“魔窟”勒索软件肆虐后第二周 我们还需要自省哪些

最新推荐文章于 2025-09-10 13:02:12 发布
转载 最新推荐文章于 2025-09-10 13:02:12 发布 · 105 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/136951
文章标签:

#操作系统

IBM研究表明,面对勒索软件攻击,仅41%个人用户采取了防护措施,而遭受攻击的企业中70%选择了支付赎金。企业高管普遍认为,财务、客户和销售记录的丢失造成的损失远超赎金成本。

距离5.12,全球性勒索蠕虫WannaCry(魔窟)攻击的大规模爆发已经过去了近两周时间。中国大陆虽然也罕见地成为了这起全球性网络攻击事件的重灾区,但本土安全厂商对此次安全事件的响应表现,小到厂商的每个客户,大到某个行业,以及和国家相关部门的配合,都是可圈可点的。

同时,作为一起造成全球范围恶劣影响的勒索攻击事件(注:微软甚至因此次攻击而在5.13发布了针对Windows XP、Server 2003等老旧操作系统的追加安全补丁),还有诸如IBM等拥有更广阔视野的国际IT/安全厂商,他们对勒索攻击的认识和防范思路也同样值得我们思考和借鉴。

超过半数个人用户未做针对性防护 近4成遭遇勒索企业支付超过1万美元赎金

时间回拨到半年前。2016年12月IBM X-Force团队发布了一份关于个人和企业如何透过勒索攻击看待数据价值的报告,十分具有预见性。

目前企业和个人对勒索攻击的认知和有效防护手段及意识的缺失,是造成近两年勒索攻击事件几乎成井喷式爆发的主要原因之一。

通过对1千余名美国居民的调研,IBM发现,仅有41%的个人用户采取了针对勒索软件的保护措施,而超过1/3遭受勒索攻击的个人最终会选择以支付赎金的形式换回对数据的正常访问权限(虽然FBI并不鼓励这种行为),而典型针对个人用户的赎金金额一般会介于200到10,000美元之间,但是有一半以上的人表示即使是财务数据也最多支付100美元用于数据找回。

而企业侧遭受勒索攻击的情况则与个人大相径庭。

勒索攻击往往通过对公司服务器和关键数据和备份的加密/公开,并以此要挟勒索赎金,而这些行为会对企业业务的正常运营造成严重的负面影响。

据IBM统计(调查对象覆盖大/中/小不同规模企业的各200名高管),近半数企业高管曾经历过勒索攻击,其中选择付费找回数据的高管占7成。

在金额方面,近半数选择支付的企业支付了超过1万美元的赎金,而这其中支付赎金超过4万美元的企业约占4成。甚至部分高管还曾向黑客表示愿意支付更多费用,以获取对企业IT资产修复和保护的建议。

IBM还发现,企业高管最终是否会选择支付赎金以及支付数额,直接取决于被加密数据类型以及企业规模。

尽管不同行业企业对数据的风险偏好不尽相同,但总体上来看,虽然差别不明显,但财务、客户和销售记录是企业选择支付赎金的强大驱动力,企业邮件系统/服务器、知识产权数据、人力资源档案等则要次之。有意思的是,商业及研发计划、源代码等数据却排到了末位。

而在企业规模上,无论是对于财务还是销售记录,愿意支付高额赎金(超过5万美元)的大型企业占比几乎是中/小型企业占比总和的2倍。

应对勒索攻击 更成熟的安全能力建设是关键

针对勒索攻击,无论是从执法部门打击网络犯罪还是企业高管挽回业务损失的角度,也无关具体勒索金额,支付赎金都不是上策。此次WannaCry勒索攻击的爆发,无疑再次给企业敲响了加强内部安全能力建设的警钟。

当然,选择具有更加及时、全面响应能力的安全厂商在应急响应中显得至关重要。但除此以外,企业安全建设成熟度和运营能力也亟待提高。

IBM给出的企业安全能力建设最佳实践模型

还是以WannaCry为例:

在攻击爆发前不到两个月的时间,微软已经推送了相应安全补丁,企业的漏洞管理平台未能及时对企业现有资产进行漏洞扫描、告警管理员并实现各终端的补丁下发,这体现了企业安全建设中“预防”能力的不足;攻击爆发后,各企业安全或IT部门的无法快速根据攻击事件相关的威胁情报修改企业防火墙、IPS等安全产品规则和策略配置,并快速对企业内部资产自检,隔离受感染终端,而是没有响应流程可依据,不知所措地等待供应商能第一时间来现场帮助解决问题,虽然确实国内很多安全厂商做到了这一点,但是远水解不了近渴,这是“响应”能力的缺失;在攻击事件不断蔓延,企业正遭受勒索蠕虫入侵时,短时间内加密大量文件、或者大量对某些不常用端口访问等异常行为没有持续性监测,并即使与外部情报实现关联分析确定攻击的发生,是“监测”能力的不足;拓展到传统的安全之外,对数据和系统的容灾备份和灾难恢复能力准备的不充分,没有持续的业务连续性规划,是“恢复”能力的空白。
除此以外,上文所涉及的报告还提及了应加强员工对勒索攻击等安全事件的认知和安全防范意识的教育,包括邮件宏附件禁用、安全浏览站点等。

