勒索病毒攻击近年十分常见，危害极大。

SamSam作为最为活跃的勒索病毒之一，也算是臭名昭著，自其诞生以来，以专注于攻击大型组织为己任，最开始活跃在北美地区。在2016年曾有过一次爆发，主要攻击对象为医疗机构。在2018年，又干了几票大买卖，把主意打到了地方政府的头上。

• 2018年2月，科罗拉多州交通部因遭遇SamSam勒索软件攻击而宣布进入紧急状态，并要求国民警卫队的网络团队提供支持。
• 2018年3月，亚特兰大被SamSam勒索病毒攻击，赎金为5.2万美元，修复费用花费达260万美元。

勒索病毒，来势汹汹，而对它的引爆可能就在一瞬间，可能是一个员工受到钓鱼攻击，点击了携带勒索病毒的恶意链接，导致了某台终端被锁定，之后病毒便由此开始迅速扩散到连接的其他设备。

当下，很多组织的安全解决方案还是强调在对外围的保护，试图在入口监测和阻止威胁，而缺乏对内部的监测，一旦攻击绕过了外围的保护进入内部，便如进入无人之境。这种情况下，若能提升对内部的“能见度”，做到实时的感知，及时发现可疑行为，立刻定位到受影响的端点，便可将损失降到最小化。

实现对内部的有效监测，安全运营中心仍是目前的最佳实践，目前国内不少组织已完成安全运营中心的建设，用户的反馈也褒贬不一。尤其在安全运营中心投入使用后，带来的巨大工作量使用户不堪重负。因此，实现真正的安全运营中心自动化，即融合智能日志泛式化，日志源有效性管理，对应规则触发的管理等技术的智能化安全运营平台，势在必行。

正如华青融天安全运营平台负责人易歆所说，“安全运营中心的定位应该是：简单、专业、专注，不能让用户在平台上投入过多的精力”。

此外，勒索病毒还具备一大特征即不断有新的变种出现，让企业更加难以防范，仍以SamSam病毒来说，目前已知就存在SamSa, Samas, samsam等多个变种。

那么面对如此繁复的病毒变种，企业应该如何做到防范加固呢？

1. 企业应该采用专业的安全运营产品，做到对应病毒特殊化属性分析、识别、态势封锁、事件回溯等一系列定制化举措。例如，华青融天的安全运营中心产品EzAccur综合利用针对病毒的特征回溯分析，通过对其感染特征的识别，形成事件链，可快速完成影响性分析，使勒索病毒无所遁形。

2. 除了借助技术的力量防范勒索病毒外，企业的安全文化也是十分重要。目前，勒索病毒主要依靠邮件、程序木马、恶意网页、漏洞进行传播。通过提升内部员工对于病毒防范的意识，避免点击、使用不明来历的链接、程序，及时的更新安装系统补丁，亦可有效加强对勒索病毒攻击的防范。

作者：华青融天安全运营中心