我在甲方做安全（第八集）：被勒索攻击搞破防了

当下一个老生常谈的问题：企业为什么会中勒索病毒？

有人会说是缺乏有效的防火墙和防病毒软件。比如防火墙配置不当或者没有及时更新规则，恶意流量就可能轻易地进入企业网络；再比如企业没有安装最新版本的防病毒软件，或者没有及时更新病毒库，就无法识别新型的勒索病毒。

还有人会说是系统和软件更新不及时。拿Windows 操作系统举例，其经常会发布更新来修复可能被黑客利用的安全漏洞。如果企业没有及时安装这些补丁，勒索病毒就可以利用这些漏洞入侵系统。像 “永恒之蓝” 勒索病毒就是利用了 Windows 操作系统的 SMBv1 协议漏洞进行传播的。

而其实最容易、最有可能导致勒索病毒的行为是什么？对咯，就是内部员工的误操作，比如点了某个附带勒索病毒的邮件链接。这不，上周针对新员工的安全规划还未落实，这周老员工又出幺蛾子了。没想到啊没想到，我“安全鬼见愁”竟也有被勒索的一天……

中了勒索病毒

这天，还未刷门禁卡呢，就被门内火急火燎、怒火中烧的老王吓了一跳。“把所有系统都打开！看还有哪里中招了！那谁，在干嘛呢？！还有功夫喝水啊？！对了，你们部门领导怎么还没到啊，都几点啦？！”

要是没猜错的话，这所谓的部门领导应该就是我了……“王总，发生什么事了？”我礼貌性的一问，其实对事件已有大致了解，毕竟早上就是被IT负责人给吵醒的。

“什么事？什么事你问我啊？我倒是不明白了，公司搞了那么多安全措施，怎么还会发生这种事故？安全部门到底有没有在好好工作啊？”老王气不打一处来，而安全部门则又一次成了背锅侠。

我也懒得和他多啰嗦，简单地扫视了那几台中招的系统，发现它们都被加密了，屏幕上弹着勒索信息的窗口。窗口声称，文件已经被加密，只有支付一笔高额的赎金，才能获得解密密钥。

IT负责人表示，这几台系统包含了大量的财务资料和客户资料，中招原因是因为财务部小张点击了不明来源的邮件和链接。“而为了快速恢复业务，我们需要考虑的是该不该支付赎金。”

支付赎金？这不等于向恶势力低头嘛。于是我立马回绝：“支付赎金是不可能的，但我能以自己安全人员的身份保证，公司业务也一定会顺利恢复。”

不能支付赎金的理由

显然，对于大多数企业而言，支付赎金是最好的选择。因为就公司每年的收入价值与潜在的勒索软件成本相对比，赎金带来的损失或许并不高。而且除了业务中断的成本外，还存在恢复系统所需的时间成本与机会成本。但如果能快速拿到解密密钥，情况就截然不同了，整个恢复过程可能只需三分钟。就像IT负责人刺激我和老王时说的那样：“虽然恶意软件仍潜伏在系统中，但至少有了密钥，我们能迅速恢复运营，无需暂停业务。”

当然，我不愿支付赎金的考量也很简单，首先支付赎金只会助长勒索攻击的嚣张气焰，“像黑客低头”是安全人员最不愿意面对的境地。其次，谁又能保证支付了这一次赎金后，不法分子就不来勒索了？指望犯罪团伙讲诚信吗？被勒索病毒 “ransom/bunnyde” 入侵的上市公司和Maze 勒索软件团伙事件就是最好的例子。

“当我们的命运被罪恶掌控时，又怎能指望罪恶的内核会给予我们光明的希望？”这才是为什么“我们永远不能向恶势力”低头，“法永远不能向不法妥协”。

再说得严重点，我们每一次支付的赎金是在为什么做准备？乐观的情况，是在为犯罪团队下一次勒索攻击提供资金。而最为严重的可能，是在为“其他喜欢发动地缘政治斗争的国家势力”提供资源。最后，那每一颗打向我们的子弹都可能是由这一笔笔赎金所缔造的。

因此可以说，短期内对企业所造成的影响，对个人所造成的影响，都非最重要的事，甚至我们可以采用其他多种方案去应对勒索攻击。而从长远来看，“不支付赎金”一定是遏制勒索攻击最有效的途径，因为只要无人再支付赎金，勒索攻击将失去存在的意义。但这需要所有人的努力和共识，更离不开政策、政府的帮助和支持。

