據(jù)報道，擁有158年歷史的英國運(yùn)輸公司 KNP Logistics，在被臭名昭著的Akira組織實(shí)施勒索病毒攻擊后倒閉，導(dǎo)致700人失業(yè)和全部數(shù)據(jù)丟失。宣布關(guān)閉業(yè)務(wù)。

1.KNP遭受攻擊，勒索500萬英鎊

KNP Logistics 以 Knights of Old 為品牌運(yùn)營，旗下約有 500 輛卡車。此次事件中，攻擊者猜到員工弱密碼侵入內(nèi)部網(wǎng)絡(luò)，加密敏感業(yè)務(wù)數(shù)據(jù)，直接導(dǎo)致公司陷入癱瘓。

公司董事保羅·阿博特 （Paul Abbott）承認(rèn)，弱密碼是事件的核心，。攻擊者一進(jìn)入內(nèi)網(wǎng)就部署勒索軟件，對所有數(shù)據(jù)進(jìn)行加密，并發(fā)出了贖金要求。

雖然贖金金額沒有具體說明，但網(wǎng)絡(luò)安全專家估計(jì)贖金金額可能約為 500 萬英鎊。KNP 無法滿足需求，遭受了不可逆轉(zhuǎn)的損失，導(dǎo)致其關(guān)閉。

2.KNP 明顯缺少體系化的安全措施

從公開報道來分析，KNP 可能在安全方面有以下四點(diǎn)不足。

第一是備份數(shù)據(jù)也被攻擊者加密。像這樣規(guī)模的公司，基本的備份應(yīng)該是有的。但是明顯備份沒有采取足夠的隔離措施，也沒有離線備份。被攻擊者進(jìn)入內(nèi)網(wǎng)以后，直接將備份數(shù)據(jù)加密，導(dǎo)致被勒索以后，無法恢復(fù)數(shù)據(jù)。應(yīng)對勒索病毒的底線就是備份，要周期性體系化的備份，對備份的網(wǎng)絡(luò)、權(quán)限還需要有相應(yīng)的隔離措施，重要的數(shù)據(jù)必須有離線備份。

第二是內(nèi)網(wǎng)的隔離和權(quán)限管理不夠。不同應(yīng)用系統(tǒng)之間應(yīng)該根據(jù)最小化權(quán)限做相應(yīng)的隔離。這樣當(dāng)攻擊者攻入以后，最多只會造成部分破壞，不會造成全局的損失。

第三是缺少告警響應(yīng)機(jī)制。如果告警機(jī)制比較完善，攻擊者攻擊的時候會有告警，攻擊者進(jìn)入內(nèi)網(wǎng)以后會有告警，攻擊者加密第一個系統(tǒng)執(zhí)行異常命令的時候也會有告警。很顯然，這家公司雖然有158年歷史，但是IT系統(tǒng)的安全措施很不到位，沒有基本的安全措施，也沒有告警響應(yīng)機(jī)制。攻擊是7x24小時的，防守也必須是7x24。

第四是缺乏對員工安全意識的培訓(xùn)。從事件推測來看，該企業(yè)員工大概率存在兩種情況，一是使用弱密碼，二是在多個系統(tǒng)使用同樣密碼。如果員工有足夠的安全意識培訓(xùn)，使用足夠強(qiáng)的密碼，重要系統(tǒng)使用不同密碼，定期更換密碼是常識。另外一方面，從企業(yè)IT管理上來看，重要系統(tǒng)強(qiáng)制使用復(fù)雜密碼，并且定期更換，也是基本的安全措施。

以上四點(diǎn)，說起來很簡單，但是要落地很難，尤其是一些中小企業(yè)。因?yàn)槎际且ù罅馊ゼ?xì)化。Akira組織就是抓住了中小企業(yè)這種情況，專門針對中小企業(yè)攻擊，屢屢得手。根據(jù)英國廣播公司（BBC）報道稱，近幾個月來，包括瑪莎百貨公司 （Marks & Spencer）、合作社（Co-op）和哈羅德百貨公司（Harrods）在內(nèi)的主要零售商都遭到了攻擊。

企業(yè)如何應(yīng)對類似挑戰(zhàn)

國內(nèi)情況也一樣，企業(yè)因?yàn)楦鞣N原因中勒索病毒而遭受損失的情況時有耳聞，應(yīng)該如何應(yīng)對？需要體系化的防護(hù)措施。

首先，對人方面，要加強(qiáng)安全意識培訓(xùn)，讓人從被攻擊被釣魚的對象，變成企業(yè)安全的第一道防線。

第二，是制度上進(jìn)行完善。通過制度控制權(quán)限，建立必要的防火墻。

第三，是采用必要的技術(shù)措施。比如防火墻、流量分析、殺毒軟件等。

第四，是需要有及時的告警處置機(jī)制，當(dāng)攻擊剛開始的時候，就能夠迅速采取反制措施。把攻擊扼殺到萌芽階段。