2017年5月底，肆虐全球的WannaCry勒索病毒在感染了150个国家和超过130,000个端点之后，终于逐渐消停下来。

对于这次前所未有的病毒风波，众多企业机构有的心有余悸，有的则庆幸逃过一劫。俗话说“吃一堑长一智”，WannaCry究竟让我们学到了什么？未来在应对未知的勒索病毒时，企业又需要做到哪几步才能幸免于难？

近日，趣味科技专访了IBM大中华区安全事业部总经理Vincent Chen先生，IBM大中华区安全事业部技术总监张红卫女士，IBM中国区安全事业部销售总监张朝鹏先生，让我们听听安全专家们是如何对WannaCry进行剖析和防治的。

WannaCry事件复盘：一次失败的勒索案例

有媒体报道，WannaCry病毒网络攻击在全球造成的经济损失大约为80亿美元。但截止至5月25日晚，全球受害者通过比特币向黑客支付的赎金仅仅只有9万多美元。

因此在IBM中国区安全事业部销售总监张朝鹏看来，从商业上讲，WannaCry本身是一个失败的案例。软件损耗、付款心理、付款难度都是重要原因。以中国为例，中国人口基数比较大，感染终端多，但黑客恰恰忽视了绝大多数国内设备和网络根本就连不到黑客的支付服务器。也就是说即使被感染的用户愿意付款，也不代表黑客可以拿到这笔费用。

“勒索经济”拉开了序幕

虽然这次黑客并没有捞到什么油水，但是WannaCry却拉开了新的“勒索经济”的序幕，因为其具有“蠕虫”的特性，无需推广成本，中毒者自动感染，自动执行，自动传播。更加值得警惕的是，勒索软件业务模式有巨大的市场前景。

IBM X-Force 研究人员发现，2016 年勒索软件垃圾邮件增长率高达6000%（2015年为0.6%，2016则达到了40%）, 2017年这种情况正进一步恶化；FBI（联邦调查局）和国际执法部门一直在就这一威胁发出警报，截至2016年底，勒索软件已为网络罪犯创造了10亿美元收入。

勒索软件诞生于1988年，但是一直到2014年之后，随着比特币等加密数字货币在全球的广泛使用，这类业务才有了令人侧目的增长。因为有相当一部分用户，愿意支付赎金来换回他们的数据。

根据IBM X-Force的调查数据，有70％受到勒索软件影响的企业向网络犯罪分子支付了赎金，以便重新获得对业务数据和系统的访问权。在交付赎金的这些企业中，有超过一半支付了10,000美元以上，更有20％的企业支付了超过40,000美元。

碎片化的防御=没有防御

如果用一句话来形容这次WannaCry病毒攻防战的始末，应该是“敌人做得不好，我们更差。”WannaCry的疯狂传播暴露了众多企业或机构的一个重要问题，那就是碎片化的企业安全环境。

安全行业虽然发展了有几十年，但是在传统思路里一直是处于单板建设，终端安全只管终端，网络安全管网络。直到2012年左右，业界才开始认同安全体系的概念。Vincent Chen介绍说：“客户已经无法应付这种头痛医头、脚痛医脚的模式，必须要有一个整体的体系。”

IBM安全业务曾为80%的财富100强公司、全球75个最大的金融服务机构、前25个最大的银行中的22个银行、前50大保险机构中的40家提供服务。多年的经验积累，让IBM构建了一个免疫系统的安全体系。

IBM大中华区安全事业部技术总监张红卫女士指出，IBM的安全免疫系统类似于人的免疫系统的体系，不仅有防御能力，而且还有侦测能力。系统的核心包括监测产品QRadar、威胁情报系统X-Force,以及Watson等。

据了解，安全免疫系统相当于一个引擎，可以将系统内的各个产品形成一个集成的联动组织。譬如在面对WannaCry的威胁时，QRadar可以侦测到终端在短时间内有大量的文件被更新，这是感染勒索病毒的一个重要特征；这时候系统会立即发送一个指令到终端管理设备，终端管理设备就可以把这个ID杀掉，从而终止病毒的行为。

IBM安全免疫系统最大的不同，还在于利用认知技术来解决安全问题。Watson可以帮助进行信息搜索和安全分析，直接告诉安全分析员一个结论，告诉你最佳响应是什么，或者是这个时候应该怎么去做防御等等。以往人工分析员需要花几个小时甚至几天的时间来做的工作，如今Watson只需要半个小时甚至更短时间就可以完成，而且做得更好。

现实情况是，很多企业往往购买了不同的第三方厂家的安全产品，而且不可能重新替换。于是IBM把QRadar的API全部开放出来，让第三方的厂家可以利用API跟QRadar进行集成。

知易行难的四步走：打补丁、断网、监控、响应

面对很多未来的攻击事件，企业应该有什么样的应对方式？IBM的建议是分成四步走：

第一步：打补丁

对于企业而言，当发现安全漏洞和安全问题的时候，如果厂家已经发布了补丁，就要及时打上。打补丁简单有效，但却知易行难，企业需要借助机制或工具强推下去。

第二步：网络阻断

在具体的生产环境中，企业的有些设备可能来不及打补丁，譬如有些生产系统并不是随时想重启就能重启的，又或者有些设备已经非常老旧，导致可能缺乏一些补丁的推送工具，人工打补丁的工作量很大，所以效果和效率不佳。如果遇见这种情况，就应该从网络上进行阻断。IBM也推出了相关的产品Exchange，业界叫IPS（网络防御系统）。

第三步：监控

WannaCry勒索病毒入侵后有一个共同的行为特征，就是终端设备在短时间内会有大量文件更新的事件发生，大量文件会被加密。因此当QRadar监测到Windows日志里短时间内有大量的文件被更新，就是一个明显的预警信号。

第四步：响应

对于企业安全来说，响应是难度最大但也是最重要的。IBM Resilient响应系统为客户提供了一个响应平台，为客户制定最佳的响应机制。这项服务的提供者来自IBM的X-Force团队，其拥有全球500个安全专家。他们专门研究安全事件的攻击行为和特征，以及研究新的阻断技术、防御技术，并将这些技术运用到IBM的产品和服务里。

最后Vincent Chen指出，目前的企业安全还停留在监控、救火阶段，即应对过去已经发生的安全和情报威胁。但是在未来，借助认知安全，人们也许能够实现对安全威胁的预测，目前IBM已经在做这方面的研究和努力。