行为做逆向。而孙琦也会在这一时段要求团队先做好及时止损,尽快将系统、数据恢复正常。
孙琦指出,作为安全一号位,在遇到勒索病毒之后,得率先做出判断,这次的系统能否恢复、恢复需要多长时间、可以恢复到怎样的状态,这是优先得考虑的内容。然后实在处理不了了,就只能交赎金,尽量把问题先处理在可控范围之内。
对于应急预案是否有效,孙琦认为,如果企业的应急预案能真正拆分到不同的细分领域,比如能切到network、DBA、security,能切到核心的业务系统,那一旦遇到勒索攻击,从互联网切断开始,对团队的帮助是巨大的。只是在面临实际情况时,许多企业的操作流程往往会停留在书面上,而无法落实到行为。
数据备份有用吗?张威提问,面对勒索病毒的攻击,备份是否有用?离线备份有无必要?
张福明强调,备份对企业而言是非常有必要的,并且只有有效的数据备份才有用。同时他还建议,企业不要“把鸡蛋放在一个篮子里”,可以多拉几根专线进行备份,成本上升不了多少,但却是关键时刻用来保命的。
除此之外,备份的同时要将备份内容在另一个系统环境里进行演练,这点非常关键。勒索病毒除了会加密数据外,更甚者能把整个服务器都给加密,因此多备份、多云方案就是很好的选择,简单粗暴。所以,对企业来说,历史备份必须要有,实时的数据备份也一定要有,这样一旦出现问题,所被影响的可能就那一天的数据或者那几个小时的数据而已,这对业务损失而言是极小的。
米登科对此补充,黑客在攻击时,他是通过域的管理员权限分发的,也就是说在域内的所有主机都会感染,很多企业的备份软件都安装在主机上,而主机又都加在域里,所以一旦中标后就全灭了,连备份数据都没了。说明许多企业的备份只在为数据出现损坏或者系统出现损坏的情况做预案,而并没有为勒索病毒的风险做备份设计。
米登科建议,企业可以使用非Windows系统的备份软件,或者是备份一体机在企业内部实现在线的数据备份,而且频率要足够;其次,离线备份不能少,需要定期测试。
此时张威提问孙琦,企业老板能容忍业务中断的时间为多长?
孙琦回答,老板其实对安全方面是没有感知的,老板的要求很简单,就是一句业务恢复。而作为安全一号位,可以把容忍度的问题拆散向其他部门,形成共担。因为老板永远不会说出自己的容忍度是多少,所以可以联合其他部门和老板进行沟通,这是共赢的方式。对老板而言,他更愿意看到整个信息化的能力是完整的输出,这才是最优的状态。
张威提问,现在的企业中了勒索病毒,是不是只能付赎金?付赎金企业的比例是多少?
米登科以自己经手的案例回答,70%的企业不付赎金,30%的企业会付赎金。他解释说,除了备份恢复和付赎金外,还可以通过技术手段去破解加密,因为勒索病毒有着不同的家族,每个家族的加密方式都不一样,有些可以直接通过数据恢复的方式将其找回。但当下趋势有明显变化,黑客加密技术的升级速度很快,付赎金的比例在上升。
米登科介绍,普通的勒索病毒一般有两种类型。第一种类型是对原文件读取后生成一个新的加密文件,它会把原文件删除,面对这种病毒,无需解密,可以直接找到它删除的那个文件,因为有一定的概率它删不干净,就可以直接恢复。
还有一种加密方式是直接在原文件上进行复写,对于这种方式需要看它的加密量有多少,一般勒索病毒为了快速它不会做全量加密,它会在头尾写入带有特征值的数据内容做替换,中间只抽几段。面对这种病毒,遇到一些数据库、大型文件,就有一定的概率能够恢复,因为这些文件结构里有很多是冗余的,所以面对这种情况不需要支付赎金,可以直接找回。
而定制化的勒索病毒,它使用的是全量加密技术,每一个文件都会被覆盖到,在这种情况下,基本上没有办法解密。甚至有些勒索病毒即使支付了赎金也解不开的,因为勒索病毒说穿了还是一个程序,任何程序在运行的过程中都有可能出现意外,比如加密数据库时,它遇到问题报错了,数据库加密到一半就坏掉了,因此到时即使付了赎金,文件也拿不回来。
直播间网友志华提问,一般企业要备份多久的数据?
