距離5.12，全球性勒索蠕蟲WannaCry（魔窟）攻擊的大規模爆發已經過去了近兩周時間。中國大陸雖然也罕見地成為了這起全球性網絡攻擊事件的重災區，但本土安全廠商對此次安全事件的響應表現，小到廠商的每個客戶，大到某個行業，以及和國家相關部門的配合，都是可圈可點的。

同時，作為一起造成全球范圍惡劣影響的勒索攻擊事件（注：微軟甚至因此次攻擊而在5.13發布了針對Windows XP、Server 2003等老舊操作系統的追加安全補丁），還有諸如IBM等擁有更廣闊視野的國際IT/安全廠商，他們對勒索攻擊的認識和防范思路也同樣值得我們思考和借鑒。

超過半數個人用戶未做針對性防護 近4成遭遇勒索企業支付超過1萬美元贖金

時間回撥到半年前。2016年12月IBM X-Force團隊發布了一份關于個人和企業如何透過勒索攻擊看待數據價值的報告，十分具有預見性。

目前企業和個人對勒索攻擊的認知和有效防護手段及意識的缺失，是造成近兩年勒索攻擊事件幾乎成井噴式爆發的主要原因之一。

通過對1千余名美國居民的調研，IBM發現，僅有41%的個人用戶采取了針對勒索軟件的保護措施，而超過1/3遭受勒索攻擊的個人最終會選擇以支付贖金的形式換回對數據的正常訪問權限（雖然FBI并不鼓勵這種行為），而典型針對個人用戶的贖金金額一般會介于200到10,000美元之間，但是有一半以上的人表示即使是財務數據也最多支付100美元用于數據找回。

而企業側遭受勒索攻擊的情況則與個人大相徑庭。

勒索攻擊往往通過對公司服務器和關鍵數據和備份的加密/公開，并以此要挾勒索贖金，而這些行為會對企業業務的正常運營造成嚴重的負面影響。

據IBM統計（調查對象覆蓋大/中/小不同規模企業的各200名高管），近半數企業高管曾經歷過勒索攻擊，其中選擇付費找回數據的高管占7成。

在金額方面，近半數選擇支付的企業支付了超過1萬美元的贖金，而這其中支付贖金超過4萬美元的企業約占4成。甚至部分高管還曾向黑客表示愿意支付更多費用，以獲取對企業IT資產修復和保護的建議。

IBM還發現，企業高管最終是否會選擇支付贖金以及支付數額，直接取決于被加密數據類型以及企業規模。

盡管不同行業企業對數據的風險偏好不盡相同，但總體上來看，雖然差別不明顯，但財務、客戶和銷售記錄是企業選擇支付贖金的強大驅動力，企業郵件系統/服務器、知識產權數據、人力資源檔案等則要次之。有意思的是，商業及研發計劃、源代碼等數據卻排到了末位。

而在企業規模上，無論是對于財務還是銷售記錄，愿意支付高額贖金（超過5萬美元）的大型企業占比幾乎是中/小型企業占比總和的2倍。

應對勒索攻擊 更成熟的安全能力建設是關鍵

針對勒索攻擊，無論是從執法部門打擊網絡犯罪還是企業高管挽回業務損失的角度，也無關具體勒索金額，支付贖金都不是上策。此次WannaCry勒索攻擊的爆發，無疑再次給企業敲響了加強內部安全能力建設的警鐘。

當然，選擇具有更加及時、全面響應能力的安全廠商在應急響應中顯得至關重要。但除此以外，企業安全建設成熟度和運營能力也亟待提高。

IBM給出的企業安全能力建設最佳實踐模型

還是以WannaCry為例：

在攻擊爆發前不到兩個月的時間，微軟已經推送了相應安全補丁，企業的漏洞管理平臺未能及時對企業現有資產進行漏洞掃描、告警管理員并實現各終端的補丁下發，這體現了企業安全建設中“預防”能力的不足；攻擊爆發后，各企業安全或IT部門的無法快速根據攻擊事件相關的威脅情報修改企業防火墻、IPS等安全產品規則和策略配置，并快速對企業內部資產自檢，隔離受感染終端，而是沒有響應流程可依據，不知所措地等待供應商能第一時間來現場幫助解決問題，雖然確實國內很多安全廠商做到了這一點，但是遠水解不了近渴，這是“響應”能力的缺失；在攻擊事件不斷蔓延，企業正遭受勒索蠕蟲入侵時，短時間內加密大量文件、或者大量對某些不常用端口訪問等異常行為沒有持續性監測，并即使與外部情報實現關聯分析確定攻擊的發生，是“監測”能力的不足；拓展到傳統的安全之外，對數據和系統的容災備份和災難恢復能力準備的不充分，沒有持續的業務連續性規劃，是“恢復”能力的空白。

除此以外，上文所涉及的報告還提及了應加強員工對勒索攻擊等安全事件的認知和安全防范意識的教育，包括郵件宏附件禁用、安全瀏覽站點等。

這些都是降低企業所面臨的勒索風險，以及將來安全能力建設的方向。

Tips

特別在漏洞管理&補丁分發、網絡層阻斷、監測和響應這四個點，IBM給出了以下安全能力建設建議：

1. 漏洞管理&補丁分發

確保安全管理員不受位置和網絡帶寬限制地發現所有終端在安全漏洞方面的狀況，并將補丁開發自動化。同時，因為補丁的修復可以大幅減少企業的攻擊面，所以需要閉環確認補丁安裝是否成功，并把以上工作通過內部規定等形式常態化。

2. 網絡層阻斷

確保IP信譽庫、URL過濾庫、簽名、固件的隨時更新，以實現對惡意站點接入的自動阻斷。

3. 監測

對與安全分析相關的日志、網絡流和用戶行為數據進行關聯分析；確保監測的實時性和持續性；使用云端的惡意軟件分析服務可以更快速的對威脅進行識別；利用認知技術實現更快速有深度的決策輔助。

4. 響應

提前做好事件響應計劃并測試，確保響應流程的一致性、容易重定義和合規，注重流程的編排和自動化，遇到棘手情況要果斷求助專家服務。