这些都是降低企业所面临的勒索风险,以及将来安全能力建设的方向。

Tips

特别在漏洞管理&补丁分发、网络层阻断、监测和响应这四个点,IBM给出了以下安全能力建设建议:

  1. 漏洞管理&补丁分发

确保安全管理员不受位置和网络带宽限制地发现所有终端在安全漏洞方面的状况,并将补丁开发自动化。同时,因为补丁的修复可以大幅减少企业的攻击面,所以需要闭环确认补丁安装是否成功,并把以上工作通过内部规定等形式常态化。

  1. 网络层阻断

确保IP信誉库、URL过滤库、签名、固件的随时更新,以实现对恶意站点接入的自动阻断。

  1. 监测

对与安全分析相关的日志、网络流和用户行为数据进行关联分析;确保监测的实时性和持续性;使用云端的恶意软件分析服务可以更快速的对威胁进行识别;利用认知技术实现更快速有深度的决策辅助。

  1. 响应

提前做好事件响应计划并测试,确保响应流程的一致性、容易重定义和合规,注重流程的编排和自动化,遇到棘手情况要果断求助专家服务。

本文转自d1net(转载)

[系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及蠕虫解析
杨秀璋的专栏
03-01 9218
作者前文采用Github资源实现永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
热门推荐
杨秀璋的专栏
05-05 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文章对您有所帮助~
Dirty COW漏洞原理与简单利用
Ray的博客
05-20 1万+
我将分为3个部分进行介绍,包括:漏洞的概述,漏洞的成因以及漏洞的利用。 首先是漏洞概述: Dirty COW漏洞是一种发生在写时复制的竞态条件漏洞,它影响所有基于Linux的操作系统,包括Android,这个漏洞2007年起就存在于Linux内核中,直到2016年才被发现和修复。可以利用这个漏洞修改受保护的文件,也可以利用这个漏洞提权。 Dirty COW漏洞是发生在写时复制的竞态条件漏洞,我们先看看什么是竞态条件和写时复制。 竞态条件是指一个系统或者进程的输出依赖于不受控制的事件出现顺序或者出现时
魔窟(WannaCry)病毒简单分析
weixin_43781139的博客
02-02 727
样本基本信息 云沙箱跑一下 很明显是个病毒 样本逆向分析 拖进ida 1、sub_401225 我们注意到,DisplayName是没有声明的,也就是说它是一个全局变量。我们看一下在其他地方的调用(x) 第一个: 这里是把DisplayName变成宽字节,并写入到widecharstr中 第二处 开启一个服务然后关掉,如果没有DisplayName这个程序先运行在开服务 接下来我们进401225看看 所以此函数的作用是给传过来的参...
第二册——永恒之地.天雷降世(第二章)
2401_86692193的博客
03-22 446
第十六章:小棉花的危机​ 小纷队在一次与反纷队的激烈交锋后,虽然成功挫败了对方的阴谋,但小棉花却不幸身受重伤。回到基地后,小棉花的病情愈发严重,她的脸色苍白如纸,身体虚弱得几乎无法动弹。小吴、北斗、星凌和白夜猫围在小棉花的床边,满脸焦急。​ “小棉花的伤势太重了,我们现有的魔法和科技手段都无法完全治愈她。” 北斗看着手中的医疗检测仪器,眉头紧锁,声音中充满了担忧。​ “难道就没有别的办法了吗?” 星凌眼眶泛红,焦急地问道。​ 白夜猫蹲在床边,用爪子轻轻握住小棉花的手,他的眼神中透露出坚定与决然:“我知道有一
WannaCry 勒索蠕虫攻击并发现新变种
weixin_34115824的博客
05-15 92
2019独角兽企业重金招聘Python工程师标准>>> ...
相应魔窟
weixin_44289339的博客
09-24 170
<html> <head> <meta charset="utf-8" /> <title></title> <script type="text/javascript"> window.onload = function(){ var u1 = document.getEleme...
[系统安全] 二十五.WannaCry勒索病毒分析 (1)Python复现永恒之蓝漏洞实现勒索加密
杨秀璋的专栏
02-27 1万+
作者前文介绍了逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。这篇文章将分享新知识,最近WannaRen勒索软件爆发(下图是安天的分析攻击流程),其名称和功能与WannaCry相似,所以接下来作者将连续分享WannaCry勒索病毒的复现及分析,第一篇文章将采用Github资源实现永恒之蓝漏洞利用及Windows7系统文件加密。希望这系列文章对您有所帮助,漫漫长征路,偏向虎山行。享受过程,一起加油~
