這些安全管理方法，讓你不怕勒索者

在這裡，我們不談技術，只聊管理。

事件回顧

北京時間5月12日晚，全球大面積爆發了一系列的勒索蠕蟲感染事件。國內包括中石油、某醫院、教育網用戶在內的大量企事業單位中招。

此次勒索軟體是一個名為「WannaCry」（「想哭」，這恐怕是大部分中毒者的內心真實寫照）的新家族病毒，會加密電腦中的所有文件並向用戶勒索比特幣作為解密贖金。

後來經英國技術人員研究後，利用病毒開發者預留的控制方式（檢測某域名是否存在）暫時遏制了病毒的傳播。然而在5月14日，研究人員又截獲了刪除了控制方式的2.0版本病毒。

5月15日上午9時，新浪微博統計#比特幣病毒#話題傳播熱度為96.63。連續三天成為熱門話題。

下面以企業安全管理的角度，從三個方面聊聊這次國際化的病毒危機：補丁管理（預防）、事件響應（處置）、災難恢復（善後）。

補丁管理

補丁管理是信息安全管理的預防階段，通過完善的補丁管理過程可以預防絕大部分病毒侵擾和系統攻擊。

本次的勒索者病毒使用的並非0day漏洞（即已被發現卻未發布補丁的漏洞或駭客自己發現的漏洞）。相反，它利用的漏洞早在今年三月就由微軟推出的補丁MS17-010修復過了。只要及時更新系統，完全可以避免出現如此大規模的病毒爆發。

系統廠商會經常性發布系統相關的補丁或系統升級，而並不是所有的補丁都適合用戶的計算機。因此，部分用戶，尤其是需要使用專用軟體（如科研機構用的分析軟體、醫用軟體、工控系統軟體）的用戶往往會選擇禁用系統自動更新。

這就造成了巨大的安全隱患。

因此，作為企業的安全管理者，應時刻關注著系統廠商的補丁發布進展，在新補丁發布後，需進行兩步操作。

（1）評估補丁

根據本公司計算機開啟的業務內容，進行補丁評估。例如，微軟發布了一個針對Telnet客戶端功能的補丁，而整個公司計算機均未開啟telnet相關服務，則沒有必要安裝此補丁。

（2）測試補丁

在確認某補丁需要安裝後，安全管理人員應當在獨立的計算機上進行補丁測試。根據公司業務情況，確定該補丁不會對公司業務需要的軟體產生負面的影響，測試時需額外注意針對BS結構下瀏覽器插件兼容性的測試。

在完成這兩步後，就可以在公司範圍內通過自動化部署的方式進行補丁部署，部署完成後應進行測試或審計。自動化部署軟體及測試採用系統自帶或第三方軟體均可。

而對於小型企業或不需要使用專用軟體的企業，則僅需要要求全員打開系統自動更新即可。不僅要從管理規章上規定，還需要通過檢測軟體定時進行系統評估。

事件響應

對於大型企業來說，防火牆等保護性防禦體系往往僅建立在內網與廣域網的邊界，這就導致內網染毒的後果是致命的。針對這次勒索者病毒情況來說，具新聞報道中石油兩萬座加油站受到攻擊，攻擊範圍波及全國數十個地市。業務中斷達36小時。

完善的事件響應機制，可以有效的降低企業在受到攻擊後的損失。

事件響應主要分以下步驟：

（1）檢測

企業的安全管理人員應與企業普通用戶之間建立直接的反饋渠道。當企業普通用戶出現疑似計算機病毒事件後，應立刻與基層企業安全管理人員聯繫，溝通情況，由安全管理人員確定是否為安全事件。

（2）響應

在初步確定為安全事件後，安全管理人員需進行及時的響應，響應程度取決於事件的嚴重程度。

響應主要分為兩個方面：技術上應儘快進行系統保護，如切斷受感染計算機的網路、增強企業防火牆的保護等級等；行政上需根據事件的嚴重程度向上級安全管理者或安全管理部門彙報，再由高級管理者向整個企業基層安全管理員下發通知，進行預防措施。

（3）恢復

儘快對受影響系統進行修復、恢復或重建，爭取將事件的影響程度降到最低。這階段將在下文中詳細敘述。

災難恢復

災難恢復是在企業業務連續性受到影響時開始的。當危機事件無法控制，企業業務連續性開始中斷時，應立刻開始災難恢復。

所有的災難恢復都需要進行提前的準備工作，沒有準備無法恢復。

這次勒索者病毒最大的受害者是未進行數據備份的用戶，一個管理良好的企業應對其重要數據進行備份，不論是使用冗餘磁碟陣列（RAID）還是租用第三方提供的企業雲空間，都能有效的保護企業數據的完整性。

企業信息化管理集群中應當含有兩個或兩個以上的伺服器，當其中一台伺服器受到攻擊時，企業可以通過故障轉移的自動化過程通過其他伺服器接收其負載，保證企業網路的容錯功能。

針對不為存儲數據而設立的終端來說，可以使用受信恢復的方式，即恢復程序能保證在系統發生故障或崩潰之後，還原到之前的狀態。這種恢復可以選擇手動恢復或者設置自動恢復。

結語

病毒攻擊並沒有那麼可怕，整個信息系統安全的各個環節中，最脆弱的不是技術，而是人。

本文首發於微信公眾號：聽雨的安全屋 tysafehouse

歡迎大家關注，在這裡，我們不說技術，只聊管理。