你不一定懂編程，甚至都看不懂幾行代碼，但依然能成為殺傷力十足的黑客，這就是現(xiàn)階段不少網(wǎng)絡(luò)攻擊的特點(diǎn)：不需要掌握嫻熟的技術(shù)或代碼，僅僅利用成熟的武器化工具，就能通過(guò)簡(jiǎn)單的“一鍵操作”，對(duì)目標(biāo)輸出成噸傷害。

顯而易見，這其中暗藏了巨大的商業(yè)市場(chǎng)，吸引了無(wú)數(shù)黑客組織團(tuán)體前來(lái)分一杯羹。為了能夠做到可持續(xù)化運(yùn)作，他們開始借助SaaS（軟件即服務(wù)）平臺(tái)的優(yōu)勢(shì)：價(jià)格便宜、靈活性強(qiáng)、易于拓展，進(jìn)而衍生出網(wǎng)絡(luò)釣魚即服務(wù)（PhaaS）、勒索軟件即服務(wù)（RaaS）等模式。

在這些模式下，由黑客組織負(fù)責(zé)勒索軟件出售、訂閱給用戶，并獲得一定比例的攻擊收益分成，自己則主要負(fù)責(zé)最新變種的開發(fā)?？梢哉f(shuō)，通過(guò)以業(yè)務(wù)為驅(qū)動(dòng)，結(jié)合技術(shù)研發(fā)+出售+運(yùn)營(yíng)的模式，成為其運(yùn)作的標(biāo)準(zhǔn)方式。

隨著新冠疫情帶來(lái)的持續(xù)性影響，全球產(chǎn)業(yè)更加高度依賴網(wǎng)絡(luò)，基于SaaS的網(wǎng)絡(luò)攻擊已經(jīng)能夠積極順應(yīng)這一變化趨勢(shì)，快速商業(yè)化、武器化，成為了一種較為成熟的軟件商業(yè)模式。

人人解釋黑客的時(shí)代似乎將在未來(lái)出現(xiàn)。當(dāng)黑產(chǎn)走向SaaS化之后，技術(shù)門檻將不再是擋在眾人面前的障礙，“黑客”這一名詞將失去它的光環(huán)。亦或者說(shuō)，這群人將不配被稱為“黑客”，只能稱之為“黑產(chǎn)”，以追逐現(xiàn)金收益為最終目的。

這對(duì)于全球企業(yè)來(lái)說(shuō)無(wú)異于當(dāng)頭一棒，未來(lái)面臨的網(wǎng)絡(luò)攻擊威脅將成倍增加。如同熱武器降低了破壞的門檻，各種惡意SaaS化平臺(tái)的出現(xiàn)降低了作惡的門檻，畢竟，從普通人手中射出的子彈同樣無(wú)比致命，網(wǎng)絡(luò)空間也是如此。

一、網(wǎng)絡(luò)釣魚即服務(wù)（PhaaS）

網(wǎng)絡(luò)釣魚即服務(wù)是一種較新的服務(wù)類型，PhaaS 組織可提供從模板創(chuàng)建、托管和整體編排的全流程釣魚攻擊業(yè)務(wù)模塊，能讓攻擊者不必具備構(gòu)建或接管基礎(chǔ)設(shè)施以托管網(wǎng)絡(luò)釣魚工具包（模擬各種登錄頁(yè)面）的技術(shù)知識(shí)，從而顯著降低了攻擊門檻。根據(jù)Palo Alto Networks Unit 42的一份調(diào)查研究報(bào)告，從 2021 年 6 月到 2022 年 6 月，SaaS的濫用攻擊行為暴增了11倍。

2021年6 月到 2022 年 6 月，網(wǎng)絡(luò)釣魚活動(dòng)中基于SaaS 的濫用行為迎來(lái)暴增

為了更加商業(yè)、規(guī)范化，同時(shí)最大程度吸納客戶，一些PhaaS已經(jīng)由過(guò)去只在暗網(wǎng)推廣逐漸走向前臺(tái)，擁有自己公開的門戶網(wǎng)站。