[系统安全] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制解析及IDA和OD逆向
杨秀璋的专栏
03-06 6907
前文分享了MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒,复现了WannaCry勒索病毒。这篇文章作者将继续分析WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。同时,由于作者技术真的菜,只能叙述自己摸索的过程,如果存在错误或不足之处,还望告知。希望这篇基础性文章对您有所帮助~
初中语文文摘历史魔窟里的护士小姐
09-09
在纳粹设立的集中营内,被称作“魔窟”的地方,黑暗与死亡的气息弥漫。艾琳娜·森德勒,一个普通的波兰女护士,凭借着对生命的尊重和对无辜者的同情,选择了一个充满危险的道路。她假扮身份,潜入集中营,用她的行动...
Linux权限
最新发布
Wangshijie1015的博客
09-10 584
所以就出现了所属者这个角色,有了所属者之后,如果李四说他想看这个文件,那你就将李四添加为该文件的所属者,并赋予所属者所需的权限,这样除了拥有者和所属者有所需权限,经由李四分享给其他人后,他们都是other,没有所需权限就无法对文件进行所需操作了。原因就是在Centos下,文件在确定用户角色的时候,确认的顺序是按拥有者,所属者,other这个顺序进行确认的,这里确定了wsj是拥有者的角色,那其权限就是---,一旦角色确认下来后,权限也就确定下来了,不会因为权限被拒绝后再去确认用户是不是其他角色。
打印机已联网,但打印机显示“未连接”,解决方案
qq_40230540的博客
09-08 385
在弹出来的窗口中,选择 “Standard TCP/IP Port”,然后点击 “新端口” (New Port…在 “打印机名或IP地址” 栏中,输入您刚才从打印机配置页上找到的IP地址(例如192.168.1.105)。找到您的打印机图标,右键点击它,选择 “打印机属性” (注意不是单纯的“属性”)。打印机已联网,电脑未正确指向打印机的IP地址,也会显示“未连接”,查看方式改为“大图标”或“小图标”,找到并点击 “设备和打印机”。如果无法重启,可以先选择 “停止”,等待几秒后,再选择 “启动”。
【Linux游记】基础指令篇
枫の大一分享
09-05 1196
摘要:本文介绍了Linux编程环境中的核心工具链,包括软件包管理(yum/apt)、Vim编辑器使用技巧、gcc/g++编译过程(预处理/编译/汇编/链接)、Makefile自动化构建、进度条程序实现及Git版本控制。重点讲解了yum软件包管理器的安装/卸载操作、vim三种模式切换方法、动态/静态链接区别,并提供了进度条示例代码和Makefile编写规范。文章采用轻松幽默的语言风格,旨在帮助初学者系统掌握Linux开发基础工具的使用方法。(149字)
Linux笔记---进程间关系与守护进程
2302_80372340的博客
09-09 1029
操作系统中,是由,用于简化对多个关联进程的统一管理。它是 Unix/Linux 系统中进程组织的重要概念,主要为了方便信号传递、作业控制等操作。每个进程组由唯一的 进程组 ID(PGID) 标识。通常,进程组的创建者(称为 “组长进程”)的进程 ID(PID)会作为该进程组的 PGID(即 PGID = 组长进程的PID)。什么是有关联的进程呢?有父子关系的进程、通过管道相连的进程……这些在操作系统层面上有关联,需要相互协作的进程就叫有关联的进程。
内存踩坏、堆栈帧破坏与WinDbg调试:一场Windows底层的猎凶之旅
John_ToStr的博客
09-07 827
本文将从Windows的视角出发,深入剖析堆栈帧被破坏的底层原理,并手把手教你如何运用WinDbg这把利刃,像侦探一样层层剥茧,最终定位并解决这个让无数开发者头疼的难题。内存踩坏问题犹如程序世界的密室杀人案,现场(崩溃点)往往经过伪装。尤其是在崩溃时,Visual Studio 的调用堆栈窗口变成一片灰色,显示着"[帧可能缺失或不正确]",或者用WinDbg查看时,得到的是毫无意义的。+-----------------------+ <- RBP (Base Pointer) 稳定指向这里。
Linux内核源码获取与编译安装完整指南
zhaominyong的专栏
09-06 597
Linux内核源码获取与编译安装完整指南
Linux Mint下网卡的设置
文档搬运工
09-08 267
把15年旧的台式机,从Windows改造成了Linux Mint。发现USB无线网卡不能识别。在github上下载对应的网卡的驱动,make@make install后,问题依旧。使用lsusb命令查看,发现网卡是:Driver CDROM Mode。随后,将该命令绑定到UDEV , 使其开机后生效。使用以下命令,手工可以使得网卡生效。随后,开机后,网卡正常生效。需要拔掉再插上,才能识别。
