在这里，我们不谈技术，只聊管理。

事件回顾

北京时间5月12日晚，全球大面积爆发了一系列的勒索蠕虫感染事件。国内包括中石油、某医院、教育网用户在内的大量企事业单位中招。

此次勒索软件是一个名为“WannaCry”（“想哭”，这恐怕是大部分中毒者的内心真实写照）的新家族病毒，会加密电脑中的所有文件并向用户勒索比特币作为解密赎金。

后来经英国技术人员研究后，利用病毒开发者预留的控制方式（检测某域名是否存在）暂时遏制了病毒的传播。然而在5月14日，研究人员又截获了删除了控制方式的2.0版本病毒。

5月15日上午9时，新浪微博统计#比特币病毒#话题传播热度为96.63。连续三天成为热门话题。

下面以企业安全管理的角度，从三个方面聊聊这次国际化的病毒危机：补丁管理（预防）、事件响应（处置）、灾难恢复（善后）。

补丁管理

补丁管理是信息安全管理的预防阶段，通过完善的补丁管理过程可以预防绝大部分病毒侵扰和系统攻击。

本次的勒索者病毒使用的并非0day漏洞（即已被发现却未发布补丁的漏洞或骇客自己发现的漏洞）。相反，它利用的漏洞早在今年三月就由微软推出的补丁MS17-010修复过了。只要及时更新系统，完全可以避免出现如此大规模的病毒爆发。

系统厂商会经常性发布系统相关的补丁或系统升级，而并不是所有的补丁都适合用户的计算机。因此，部分用户，尤其是需要使用专用软件（如科研机构用的分析软件、医用软件、工控系统软件）的用户往往会选择禁用系统自动更新。

这就造成了巨大的安全隐患。

因此，作为企业的安全管理者，应时刻关注着系统厂商的补丁发布进展，在新补丁发布后，需进行两步操作。
（1）评估补丁
根据本公司计算机开启的业务内容，进行补丁评估。例如，微软发布了一个针对Telnet客户端功能的补丁，而整个公司计算机均未开启telnet相关服务，则没有必要安装此补丁。

（2）测试补丁
在确认某补丁需要安装后，安全管理人员应当在独立的计算机上进行补丁测试。根据公司业务情况，确定该补丁不会对公司业务需要的软件产生负面的影响，测试时需额外注意针对B\S结构下浏览器插件兼容性的测试。

在完成这两步后，就可以在公司范围内通过自动化部署的方式进行补丁部署，部署完成后应进行测试或审计。自动化部署软件及测试采用系统自带或第三方软件均可。

而对于小型企业或不需要使用专用软件的企业，则仅需要要求全员打开系统自动更新即可。不仅要从管理规章上规定，还需要通过检测软件定时进行系统评估。

事件响应

对于大型企业来说，防火墙等保护性防御体系往往仅建立在内网与广域网的边界，这就导致内网染毒的后果是致命的。针对这次勒索者病毒情况来说，具新闻报道中石油两万座加油站受到攻击，攻击范围波及全国数十个地市。业务中断达36小时。

完善的事件响应机制，可以有效的降低企业在受到攻击后的损失。

事件响应主要分以下步骤：

（1）检测

企业的安全管理人员应与企业普通用户之间建立直接的反馈渠道。当企业普通用户出现疑似计算机病毒事件后，应立刻与基层企业安全管理人员联系，沟通情况，由安全管理人员确定是否为安全事件。

（2）响应
在初步确定为安全事件后，安全管理人员需进行及时的响应，响应程度取决于事件的严重程度。

响应主要分为两个方面：技术上应尽快进行系统保护，如切断受感染计算机的网络、增强企业防火墙的保护等级等；行政上需根据事件的严重程度向上级安全管理者或安全管理部门汇报，再由高级管理者向整个企业基层安全管理员下发通知，进行预防措施。

（3）恢复
尽快对受影响系统进行修复、恢复或重建，争取将事件的影响程度降到最低。这阶段将在下文中详细叙述。

灾难恢复

灾难恢复是在企业业务连续性受到影响时开始的。当危机事件无法控制，企业业务连续性开始中断时，应立刻开始灾难恢复。

所有的灾难恢复都需要进行提前的准备工作，没有准备无法恢复。

这次勒索者病毒最大的受害者是未进行数据备份的用户，一个管理良好的企业应对其重要数据进行备份，不论是使用冗余磁盘阵列（RAID）还是租用第三方提供的企业云空间，都能有效的保护企业数据的完整性。

企业信息化管理集群中应当含有两个或两个以上的服务器，当其中一台服务器受到攻击时，企业可以通过故障转移的自动化过程通过其他服务器接收其负载，保证企业网络的容错功能。

针对不为存储数据而设立的终端来说，可以使用受信恢复的方式，即恢复程序能保证在系统发生故障或崩溃之后，还原到之前的状态。这种恢复可以选择手动恢复或者设置自动恢复。

结语

病毒攻击并没有那么可怕，整个信息系统安全的各个环节中，最脆弱的不是技术，而是人。

本文首发于微信公众号：听雨的安全屋 tysafehouse

欢迎大家关注，在这里，我们不说技术，只聊管理。