不同于一些勒索軟件即服務(wù)（RaaS）需要參與到具體的攻擊行動(dòng)中，比如其運(yùn)營(yíng)團(tuán)隊(duì)參與贖金談判，PhaaS往往更加純粹于釣魚服務(wù)的出售，因此在一些國(guó)家，如果要起訴PhaaS平臺(tái)將較為困難，因?yàn)樗麄儽旧聿粫?huì)進(jìn)行任何攻擊，即使具體購(gòu)買服務(wù)的攻擊者被警方捕獲，PhaaS也可以不受影響繼續(xù)銷售其服務(wù)或產(chǎn)品。

1、BulletProofLink——規(guī)模龐大的PhaaS平臺(tái)

2021年，微軟曾曝光過(guò)一個(gè)大規(guī)模的PhaaS平臺(tái)——BulletProofLink，該組織自2018年以來(lái)就一直活躍，擁有 100 多個(gè)模仿已知品牌和服務(wù)的可用網(wǎng)絡(luò)釣魚模板，并以每月800 美元的價(jià)格在自家門戶網(wǎng)站上銷售。為了推廣，他們利用YouTube和Vimeo等平臺(tái)提供教學(xué)視頻，在黑客論壇或其它網(wǎng)站進(jìn)行營(yíng)銷，目前被多個(gè)客戶團(tuán)體以一次性或按月付費(fèi)的模式使用。

當(dāng)客戶花費(fèi)800美元購(gòu)買服務(wù)后，BulletProofLink的功能將十分強(qiáng)大，包括設(shè)置一個(gè)網(wǎng)頁(yè)來(lái)托管釣魚網(wǎng)站、安裝釣魚模板、為釣魚網(wǎng)站配置域名、向目標(biāo)受害者發(fā)送實(shí)際的釣魚郵件、從攻擊中收集憑證等。如果要變更某項(xiàng)服務(wù)或模板，還可在BulletProofLink經(jīng)營(yíng)的在線商店后買，價(jià)格從80美元道100美元不等。

BulletProofLink經(jīng)營(yíng)的在線商店

微軟表示，BulletProofLink經(jīng)常使用被黑網(wǎng)站來(lái)托管網(wǎng)絡(luò)釣魚頁(yè)面，在某些情況下還觀察到其團(tuán)伙破壞了被黑網(wǎng)站的DNS記錄，以便在受信任的網(wǎng)站上生成子域來(lái)承載釣魚網(wǎng)頁(yè)。在一次活動(dòng)中，BulletProofLink使用了大量新創(chuàng)建和獨(dú)特的子域，單次運(yùn)行數(shù)量超過(guò)300000個(gè)，可見該服務(wù)的規(guī)模十分巨大。

2、Caffeine——針對(duì)中國(guó)用戶

與大多數(shù)針對(duì)西方國(guó)家不同，近期，被稱為“Caffeine”（咖啡因）的PhaaS平臺(tái)被專門用來(lái)針對(duì)中國(guó)和俄羅斯。Mandiant 的安全分析師發(fā)現(xiàn)，Caffeine入門門檻很低，但功能卻很豐富，僅需創(chuàng)建賬戶后，就可訪問(wèn)后臺(tái)面板，其中包含創(chuàng)建網(wǎng)絡(luò)釣魚活動(dòng)所需的工具和數(shù)據(jù)面板。

Caffeine提供的服務(wù)套餐根據(jù)功能不同分為每月 250 美元、三個(gè)月 450 美元或六個(gè)月 850 美元三檔，雖然價(jià)格是一般PhaaS 訂閱的 3-5 倍，但Caffeine試圖通過(guò)提供反檢測(cè)和反分析系統(tǒng)以及客戶支持服務(wù)來(lái)讓客戶覺得“物有所值“。

在網(wǎng)絡(luò)釣魚選項(xiàng)方面，該平臺(tái)提供的一些高級(jí)功能包括：自定義動(dòng)態(tài) URL 模式機(jī)制，以協(xié)助動(dòng)態(tài)生成預(yù)填充受害者特定信息的頁(yè)面；第一階段的活動(dòng)重定向頁(yè)面和最終誘餌頁(yè)面；用于地理封鎖、基于 CIDR 范圍的封鎖等的 IP 封鎖列表選項(xiàng)。Caffeine 提供了多種網(wǎng)絡(luò)釣魚模板選項(xiàng)，包括 Microsoft 365 以及針對(duì)中文和俄語(yǔ)平臺(tái)的各種模板。

