关于政企客户在勒索病毒防御的建议

Why
客户想要体验云服务的“省钱、省力、省心”。商企客户往往不考虑安全服务及产品，于是中了勒索病毒；政企客户由于自身安全意识和安全管理及运营能力等原因，又或者是建设前未考虑安全预算，于是近乎裸奔，中了勒索病毒，其往往可强压集成商将安全运营和管理能力通过商务手段来解决。恰好勒索病毒的黑色产业链通过传播勒索病毒来获取利益，可以说是依靠这两类人来生存，一类是为了省钱的商企客户，另一类是无安全意识（未考虑安全建设预算）/安全管理能力的政企客户。
市场分析（痛点）
（利益驱动型客户）上云痛点
客户预算充足，希望通过上云体验云服务带来的“省钱、省力、省心”，且由于友商的价格PK，客户经理往往迫于友商竞争压力，低价杀入，导致无安全预算成本。
（预算驱动型客户）上云痛点
客户预算不充足，希望通过上云体验云服务带来的“省钱、省力、省心”，客户只要求业务可以正常使用，还希望将所有运维及安全服务压力传递至云服务商。
（需求驱动型客户）上云痛点
客户预算充足，希望上云，但是同时对于服务质量、安全性要求较高。
How
注意事项：
1、安全运营及运维的精力分配应该是7分靠管理、3分靠技术的工作；
2、安全运营及运维中技术和管理的重要性为55开；
3、等保2.0已明确用户与云服务商之间的安全责任边界；
4、做好日常的快照，条件允许情况下做好数据备份（等保扣分项之一）；
5、不做100%安全承诺，既不符合技术规律也不符合商务规律；
6、部分应用软件和EDR等杀毒软件不兼容，可能无法使用本方案，此时需应用厂商能够提供相关系统安全的脚本等。
通过实测，目前推荐的“防勒索病毒”场景解决方案如下：
系统集成场景中的操作步骤
在客户二期工程/非完全新建项目，网络中可能存在已经正在运行的主机，这部分主机很可能已经被感染了蠕虫病毒，由于蠕虫病毒可利用SMB漏洞在本网段甚至跨网段传播(甚至很多政企客户的专网和互联网打通)，因此，为了防止病毒进一步扩散，风险控制，应做好如下基础的几步：
0、首先配置复杂的云主机的密码；
1、通过配置VPN来限制互联网访问，同时通过ACL网段访问控制做网络层的隔离处理，防止蠕虫病毒通过445端口在网段间传播。
2、通过漏洞扫描将相关可预知的高危风险漏洞补丁加固；
3、通过IPS（入侵防御系统）的分析，确保设备系统已升级至最新补丁，确定不会受蠕虫病毒感染，开放445端口。
4、通过wireshark对网络层进行抓包分析，确保445端口没有大量向外发包。
5、无主机感染+无漏洞影响=安全，此时开始进行勒索病毒加固，可以通过天融信、绿盟等厂商的EDR软件/诺亚勒索病毒系统软件等进行对应配置加固，并配合日常巡检等安全运营手段。
6、以上动作周期性进行，至少可以抵御绝大部分安全隐患。
云服务场景中的操作步骤
采用云服务的客户一般为首次上云或者已经上过云，由于云上的物理安全由云服务商负责，相关的租户网络隔离等方面，基本无需再次关注，为了防止病毒进一步扩散，风险控制，应做好如下基础的几步：
0、首先配置复杂的云主机的密码；
1、通过漏洞扫描将相关可预知的高危风险漏洞补丁加固；
2、通过天融信、绿盟等厂商的EDR软件/诺亚勒索病毒系统软件等进行对应配置加固，并配合日常巡检等安全运营手段；
3、以上动作周期性进行，至少可以抵御绝大部分安全隐患。
What
相比较业内传统的云服务商，当前的服务支撑力度为行业最有价值的考虑，不是单纯卖资源的角色，更多的是帮助客户提供一站式上云解决方案。“防勒索病毒”场景解决方案帮助政企支撑人员深入了解客户基础业务架构以及业务发展规划进行探索，上升到合作伙伴的角色，不再简单的提供云主机，而是更深入帮助客户进行架构设计&产品选型&未来业务规划，不再是卖资源，而是传递价值，将更有价值的产品和解决方案传递给客户。