2025年渗透测试面试题总结-60(题目+回答)
soc的博客
09-09 1071
安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
PVE纵览-9.0重磅升级:全面解析新特性与升级指南
DreamLife
09-09 582
PVE 9.0重磅升级:核心特性与升级指南 Proxmox VE 9.0正式发布,基于Debian 13和Linux 6.14内核,带来多项关键升级: 存储增强:支持厚置备LVM快照,优化SAN环境快照管理; SDN网络:新增软件定义网络功能,简化复杂网络配置; 高可用性:引入资源亲和性规则,优化工作负载分布; 移动端:重构管理界面,提升移动设备操作体验。 升级包含底层组件全面更新(QEMU 10.0.2、LXC 6.0.4等),建议新部署直接使用9.0版本,现有环境需评估升级风险。
powerdesign销售魔窟
03-25
<think>嗯,用户问的是PowerDesigner在销售管理系统中的数据建模教程,我需要结合提供的引用资料来回答。首先,用户提到的PowerDesigner和ERwin类似,都是数据建模工具,引用1里提到ERwin用于数据库结构和管理界面,所以可能PowerDesigner也有类似的功能。接下来,用户想知道如何用它来做销售管理系统的数据建模。 引用2里提到了数据仓库建模的阶段,比如ODS到DWD等分层规范,还有维度建模的理念。这可能和销售管理系统的模型设计相关,需要把业务过程分解成事实表和维度表。引用4指出事实表围绕业务过程,包含维度和度量,这应该是维度建模的核心。此外,引用5提到了一些数据概念,比如当事人、产品、事件等,这些可能在销售系统中作为维度。 用户可能需要具体的步骤,比如如何从需求分析到模型设计,再到生成SQL。我应该分步骤说明,并结合PowerDesigner的功能,比如创建概念模型、逻辑模型、物理模型,以及生成文档。还要注意分层规范和开发流程,引用2里的开发流程规范可能适用,比如需求分析、模型设计、ETL开发等。 可能用户对维度建模不太熟悉,需要简单解释事实表和维度表,并举例销售中的业务过程,比如订单处理。同时,要提到PowerDesigner的支持功能,比如逆向工程和团队协作,引用3虽然是一个课程资源链接,可能相关教程在那里,但不确定,所以暂时不直接引用。 最后,生成相关问题时要围绕工具使用、建模方法、销售系统特点、与ERwin对比,以及数据分层规范。确保问题能帮助用户深入学习和应用PowerDesigner在销售系统中的建模。</think>### PowerDesigner在销售管理系统中的数据建模应用 PowerDesigner是Sybase公司开发的企业级数据建模工具,与ERwin类似,支持从需求分析到物理模型设计的全流程管理[^1]。在销售管理系统中,它可以通过以下步骤实现数据建模: **1. 业务建模阶段** - 使用*业务流程模型(BPM)*描述销售管理中的核心业务场景,例如: - 客户开发流程(潜在客户→商机→订单) - 库存管理流程(采购→入库→出库→调拨) - 财务结算流程(发票→收款→对账) - 引用九大数据概念中的"关系人、合约、产品、事件"等要素构建业务实体关系[^5] **2. 概念模型设计** - 创建*概念数据模型(CDM)*,定义关键实体: $$Customer(\underline{CustomerID}, Name, Level, Address)$$ $$Order(\underline{OrderID}, OrderDate, TotalAmount, Status)$$ - 建立实体关系:`客户(1) -- 签订(n)订单` **3. 逻辑模型转换** - 将CDM转换为*逻辑数据模型(LDM)*,遵循维度建模理念[^4]: - **事实表**:`销售事实表(订单编号、客户ID、产品ID、销售时间、数量、金额)` - **维度表**:`时间维度(年、季度、月、日)`,`产品维度(品类、品牌、SKU)` **4. 物理模型生成** - 根据数据库类型(Oracle/MySQL等)生成物理模型 - 示例字段设计: ```sql CREATE TABLE dim_product ( product_id INT PRIMARY KEY, product_name VARCHAR(255), category_id INT, brand_id INT, unit_price DECIMAL(10,2) ); ``` **5. 文档生成与团队协作** - 自动生成数据字典和ER图 - 支持模型版本控制和差异对比,符合数据仓库开发流程规范[^2]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值