孙琦回答,如果基于配置文件,可以采用三到七天的周期去备份,具体取决于企业的备份总量和备份的窗口时间。如果是数据库的话,每天都需备份,可以采用其他的方式去做异地的存放,放多久取决于企业整体的备份窗口。
备份里最主要的就是备份总量和时间窗口,孙琦表示自己公司会用一整晚的非工作时间进行备份。
对于备份后的测试该多久做一次,孙琦认为,备份每年都需要做,测试差不多半年一次,由于IT人员的配比严重不足,而要去验证备份又是一个非常高难度的操作,测试往往需要4小时以上,有时甚至需要一个周末,因此周期半年一次就行。
张威提问,面对当下的黑客,企业是否付了赎金他就会为企业解密?
米登科表示,标准操作是企业付了第一笔赎金后,黑客会把解密密钥和解密工具给到企业,但黑客为了多要钱,会以企业晚付为由,要求企业多支付一笔,第二笔往往会翻倍,企业面对这种情况可能会坚持不付,这是双方博弈的过程。还有极少部分不顾自己名誉的黑客,他们会拿钱后跑路。通常而言,黑客是比较重视自己的名誉的,但由于大量的脚本小子参与进了黑产链,所以他们实施攻击时不在乎名誉,容易跑路。
此外,还有一种黑客会在企业付出赎金后为他们解密,但过了半年或一年左右,这种黑客又会黑回来,具体案例中,这种黑客每次攻击时只是邮件地址发生了变化,其他特征完全一致,这就是对方认定企业会支付,所以他才会不停地攻击一个目标。
米登科建议,企业如果不得不交付赎金,一定要分段支付,即拖着黑客,千万不要一次性的把钱都付出去,这样风险会更小。同时他以个人经验打假,认为网上说的“中了勒索病毒后,一小时内就能出解密结果”是不可信的。
他解释道,当下业内有许多无良公司也参与进了勒索病毒的应急响应过程中,他们往往会先为用户解密一到两个文件,以证明自己的能力,然后再谈解密价格。而其实他拿到文件后会直接去联系黑客,说自己是代理中间商,让黑客来解密这一到两个文件,并保证说企业会去支付赎金,通过这种方式,这些无良公司就能骗取到被勒索公司的信任。
关于勒索病毒的征兆,米登科介绍了几种情况。外网黑客一般会使用端口扫描的技术来扫描企业对外的IP段,看有哪些端口开放,一旦发现了3389端口他们肯定会去爆破,从案例来看,最长的爆破时间差不多有27天,也就是说黑客连续打了27天,但凡管理员在其中的某一天上去看一眼就能发现。
第二种情况,黑客会入侵企业内网,潜伏在系统中寻找高价值的数据,所以在企业内网如果部署了一些威胁情报设备,就能看到内网有一些横向移动的异常流量,或者是和外部异常IP地址进行通信的内容,这是一个比较明显的特征。
第三种比较经典的是黑客会去获取域管理员权限或者去获取黄金票据,这些黑客往往需要一定的时间,他需要收集足够多的信息,然后才会动手实施加密。所以这就给了企业2到3天的缓冲期,企业能在域内发现管理员权限突然有了波动,比如多了一些管理员账号等。
米登科表示,黑客在攻击时会具备域管理员权限,甚至最高的管理员权限,因此他们能直接关闭掉杀毒软件,或者将他们的病毒本体加入到杀毒软件的白名单,然后再运行程序。所以,可以说勒索病毒不只是一个病毒,它包含了人工渗透入侵的过程,只靠杀毒软件一定是没用的。
米登科简单介绍了相关方案。除了使用标准的纵深式防御,前端加设下一代防火墙对流量进行过滤,通过管理方式尽可能减少攻击暴露面外,还可以在预防的过程中,对终端防御网络流量的过滤都可以设置一些安全手段和措施,最关键的一点是企业一定要定期的去检查安全设备的告警,定期的做巡检。许多上市公司在安全设备上的投入非常多,但他们还是会被攻击,为什么?就是因为告警没人管,许多安全设备都报了异常,就是没人处置,因此人才是最关键的一环。
既然说到了人员的风险,张威提问,企业该如何管理人员风险?