針對(duì)中國(guó)用戶的釣魚郵件

3、EvilProxy——一鍵反向代理

Resecurity 研究人員在今年5月首次發(fā)現(xiàn)了一個(gè)新型PhaaS平臺(tái) EvilProxy，能夠使用反向代理與 Cookie 注入來(lái)繞過(guò)雙因素認(rèn)證。反向代理是指位于受害者和合法身份驗(yàn)證窗口之間的服務(wù)器，當(dāng)受害者連接到網(wǎng)絡(luò)釣魚頁(yè)面時(shí)，反向代理會(huì)顯示合法的登錄頁(yè)面，并轉(zhuǎn)發(fā)、返回合法頁(yè)面的請(qǐng)求或相應(yīng)。但當(dāng)受害者將其憑證和雙因素驗(yàn)證輸入到釣魚頁(yè)面后，會(huì)被轉(zhuǎn)發(fā)到受害者實(shí)際登錄平臺(tái)的服務(wù)器并返回會(huì)話Cookie。由于反向代理位于中間，因此可以竊取含有身份驗(yàn)證令牌的會(huì)話cookie，并使用該身份驗(yàn)證cookie以用戶身份登錄網(wǎng)站，從而繞過(guò)已配置好的雙因素身份驗(yàn)證保護(hù)。

反向代理工作原理

EvilProxy為客戶提供了一個(gè)簡(jiǎn)潔易用的后臺(tái)管理面板，可以在其中設(shè)置和管理網(wǎng)絡(luò)釣魚活動(dòng)。EvilProxy給出了10天150美元、20天250美元、30天400美元的訂閱方式而針對(duì)一些高價(jià)值，例如谷歌賬戶的的竊取，費(fèi)用會(huì)有所上浮。在EvilProxy自身的宣傳資料中，宣稱可竊取多家知名企業(yè)或平臺(tái)的用戶賬號(hào)，包括Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy等。

很明顯，PhaaS平臺(tái)的出現(xiàn)助長(zhǎng)了釣魚攻擊的氣焰。

這些PhaaS平臺(tái)的出現(xiàn)極大地降低了釣魚攻擊的門檻，其中包括規(guī)避電子郵件安全系統(tǒng)的檢測(cè)、享受高可用性以及無(wú)需學(xué)習(xí)編寫代碼來(lái)創(chuàng)建看似合法的網(wǎng)站。此外，由于 SaaS 平臺(tái)簡(jiǎn)化了創(chuàng)建新站點(diǎn)的過(guò)程，攻擊者可以輕松切換到不同的主題、擴(kuò)大或多樣化其運(yùn)營(yíng)。

更糟糕的是，安全專家們普遍認(rèn)為，阻止這些PhaaS平臺(tái)的濫用非常困難，這也是 SaaS如此適合網(wǎng)絡(luò)釣魚活動(dòng)的原因所在。

例如上文介紹的EvilProxy平臺(tái)，使用了反向代理繞過(guò) MFA控制，從通過(guò)惡意代理網(wǎng)絡(luò)釣魚站點(diǎn)連接的用戶那里獲取有效Cookie。這樣，攻擊者就可以繞過(guò)使用用戶名/密碼或MFA令牌進(jìn)行身份驗(yàn)證的需要。

二、勒索軟件即服務(wù)（RaaS）

“簡(jiǎn)單！低成本！一夜暴富！不需要花多年時(shí)間浸淫代碼編寫或軟件開發(fā)技藝。只需要下載我們簡(jiǎn)單的勒索軟件工具包，就能讓您錢財(cái)源源而來(lái)——享受在家辦公的舒適與彈指坐聽比特幣落袋聲的雙重快樂?！边@是來(lái)自某基于RaaS的勒索軟件平臺(tái)頗具吸引力的推廣介紹。

與PhaaS類似，RaaS構(gòu)建的在線平臺(tái)幾乎涵蓋了勒索軟件攻擊所需的所有功能，客戶支付一定費(fèi)用后即可訪問(wèn)平臺(tái)后端并開展勒索攻擊，平臺(tái)方則坐收受害者的贖金分成。安全公司Unit 42已經(jīng)發(fā)現(xiàn)至少56 個(gè)活躍的RaaS 組織，其中一些從2020 年新冠疫情爆發(fā)以來(lái)便一直在運(yùn)作。

