勒索软件应对新思路：以人为中心

回顾2024年，勒索软件攻击仍然是全球企业面临的一个持续而严峻的网络威胁，其复杂程度和经济影响不断上升。随着企业越来越依赖第三方供应商和运营复杂的数字供应链，勒索软件的攻击面仍在扩大。据Sophos发布的一份报告显示：2024年，企业遭受勒索软件后的平均恢复成本高达273万美元，比前一年增加了近100万美元。除了直接的财务成本，企业平均会经历21天的停机时间，严重影响生产力和业务连续性。尽管勒索软件愈演愈烈，但通过正确的知识和行动，践行“以人为中心”的思路，充分为员工赋能，鼓励和认可每位员工积极的安全行为，大多数勒索软件事件实际上是可以避免或减轻的。

知己知彼，百战不殆

关于防范勒索软件的安全技术措施，市面上已经有不少解决方案或服务，本文重点关注：人的因素（具有一定脆弱性、复杂性和不确定性）。勒索软件攻击之所以成功的一个重要原因是：网络犯罪分子了解和善于利用人性弱点。虽然不同勒索软件的攻击策略和机制有所不同，并会随着时间推移而演变，但从根本上，大多数勒索软件是通过利用员工安全意识薄弱或行为模式上的漏洞而成功突破防线的。例如：最常见的勒索病毒传播与入侵方式是通过钓鱼邮件，犯罪分子诱导用户点击链接或下载附件。用户之所以点击邮件，是受犯罪分子情绪操控（如：使目标用户感到压力、恐惧、贪婪、紧迫感或顺从权威等等），短时造成“大脑短路”，关闭或绕过了理性判断，从而不知不觉中做出了错误的安全决策。

“以人为中心”应对勒索软件，首先意味着观念上的变革。长期以来，“人是网络安全链条中最薄弱的一环”这一论断被误导性宣传和理解，其反噬效应早已凸显。国际上安全圈儿也早有声音反对这一过时的宣传，会阻碍业内和业外对网络安全中“人的因素”的深入思考。首先，这一描述有推卸责任以及贩卖焦虑之嫌，点名或怪罪到人(员工)头上是于事无补的。另外，它是将员工默认为一个“弱者或受害者”的形象，一个“不被信任”的角色，这样一种身份定位并不利于组织安全文化建设，员工的信念、态度、行为也会受到负面影响，会更加理所当然地推卸安全责任或不作为。当人们被认同、被肯定、被信赖时，会变成一个好人。而当人们被不断检验、质疑或否定时，他就会用犯错来证明你的检验确实是有必要的。由此，安全团队想要与全体员工形成“统一战线，联防联控”对抗勒索软件攻击的策略，也就沦为了空谈。应对勒索软件，在技术解决方案上没有“万能药”，安全团队需要依靠全体员工的力量，发动广大员工与其并肩作战，强调并认可员工在应对勒索中的重要作用和价值。

实际上，安全团队对员工及人性的错误认知才导致了“最薄弱一环”的产生。重要的是对员工有同理心，了解不同岗位员工的行为模式，理解他们为什么绕过安全管控措施或沦为易受攻击目标的根本原因。更重要的是尊重人性、顺应人性，与员工形成合作共赢，全力为员工赋能，提供好用的安全工具、易于理解和执行的安全制度、引人入胜的安全宣贯与培训等等，员工也可以成为一道“最强大的防线”。另外，对于员工的无心之过或初次违规且影响不大的事件，应有一定的包容度。创建开放沟通的环境，允许员工畅所欲言地质疑、表达不满或提出建议。而对于表现优秀的员工，要及时给予物质上和/或精神上的认可与激励。

巧用“认知偏差”影响行为

创建并让员工记住一份防勒索“四不要”小贴士，要比要求员工每次在遇到勒索邮件或潜在威胁时都在瞬间做出正确的安全决策，要容易得多，特别是在压力、恐惧或时间紧迫的情境下。

例如：在向员工传播防范勒索攻击最佳实践知识时，可以考虑以下小贴士：

• 千万不要直接打开邮件中的任何链接或附件

• 千万不要与不明邮件产生任何互动(点击、下载、回复或扫码等)

• 千万不要通过邮件随意提供任何公司或个人敏感信息

• 千万不要按不明邮件中的要求贸然采取行

• 。。。。。。。。。

  

巧妙利用心理学中的“可得性偏差”（即人们在评估情况或做出决定时，倾向于依赖容易想到的信息），可以使类似精简的安全小贴士发挥作用。这种启发式思维是人类许多认知偏差中的一种，可能会阻碍理性思维/批判性思维，但在理性思维/批判性思维已经受到抑制的情况下也可能是有益的。(例如：在收到令人焦虑的信息、可疑电子邮件或其他外部刺激时）。在需要快速做出决定和判断的时候，深刻的记忆或回忆可以引导人们远离潜在的威胁或危险的行动方案。

另外，在向员工进行安全意识宣贯与沟通时，如果能联合更有影响力、更权威的领导或部门，可以进一步提升安全知识的传播率和知识保留率。与“可得性偏差”类似，安全团队可以合理利用“权威偏差”。在安全沟通主体层面，寻求强有力的高层支持，一些重要的安全制度、安全信息或实践做法，可以通过信息安全委员会/领导小组或CEO等名义发出，员工就更容易主动阅读和遵从，这比一封来自信息安全部门/处室或专业人员的邮件更容易引起重视。（值得警惕的是，很多勒索软件团伙也可能利用“权威偏见”，仿冒企业高管或假装监管部门身份发起钓鱼邮件攻击。）

防勒索“小达人”证书

对于及时完成防勒索软件相关培训课程并通过测试，在防勒索软件模拟演练或真实攻击中表现出色，能够主动识别和及时上报疑似风险的员工，可以颁发一张由信息安全委员会/领导小组或C-Level高管签署的防勒索“小达人”证书或一枚电子勋章，以资鼓励。员工良好的安全行为需要被表扬和肯定，才能固化为良好的安全习惯，否则员工更多的是感受到被安全管控、被要求学习、被扣分处罚、被动参加安全活动，而感受不到安全带来的直观收益。表扬优秀员工也可以起到示范作用，影响更多周围员工向优秀看齐。

小结

防范勒索软件攻击需要的不仅仅是可靠的安全技术解决方案，也不仅仅是安全团队一个部门的事儿，还需要将重点放在员工层面，持续为员工赋能，促进和推动有利于安全的行为模式。使安全更有温度，展现同理心也是关键的策略。每个人都有可能在无意中犯错，在勒索软件攻击事件处理中一味采取强硬的惩罚措施，可以起到一时的震慑作用，但很难使员工发自内心地认同和改变风险行为，也不会在个人或组织层面注入安全信心。

从另一方面看，强调积极因素，认可员工的安全行为不可或缺。那些积极识别和上报风险、挫败勒索团伙攻击企图的员工，应该得到适当奖励与表扬。在企业安全文化建设过程中，建立起一种支持性的、开放性的、透明化的沟通机制，强化激励措施（合理设置目标激励、荣誉激励、积分激励、个人/部门/子公司/区域排行榜等等）会对员工安全行为的内化带来巨大的影响。

声明：本文来自超安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。