坐等被勒索？不如早点做好安全防御准备丨科技云·视角

如果以为不联网就不会被黑，那就大错特错了，WannaCry勒索病毒就是一个非常好的例子。

2017年，WannaCry病毒在全球范围内肆虐，病毒通过邮件、网页甚至手机侵入，将电脑上的文件加密，受害者只有按要求支付等额价值300美元的比特币才能解密，如果7天内不支付，病毒声称电脑中的数据信息将会永远无法恢复。

短短3天内，就有超过150个国家、10万家组织或机构、个人的超过30万电脑受到感染。

WannaCry勒索病毒因攻击范围广泛，犯罪性质严重，在全球掀起了轩然大波。一年时间过去了，WannaCry事件在人们脑海里的影响力也在逐渐淡化。

然而，WannaCry勒索病毒事件真的过去了吗？对我们的工作和生活毫无影响了吗？

据外媒报道，英国国家医疗服务系统（NHS）仍在为去年遭受WannaCry勒索病毒攻击“擦屁股”。

2017年，WannaCry病毒为NHS带来了超过9200万英镑的巨额损失。这些损失包括1900 万英镑的产出损失，而剩下的7300万英镑都花在“灾后重建”上，没想到修补千疮百孔的IT 设施居然要花这么多钱。

事实上，遭受损失的企业不止NHS一家。根据CyberEdge Group公司针对全球1000家企业进行的一项调查研究发现，在遭受勒索攻击的企业中，大约有40%的公司支付了赎金，但结果在这支付赎金的公司中，只有一半左右的公司最终拿回了自己的数据。

据用友网络和360共同组建的“安全派-企业信息安全联合实验室”（以下简称：联合实验室）表示，2017年勒索病毒爆发至今，联合实验室已接待、处置了超过1300多起由勒索病毒造成的企业信息安全事故。

其实，网络攻击自产生以来就没有停止过，不论是国家重大基础设施，还是小到一个针孔摄像头，都会成为黑客入侵的对象。勒索病毒所产生的庞大收益令让黑客组织赚得盆满钵满，在利益驱使下，黑客组织只会不断采用尖端技术让勒索病毒变的越来越强大。

在这种严峻的情况下，企业应该更加清醒地认识勒索病毒，为此类攻击做好防御准备，而不是被动地向黑客支付赎金。

如今，勒索病毒的攻击范围和攻击领域还在不断拓展，从单个硬件设施、到单个行业领域、再到单个国家，逐渐拓展到全领域、跨行业、遍及全球。经权威机构预测，2018年之后的勒索病毒将呈现五大趋势：

漏洞利用成为新的传播方式

“漏洞利用”由于具有较强的自传播能力，能在短时间内大范围传播，在2018年或将更受“不法黑客”青睐。

与安全软件的对抗将持续升级

随着安全软件对勒索病毒免疫能力的持续升级，安全软件对主流的勒索病毒逐渐形成多维度的防御。勒索病毒需不断进化并与安全软件的对抗，才能够提高感染成功率。这种对抗可能体现为“传播渠道的多样化”，也可能表现为“样本的免杀对抗”。

攻击目标日益精准化

2017下半年勒索病毒的攻击目标出现明显的精准化趋势：拥有企业核心系统权限的企业人员，将成为主要的黑客攻击目标。因为该类目标用户往往掌握更多的关键数据，加密后也会更加倾向于支付解密赎金。

勒索病毒呈现低成本，蹭热点特征

随着勒索病毒技术细节的公开，部分勒索软件代码被放在暗网上售卖，勒索病毒的制作成本持续降低。2017年有多个系列的勒索病毒持续活跃：一开始在小范围传播的勒索病毒（例如“希特勒”、“WannaSmile”等），为实现更大范围的传播，通常会借势节日热点和社会热点等，例如万圣节、圣诞节等。随着制作成本的降低，或将出现更多蹭热点的勒索病毒。

国产勒索病毒开始活跃

对国内用户“量身打造”的国产勒索病毒，会非常“贴心”的使用全中文的勒索提示界面，个别会要求直接通过微信、支付宝来缴纳赎金。与其它语言版本的勒索病毒相比，国产勒索病毒中招者支付赎金的可能性更高。2017年出现的主要国产勒索病毒有“云龙”、“xiaoba”等，而2018年或将出现更多的国产勒索病毒。

不难发现，基于合规要求的传统防御体系，对于勒索软件等新兴威胁，在发现、检测、处理上已经呈现出力不从心的状态。

对此，安全派联合创始人林森表示，通过联合实验室近期的运营，走访了大量被勒索的企业用户，发现中国企业用户的安全意识、安全能力、安全投入都有很大的不足。

传统安全厂商由于受到等保思维的限制，以及对企业业务的不了解，很难针对企业用户的需求研发出有针对性的安全解决方案；同时，企业用户由于不断遭受勒索病毒的攻击，迫切的需要专业的建议和产品。

企业信息安全建设是个系统性工程，针对日益猖獗的勒索病毒必须多管齐下，系统性建设防御体系才能更有功效的预防勒索病毒的攻击。

为此，联合实验室向企业用户推荐一个勒索病毒防御解决方案（四款组件），同时在网络层、应用层、终端层布防，构建企业可信环境。

据了解，这款ERP防勒索套件，是安全派联合用友网络、360企业安全集团共同发布的，将企业ERP系统防勒索攻击作为突破口，关注企业ERP用户的痛点，创新的提出了从网络防御、业务应用防御、ERP服务器防御、终端安全防御，多维一体的安全解决方案。

在网络层，建议企业配备专业的网络安全设备（360智慧防火墙），有效加强企业网络层的安全防御水平。

在应用层，建议企业配备专属的应用安全设备（ERP安全防护系统）。目前企业大量使用ERP、CRM、OA等管理软件，已经开始将交易、管理、运营的数据迁移至信息化系统之中，所以管理和业务软件的安全至关重要，企业需要进行有针对的威胁检测和威胁防护。

在终端层，建议企业进行两方面的安全防御（360服务器加固、360天擎终端安全），服务器做好主机加固、终端安全管理、防病毒；PC端做好防病毒管理。

业务实践和统计数据显示，95%以上针对企业用户的网络攻击，目标都是业务服务器和业务终端。对于终端防御来讲，查杀病毒只是一个环节，还需要科学的对“操作系统补丁、操作系统漏洞、高可持续攻击、0day攻击”进行系统的防御。

最后，建议企业做好数据备份。数据备份是企业遭受到勒索病毒攻击后最后的补救措施，建议企业用户日常化关键数据备份工作。有条件的企业，建议做好异地备份，并通过网络隔离保障备份数据安全。