张福明表示,对于人员的管理其实是很难的,因为没有谁会在事件未发生之前就主动去巡查哪里出了问题,除非公司有固定的流程,但即使有了流程,你又怎么证明这流程一定是健全的,一定是与时俱进的?因此在规则上套规则,在能力上套能力,其实是强人所难的。
而目前为止能够做的,张福明认为是把安全上那些看不见的东西尽可能地可视化,他为自己团队做的,就是将60%、 70%藏在台面下的内容进行可视化,这样他的团队才有精力去花那部分10% 、20%的精力每天巡检。
另外就是联动很重要,传统的IT团队可以帮助安全团队做一些事情,这样相辅相成的将防御做好,公司才会有足够的保障。
孙琦作为甲方公司的安全负责人,他认为首先得让大家接受一个现实,就是企业迟早是会被攻破的,建立在这个概念上,接下去会有很多的工序、很多的事情需要完善。其中人肯定是最重要的。
但该怎么用人,以及有没有给人员建立所配套的联动机制,或者说有没有建立起配套的弹药库,这是安全负责人平时需要去做的一些事。这是一个很复杂的、系统性的工程,因为对于安全问题而言,它永远不会独立的存在,它一定会依赖于企业的真实业务和企业整体的IT能力。
以美国油管公司被勒索为引,张威提问,勒索病毒的未来还会有怎样的发展?
米登科指出,当下勒索病毒的技术越来越脱离了技术范畴,在一些案件中发现,比如黑客在完成攻击后直接使用了Windows自带的bit locker功能,或者像7zip、winrar这样的加压缩工具,然后对重要的数据直接进行超长位数的加密,再用数据清理工具把原来的数据清理掉,这就表明了黑客们直接就是冲着钱去的,他们会试图利用数据里含有个人隐私的信息要挟企业。
所以勒索病毒之后的专业度会更高,两极分化会更严重,类似于这种便宜的赎金、大规模撒网的形式会越来越多,对于甲方的IT来说会变成一种日常的风险问题。而对于上市企业来说,长期渗透、长期控制,然后发动最终一击的可能性会越来越高。与之相对应的,就是防御的成本也会越来越高,日常巡检的费用、措施,也要随之进行调整。
张福明将勒索病毒分为平民化和私人定制。平民化就是所谓的广撒网,大钱赚不到小钱看销量,能赚到多少是多少。而私人订制针对的是比较知名的企业,所勒索的金额较大,做一票可以吃很多年。
对企业来讲,这就是一个认知问题,切不可抱着侥幸心面对当下的环境,勒索软件离每个人都很近。同时,企业需要迅速地将已经曝出的漏洞威胁纳入到自己的防护体系里,在相似病毒攻击你之前,提前先具备应对能力。若是遇到难防的0-day问题,应急预案一定要设置好。综上所述,对于企业而言,一是要紧跟市场、紧跟病毒库,二是做好应急预案,每季度、每半年都需要做相关的演练,以备不时之需。
关于在当前这样的环境下,有无好的办法可以使大家联合起来,将安全风险降低在平均值,孙琦表示,类似于安在这样的平台会是一个比较好的选择,因为它所举办的直播起到了一个很好的科普作用,同时也促进了同僚之间的沟通。
张福明表示,整个社会在往前发展,所面对的问题越来越多样化,技术越发的成熟,所带来的道德伦理就都会出现问题,因此对于安全人员来说,考验也会来越来越大,但以行业的发展而言,相反是越来越好。张福明希望可以搭建出更好的正义联盟,以对抗黑暗势力。
而孙琦指出,当下整个社会形态正在往数字化方向进行加速转型,在这样的过程中,安全一定有着巨大的发展空间。在这样的空间里,可以看到攻击者的成本越来越低,随之也使得攻击门槛越来越低,因此对于安全人员来说,怎么让自己拥有更稳妥的方式去坦然面对所有可能发生的安全威胁,是从业者、安全负责人需要去着重修炼的。
米登科总结,数据备份非常必要,前提是企业对自己的备份需要做好检查,这叫不打无准备之仗,可以说做好数据备份就已经能解决70%~80%的问题了。
其次,做好应急预案,包括日常演练,包括管理好人的思想。米登科强调,企业一定要提前去了解勒索病毒,弄清它是怎么实施攻击的,只有接触过它,熟悉它的攻击手法,那在事件真的发生后企业才不会手忙脚乱。