勒索软件≠病毒，Ivanti发布WannaCrypt免费补丁管理软件

本篇文章2025字，读完约5分钟

始于5月12日的“非典”爆发导致许多企业和机构在接下来的几天里陷入混乱。勒索软件的攻击遍及全球100多个国家，各行各业都受到不同程度的影响。医疗、电力、能源、银行、交通等企业网络被大规模感染，中国教育网络受损尤为严重。这次攻击导致一些教学系统和校园一卡通系统瘫痪。大多数幸存的国家都没有电脑和网络。

然而，细心的读者可能会发现，美国大陆这次没有受到太大影响。原因与美国企业和机构的一个好习惯有关，那就是他们勤于修补。相对而言，在成熟度较高的美国市场，企事业单位用户的安全意识更强，安全标准的执行更到位。

5月16日，ivanti发布了一个为期90天的免费补丁管理软件，帮助全球用户管理补丁和应对软件危机。在6月15日之前，任何组织都可以从伊凡提官方网站免费获得该工具，这不仅可以解决万纳克特及其变种带来的善后威胁，还可以保证未来的安全。作为缓冲，企业和组织将有时间考虑更全面的it安全管理系统。

认识到软件的本质，它看起来很正常

wannacrypt所做的是加密计算机中的所有文件，这是系统和防病毒软件的正常操作，不会触发任何系统或防病毒软件警报。相反，病毒通常带有明显的特征代码，如篡改程序、传染性和某一领域的异常。反病毒软件通过比较特征库来完成病毒警告和反病毒操作。

但是ransomware似乎是一段非常普通的代码，没有病毒软件的特征。对于计算机系统来说，它根本不需要自我保护。它能进入计算机的原因是使用端口445的后门，谁给了它后门的钥匙？每一个被招募的用户都有可能不小心点击了一个链接或图片，或者不小心下载了一个带有这个代码的游戏或视频，然后带领小偷进入房间，造成灾难。

因此，可以看出，反病毒软件不能杀死软件和各种其他类型的流氓软件。对于这些看似无侵略性的软件，采取预防措施比事后补救更重要。至少，锁上你家的门，不要轻易把钥匙送人。

不要把你的钥匙给小偷

伊凡提安全专家罗琦生动地介绍说，反病毒软件有时就像一名保安，但即使是最好的保安也无法阻止带钥匙进来的人。最好的解决办法是锁上大门，同时派保安巡逻，防止各种小偷。各种补丁不断强化大门上的薄弱环节，一旦出现，就会被修补。事实上，今年3月，微软发布了相应的系统补丁，但从全球灾难情况来看，仍有大量用户不知道这个补丁的存在，更不用说安装了。

尽管中国的许多企业级用户都有隔离内部网络和外部网络的做法，但不允许任何设备在内部网络中登录互联网。然而，在新时代的互联网架构中，总会有一些不能完全隔离的内部网设备。一旦这一薄弱环节遭到破坏，整个被忽视的内部网将落入一个大的区域，成为受打击最严重的区域。绝对安全不存在，企事业单位需要新一代的安全管理理念和体系。

目前，每个人都把防火墙+杀毒软件作为安全管理的标准，这显然是远远不够的。既然没有小偷的世界是不可能的，它至少可以加强自身的防范，并在管理层面遏制各种安全风险。如今，流氓软件，如软件，变得越来越智能。他们使用各种各样的钓鱼方法让用户主动上钩。反过来，我们要做的是使用安全管理系统来帮助最终用户抵制各种诱惑，而不是把自己家的钥匙交给小偷；同时，经常修补和加固墙壁和大门。

伊凡提的9个措施和3件魔法武器

伊凡提提出了防止盗版的九条对策:

1.为关键操作系统和应用程序安装补丁；

2.确保反病毒软件更新到最新版本，并计划定期扫描；

3.管理特权账户的使用；

4.实施以数据为中心的访问控制；

5.制定、实施和执行软件规则；

6.禁用microsoft office文件中的宏指令；

7.实施应用程序白名单；

8.将用户限制在虚拟化或集装箱化的环境中；

9.经常备份关键文件。

当然，这些事情不需要所有企业用户手动完成，但是可以得到高级工具的帮助。为此，罗绮介绍了伊凡提的三种用于赎金的法宝:

Ivanti端点安全为传输软件提供多层保护

其2016.3版的新功能可以自动检测具有加密功能的主机行为，并自动停止非法勒索加密行为。其2017.1版可以立即隔离遇到安全风险的主机；您还可以检测未修补的浏览器，并限制对预先批准的网站的访问；同时，它可以防范无文件攻击的最新趋势，新的文件保护规则可以减轻脚本和无文件攻击。

Ivanti应用程序管理器提供白名单功能

Ivanti应用程序管理器的白名单功能只将企业知道并信任的进程和应用程序添加到白名单中，所有形式的恶意软件(甚至零日攻击)都被排除在外；其权限控制功能允许最终用户以非管理员身份运行，而不会影响工作效率，并限制了由软件和恶意软件对终端造成的可能损害。白名单可以阻止各种恶意软件，无论是在传统的it架构还是虚拟环境下。

Shavlik紧急补丁技术

shavlik提供的无客户端补丁发现和修复技术可以轻松修复几乎所有windows环境中的补丁。它可以发现任何主机，查看其漏洞扫描状态并进行修复，最后查看修复结果。特别是被攻击的主机不能下载补丁并自我修复，所以可以使用shavlik远程修复。