而隨著RaaS模式的發(fā)展，其運(yùn)作方式也開始出現(xiàn)一些新的特征。過(guò)去勒索方式需要犯罪者“親力親為”，即勒索團(tuán)伙需要自己發(fā)送釣魚郵件或者自己尋找目標(biāo)系統(tǒng)漏洞來(lái)植入勒索軟件，這樣大大消耗了時(shí)間和精力，RaaS組織需要更加直接的“大門”或者中間人去做入侵，于是Initial Access Brokers (IAB)業(yè)務(wù)就變得活躍起來(lái)。

IAB（Initial Access Brokers-初始訪問(wèn)代理業(yè)務(wù)）是指攻擊者通過(guò)多種方式獲得的受害者網(wǎng)絡(luò)資產(chǎn)初始化訪問(wèn)權(quán)限，而后將其出售給犯罪組織實(shí)施犯罪的中間人行為，犯罪組織通常為勒索軟件團(tuán)伙或其附屬機(jī)構(gòu)。

這些組織的存在以及RaaS 模式的發(fā)展大大降低了實(shí)施網(wǎng)絡(luò)勒索的門檻，擴(kuò)大了網(wǎng)絡(luò)勒索軟件的傳播范圍和負(fù)面影響。

1、REvil——曾經(jīng)最普遍且活躍的RaaS組織之一

REvil不僅是市場(chǎng)上最普遍的勒索軟件之一，也是較早采用RaaS模式盈利的組織，首次攻擊實(shí)施于2019年4月17日，利用OracleWebLogic服務(wù)器中的漏洞CVE-2019-2725實(shí)施了攻擊活動(dòng)。兩個(gè)月后，XSS論壇上開始出現(xiàn)該組織售賣勒索軟件服務(wù)的廣告。

REvil的運(yùn)作模式為：購(gòu)買其服務(wù)的攻擊者負(fù)責(zé)訪問(wèn)受害目標(biāo)網(wǎng)絡(luò)，下載有價(jià)值的文件并部署勒索軟件，而REvil組織本身則負(fù)責(zé)與受害者談判、勒索及分發(fā)贖金。這種模式帶來(lái)了豐厚的利潤(rùn)，根據(jù)REvil的說(shuō)法，一個(gè)會(huì)員的收入甚至可達(dá)到3萬(wàn)美元，而另一家RaaS勒索組織在與REvil聯(lián)手后僅六個(gè)月內(nèi)就達(dá)到了每個(gè)目標(biāo)約700萬(wàn)美元至800萬(wàn)美元的贖金收益。

在針對(duì)某計(jì)算機(jī)巨頭的攻擊中，REvil開出5000萬(wàn)巨額勒索贖金

在去年10月的多國(guó)聯(lián)合執(zhí)法行動(dòng)中，REvil的服務(wù)器被查，今年1月初，俄羅斯聯(lián)邦安全局 (FSB) 在該國(guó)多地進(jìn)行突襲后，逮捕了多名組織核心成員。就在大家以為REvil會(huì)因此徹底絕跡時(shí)，今年5月，疑似新版本的REvil被安全人員捕獲，并顯示其正在積極開發(fā)過(guò)程中。這為REvil的再次復(fù)出提供了可能性。

2、Conti——擅用跨平臺(tái)編程語(yǔ)言

該勒索軟件被發(fā)現(xiàn)于2019年，主要是在地下論壇以RaaS形式運(yùn)營(yíng)，并廣泛招收附屬組織，某些附屬組織能夠訪問(wèn)Conti勒索軟件的Linux變體，這些變體支持各種不同的命令行參數(shù)，附屬組織可以利用這些參數(shù)進(jìn)行更加定制化、更具有針對(duì)性的攻擊。

Conti一大特點(diǎn)是善于利用Rust 或 Golang等跨平臺(tái)編程語(yǔ)言編寫勒索軟件，使之能夠方便地將勒索軟件移植到其他平臺(tái)。相比于由普通C語(yǔ)言編寫，安全分析人員若要破解由跨平臺(tái)二進(jìn)制文件編寫的惡意軟件將會(huì)更加困難。

Conti主要通過(guò)釣魚郵件、利用其他惡意軟件、漏洞利用和遠(yuǎn)程桌面協(xié)議（RDP）暴力破解進(jìn)行傳播，組合利用多種工具實(shí)現(xiàn)內(nèi)網(wǎng)橫向移動(dòng)，并利用匿名化Tor建立贖金支付與數(shù)據(jù)泄露平臺(tái)，采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略發(fā)動(dòng)攻擊。自2020年7月29日公布第一個(gè)受害者信息以來(lái)，截至2021年12月15日，Conti共計(jì)公布了631個(gè)受害者信息，其中，僅在2021年就影響了全球范圍內(nèi)超過(guò)470個(gè)組織機(jī)構(gòu)。

