勒索病毒与一起命案相距多远？

疫情之下，被“带火”的医疗网络攻击仍在继续并再次刷新破坏纪录。

近日，为全球制药公司提供临床试验（包括COVID-19疫苗试验）工具的美国医疗软件公司ERT（eResearchTechnology）被曝遭受勒索软件攻击，对包括美国知名制药公司昆泰、施贵宝及阿斯利康等在内的多个新冠疫苗研究项目造成潜在威胁。

据外媒报道，受长达两周的勒索攻击影响，ERT客户的研究人员被迫改用“纸+笔”的原始做法继续跟踪患者数据，从而导致COVID-19新冠疫苗的临床测试放缓，或将延误新冠疫苗的研制进程。据ERT市场营销副总裁Drew Bustos称，公司正在全力恢复系统正常运行，安全威胁已“得到控制”。

值得注意的是，虽然ERT系统已处恢复模式，但并未披露勒索攻击软件与受影响用户数量和类别等威胁确切信息数据，这意味着该勒索软件对医疗系统的安全威胁或仍会出现。

新“攻击”之下 需要被重新审视的安全危机
 
随着疫情的发展，如此针对相关医疗机构系统的网络攻击事件已非个案，并大有规模化“跑火”的演进趋势。而从由之带来的连锁影响上看，也不再仅限于数据丢失、财产损益，而是向间接引发公众生命安全危机“延伸”。

9月10日，德国杜塞尔多夫大学医院遭受到了勒索软件攻击，并经由商业软件漏洞感染30多台内部服务器。受IT系统逐步中断、崩溃，关键入院和病人记录系统被离线的影响，医院无法接收急需治疗的患者，导致其因被迫转移至32公里外的另一家医院而错过最佳抢救时间不幸身亡，成为人类史上首例因勒索病毒攻击致死的“医疗事故”。而这一“勒索攻击”也由此升级为“谋杀案”。

事实上，遭遇预想不到连锁安全危机的并不只医疗机构。IT系统与产业架构及客户黏连度的关联牵制，重新定义了“安全危机”的范畴。早先，黑客袭击造成的龙卷风警报异响和30余个错误警报的触发，迫使美国两个德克萨斯州城市局不得不在会有风暴和龙卷风袭击的情况下关闭了紧急警报系统。这一事件的发生使得当地局面陷入“灾难未知”的恐慌与不安，由之带来的负面影响也从虚拟网络空间延展到了物理世界。

而诸如近日披露的微软旗下搜索引擎Bing高达6.5TB+的移动应用程序数据被公开泄露等大规模数据泄露事件的频发，更是让企业和用户因电子邮件地址、身份信息、支付密码等各类个人可识别信息的暴露，陷入恶意攻击者带来的信息、财产甚至是人身安全威胁。

大量事实证明，相比以往，新“攻击”下的网络安全威胁已跳脱某一领域局限，而呈现出多领域渗透、多元手段切入的新特点。而在这个过程中，因数字化系统关联度所带来的连锁故障反应范围也逐步扩大，且不确定性更加明显。

新“攻击”事件往往能够通过对虚拟数据和系统的攻击，扩大对被攻击对象的牵制与影响，在造成信息、财产、信誉等损失之外，也会公众人身甚至生命安全带来不可逆转的威胁。面对更易引发的“雪崩效应”，安全威胁所带来的间接效应以及聚焦“如何应对”的安全思维都亟需重新审视。

新旧威胁“组团”来袭  “被动应对”已成“过去式”
 
尽管触发新攻击连锁反应的具体原因各有不同，所造成影响的确定性和危害程度也无法一概而论。但通过对诸多事件的细节分析可知，产业上云和各行业数字化速度与仅聚焦于“被动应对”安全体系之间的差距，是加剧攻击事件危害程度和破坏力的重要因素。

伴随着企业持续上云进程的深入，传统勒索病毒、挖矿木马、高危漏洞、信息泄露等和云上影子IT风险、云安全配置管理、自动化响应机制等新旧安全威胁向云端的“组团扩张”，使得身处云环境下的企业面临更为严峻、复杂的安全局势。腾讯安全的情报数据显示，云资源作为攻击源的比例已占国内所有攻击源的45.55%，约2/3的网络DDoS攻击事件都以云平台IP作为攻击目标；一旦发生安全事件，给企业带来损失或将是致命性的。 然而，受黑灰产探测利用和攻击技术的“进化”以及公有云高度开放的“天然基因”等的双重作用，相较于破坏力持续增大的云安全威胁来说，传统被动、静态、单点、粗放和孤立的的企业安全体系显然已无法承载对云上安全威胁的高效感知和攻防需求。

在2020腾讯全球数字生态大会“未来经济峰会”上，腾讯副总裁丁珂就指出，面对大多数企业云安全体系与成倍增加的安全威胁之间的差距，在生产流程中把安全前置，是减少云端安全攻击面、降低安全连锁危害覆盖面的关键路径。也就是说，相比“如何应对”，“未攻先防”的安全思路在云安全领域显得更为有效。

站位“安全前置” 构筑安全运营新体系

刨除攻击方手段精进等外部因素来看，本次勒索软件攻击事件影响之大，很大程度上也归因于ERT公司在业务系统威胁感知、检测和响应等安全方面预防策略的缺失。

面对更加弹性的云环境和成倍增加的安全告警，腾讯安全高级工程师耿琛曾表示：“想要安全地运营云，就要以云原生为中心，结合安全左移、数据驱动、自动化三个基本点来构建新的云安全体系”。其中，以事前感知安全威胁和配置风险检查能力为核心的安全前置可以说对企业夯实安全攻防“最前线”至关重要。

为更好地帮助数字化转型企业做好安全前置部署，腾讯安全结合多年黑产对抗经验和云环境下的网络安全需求，全面开放威胁情报中心及安全运营中心能力，作为企业应对新安全挑战的重要支撑。

一方面，通过威胁情报中心，实现对高危病毒和APT攻击的识别、风险的预估评测、未知威胁防御以及攻击溯源分析，一定程度上赋予企业“未攻先防”先机策略，为其攻防第一关卡布下坚固防线；另一方面，则借助腾讯安全运营中心的能力，简单明了地帮助搭建从事前全预防、事中威胁检测到事后响应处置的全生命周期防护部署，并实现云上安全态势的可视可感知。

具体到勒索病毒这类依然高频发生的威胁，应对从数据及信息资产损失到研究延误乃至人员伤亡的超越一个级别危害等级的提升，安全威胁感知前置与响应预防显然是“最优解法”。企业可以通过腾讯安全总结的“三不三要”思路从源头上斩断勒索病毒的攻击危害。

    不上钩：标题吸引人的未知邮件不要点开
    不打开：不随便打开电子邮件附件
    不点击：不随意点击电子邮件中附带网址
    要备份：重要资料要备份            
    要确认：开启电子邮件前确认发件人可信
    要更新：系统补丁/安全软件病毒库保持实时更新

安全性是云计算出现以来面临的最大挑战，也是产业数字化发展的底座。针对企业云安全运营体系自行搭建门槛高、成本大、适配更新难等现状，借助安全厂商及其产品的安全能力成为企业搭建云上安全运营新体系的高效之选。事实证明，这种安全协作思路能够快速提升企业安全运营安全值，助力构建更具场景和环境适配的安全防护体系。