关键的应对措施

“那你说该怎么办？”老王双眉紧皱，神情上依旧按捺不住“都是安全惹的祸”。

“其实我所设计的安全预案都已在正常执行了。比如我们所布置的安全产品已在第一时间阻止了勒索病毒的横向移动，目前就那几台财务系统需要恢复。应对勒索病毒最有效的手段是备份，上周我们部门才测试过备份，可以直接使用。此外，我也已经联系好了我们的保险公司，他们会为我们提供恢复阶段所需要的费用支持。对了，关于数据可能泄漏的情况，我所联系的第三方公司也会在暗网中为我们监控这些数据，一旦有任何消息，我们可以马上找回或删除。当然，这也是我们按照法律法规要求通报监管方和用户的依据。”

我边解释边将各类任务安排了下去，索隆、香吉士以及所有的IT员工都投入到了“应对勒索病毒”的战场中。

直到此刻，老王的脸上才出现了稍许的缓和：“那……需要多久才能恢复？”

“这肯定需要一定的时间。既然中招了，损失肯定会有，等会儿我会将此次事故的报告发给您。”

别看老王一副“要死不活”的样子，他对公司负责，同时也是真的重视安全部门，不然我哪有资格决定“是否支付赎金”？虽然在权责对等的背景下，我作为安全负责人的压力也大了，但至少公司上下都能认同安全文化，而且是从上至下在推动安全落实，因此连一旁的IT负责人也默认了此等结果。我想，这才是每位安全人员都想达到的目标吧？

仍有不足

经过此事，我开始了自我反省。首先，肯定是全员的安全意识教育仍旧不到位，否则小张也不会点击链接了。其次，日常的勒索病毒攻防演练和应急响应演练还需加强，特别是要提高其影响力，不然等事故发生了，淡定的永远是安全部门，其他部门要不就在手忙脚乱，要不就在互相推责，对事态发展毫无帮助。

关于安全意识教育，我在写给老王的报告中提到：人们会不惜一切代价避免痛苦，逃避摩擦，而当下的安全措施对员工而言就是最大的摩擦，所以我们只能让公司上下意识到，选择更安全的行为意味着要接受它所带来的障碍。当然，通过让人们更容易选择更安全的路径，可以大大降低人们意外偏离路径的概率。

当然，对我个人而言，不能再认为“勒索病毒攻击距离自己的企业很远”了，虽然平时我为勒索病毒做足了准备，但在真的面临实际情况时，我还是会觉得慌张、觉得准备不足，所以我要反复提醒自己：任何企业都可能成为勒索病毒的目标，因此务必要提醒公司上下，必须将网络安全视为日常运营的重要环节。

此外，通过此事件，我还有必要完善更详细的勒索病毒应急响应预案，比如明确在遭受攻击时的应对流程和各部门的职责分工。同时预案应包括如何隔离受感染的设备、如何与安全厂商和执法部门联系、如何进行数据恢复等内容。特别是这所谓的职责分工，个人认为，要将更多的责任人和方向划定其中，不能到发生事故时，大家还需为事故展开讨论，这就为时已晚了，而是一旦发生事故，每个人都能明白接下去自己该做什么，不该做什么。

结尾

“加强终端防病毒、EDR管控防范落地、加强安全意识、明确数据安全责任主体、在网络上根据情报拦截勒索通信地址……”不知老王看到这报告后会作何感想啊……

咦？我是不是还可以提倡“公司应积极参与行业内的网络安全交流与合作，与其他企业分享经验教训”？这样就可以多联系几家集团分公司、多参与集团活动，万一以后有机会晋升……咳咳。

我想，通过这次事件，公司上下应该明白：在数字化时代，网络安全是企业生存和发展的基石。只有不断加强网络安全防护，才能在激烈的市场竞争中立于不败之地，避免再次遭受类似的重创。

虽然今天“领导层”依旧没给安全部门好脸色，但此次事件也成为了公司走向更加安全和稳健发展的新起点。未来，公司必定会以更加严谨的态度对待网络安全。而我们安全部门呢，会始终守护好企业的核心资产和业务运营，并向着更加光明的未来迈进！