據(jù)報道，擁有158年歷史的英國運輸公司 KNP Logistics，在被臭名昭著的Akira組織實施勒索病毒攻擊后倒閉，導致700人失業(yè)和全部數(shù)據(jù)丟失。宣布關閉業(yè)務。

1.KNP遭受攻擊，勒索500萬英鎊

KNP Logistics 以 Knights of Old 為品牌運營，旗下約有 500 輛卡車。此次事件中，攻擊者猜到員工弱密碼侵入內(nèi)部網(wǎng)絡，加密敏感業(yè)務數(shù)據(jù)，直接導致公司陷入癱瘓。

公司董事保羅·阿博特 （Paul Abbott）承認，弱密碼是事件的核心，。攻擊者一進入內(nèi)網(wǎng)就部署勒索軟件，對所有數(shù)據(jù)進行加密，并發(fā)出了贖金要求。

雖然贖金金額沒有具體說明，但網(wǎng)絡安全專家估計贖金金額可能約為 500 萬英鎊。KNP 無法滿足需求，遭受了不可逆轉(zhuǎn)的損失，導致其關閉。

2.KNP 明顯缺少體系化的安全措施

從公開報道來分析，KNP 可能在安全方面有以下四點不足。

第一是備份數(shù)據(jù)也被攻擊者加密。像這樣規(guī)模的公司，基本的備份應該是有的。但是明顯備份沒有采取足夠的隔離措施，也沒有離線備份。被攻擊者進入內(nèi)網(wǎng)以后，直接將備份數(shù)據(jù)加密，導致被勒索以后，無法恢復數(shù)據(jù)。應對勒索病毒的底線就是備份，要周期性體系化的備份，對備份的網(wǎng)絡、權(quán)限還需要有相應的隔離措施，重要的數(shù)據(jù)必須有離線備份。

第二是內(nèi)網(wǎng)的隔離和權(quán)限管理不夠。不同應用系統(tǒng)之間應該根據(jù)最小化權(quán)限做相應的隔離。這樣當攻擊者攻入以后，最多只會造成部分破壞，不會造成全局的損失。

第三是缺少告警響應機制。如果告警機制比較完善，攻擊者攻擊的時候會有告警，攻擊者進入內(nèi)網(wǎng)以后會有告警，攻擊者加密第一個系統(tǒng)執(zhí)行異常命令的時候也會有告警。很顯然，這家公司雖然有158年歷史，但是IT系統(tǒng)的安全措施很不到位，沒有基本的安全措施，也沒有告警響應機制。攻擊是7x24小時的，防守也必須是7x24。

第四是缺乏對員工安全意識的培訓。從事件推測來看，該企業(yè)員工大概率存在兩種情況，一是使用弱密碼，二是在多個系統(tǒng)使用同樣密碼。如果員工有足夠的安全意識培訓，使用足夠強的密碼，重要系統(tǒng)使用不同密碼，定期更換密碼是常識。另外一方面，從企業(yè)IT管理上來看，重要系統(tǒng)強制使用復雜密碼，并且定期更換，也是基本的安全措施。

以上四點，說起來很簡單，但是要落地很難，尤其是一些中小企業(yè)。因為都是要花大力氣去細化。Akira組織就是抓住了中小企業(yè)這種情況，專門針對中小企業(yè)攻擊，屢屢得手。根據(jù)英國廣播公司（BBC）報道稱，近幾個月來，包括瑪莎百貨公司 （Marks & Spencer）、合作社（Co-op）和哈羅德百貨公司（Harrods）在內(nèi)的主要零售商都遭到了攻擊。

企業(yè)如何應對類似挑戰(zhàn)

國內(nèi)情況也一樣，企業(yè)因為各種原因中勒索病毒而遭受損失的情況時有耳聞，應該如何應對？需要體系化的防護措施。

首先，對人方面，要加強安全意識培訓，讓人從被攻擊被釣魚的對象，變成企業(yè)安全的第一道防線。

第二，是制度上進行完善。通過制度控制權(quán)限，建立必要的防火墻。

第三，是采用必要的技術措施。比如防火墻、流量分析、殺毒軟件等。

第四，是需要有及時的告警處置機制，當攻擊剛開始的時候，就能夠迅速采取反制措施。把攻擊扼殺到萌芽階段。