以新视角看待勒索病毒对安全行业的影响

WannaCry爆发到现在，已经过去了三年，回顾三年前，自己周一上班接到的是不停的电话，反馈数据被加密，有没有什么好的解决办法，但是很遗憾，由于此次大规模的蠕虫病毒使用的是高强度的密码算法，无法获取私钥，只能采取抑制措施，对有问题的主机进行隔离或者是断网，全面排查网内有问题的资产，除了关闭不必要的端口，最重要的是安装微软官方提供的补丁，这次勒索病毒事件爆发的根本原因，本质还是安全管理问题。微软官方发布的补丁至少在几个月之前，所以本质还是安全管理问题或漏洞管理问题。

我们接下来分析下，勒索病毒事件后，企业安全建设中依然存在的问题，经过多年的实践，通过部署的威胁检测产品，我们发现企业IT环境中，依然存在SMB漏洞，大多数企业由于没有专业的人员对此类事件进行处理，纵然安全建设已经非常完善，但是被通报、被要求整改的问题依然层出不穷。重建设不重管理，会让安全一直处于救火阶段。

基于勒索病毒的整个攻击链和全球顶级的安全厂商对这种蠕虫病毒的分析，要想将感染 勒索的风险降到最低，还是要从三个层面来防护和检测

第一，依然是安全行业最传统的威胁检测技术，我们对全流量进行威胁检测，可以提前发现此类事件。

第二，关注操作系统和应用应用软件的脆弱性，及时关注微软的相关补丁计划，这个属于治本，在操作系统上安装防护软件，这个属于治标，两者结合可以简单理解为纵深防护缩小版。

第三，根据病毒的启动流程，我们需要关注的依然是硬件层文件，在引导区、BIOS区进行安全防护。