3、Lockbit——加密速度最快的RaaS

LockBit是近期風(fēng)頭正盛的勒索軟件組織，自2019 年 9 月作為RaaS首次出現(xiàn)以來(lái)，便一直活躍，目前已迭代至LockBit3.0版本。LockBit號(hào)稱是世界上加密速度最快的勒索軟件，采用自己設(shè)計(jì)的AES+ECC算法和多線程加密，每次僅加密每個(gè)文件的前4KB。根據(jù)其洋蔥網(wǎng)絡(luò)上的博客數(shù)據(jù)顯示，Lockbit以每秒373M的速度位列所有勒索軟件榜首，加密100GB的文件僅需要4分半鐘。

Lockbit背后的運(yùn)營(yíng)組織十分重視對(duì)自身勒索軟件的開發(fā)，為此也同時(shí)開發(fā)了支持它的所有必要工具和基礎(chǔ)設(shè)施，例如泄露站點(diǎn)和贖金支付門戶。他們將這些解決方案提供給其他使用該勒索軟件的分支機(jī)構(gòu)，甚至包括額外的服務(wù)，例如贖金談判。在執(zhí)行實(shí)際攻擊中，LockBit分支機(jī)構(gòu)會(huì)將勒索軟件感染并部署到目標(biāo)中，作為回報(bào)，他們會(huì)獲得受害者支付的20%的贖金。

Lockbit數(shù)據(jù)泄露站點(diǎn)

以PhaaS和RaaS為代表的惡意黑產(chǎn)組織利用SaaS化部署迅速打開局面，大幅降低攻擊門檻及成本，這也讓很多低水平的釣魚攻擊和勒索軟件組織有了用武之地。

依附它們而運(yùn)作的各大釣魚及勒索軟件組織迅速壯大，能夠?qū)⒉粩喑霈F(xiàn)的新型惡意軟件變種迅速武器化，近年來(lái)已對(duì)全球諸多企業(yè)、個(gè)人帶來(lái)了難以估量的損失。但正所謂魔高一尺道高一丈，安全的重要性因此越發(fā)得到體現(xiàn)，新的防御手段也會(huì)在彼此的對(duì)抗中不斷推陳出新。

三、勒索軟件保護(hù)即服務(wù)（RPaaS）將成為新的需求？

無(wú)論是釣魚還是勒索，作為“最薄弱環(huán)節(jié)”，人們?nèi)詫⒉豢杀苊獾卦卩]件、網(wǎng)站、各種文件中闖蕩，因而迫切需要更強(qiáng)大且全面的預(yù)防及保護(hù)措施。

因此，既然有以SaaS為基礎(chǔ)的PhaaS、RaaS，相對(duì)應(yīng)的，勒索軟件保護(hù)即服務(wù)（RPaaS）應(yīng)運(yùn)而生。在RPaaS模式中，既有獨(dú)立的預(yù)防和災(zāi)難恢復(fù)服務(wù)，也有連接這兩個(gè)領(lǐng)域的檢測(cè)解決方案，可以提供防勒索及釣魚等事件前后的全面性服務(wù)。

RPaaS要求具有災(zāi)難恢復(fù)專業(yè)知識(shí)和網(wǎng)絡(luò)安全專業(yè)知識(shí)的人分為兩大團(tuán)體，以一個(gè)單一的目標(biāo)進(jìn)行合作。為了實(shí)現(xiàn)這一點(diǎn)，RPaaS拆分為三個(gè)子類別來(lái)解決業(yè)務(wù)的預(yù)防、檢測(cè)和恢復(fù)問(wèn)題：

RPaaS 流程

1.安全運(yùn)營(yíng)中心即服務(wù)(SOCaaS)

安全運(yùn)營(yíng)中心(SOC)團(tuán)隊(duì)會(huì)監(jiān)控威脅活動(dòng)并發(fā)出警告，以在攻擊發(fā)生之前及時(shí)阻止。該團(tuán)隊(duì)專注于通過(guò)利用防火墻、零容忍安全、端點(diǎn)、EDR、MDR、SIEM和其他檢測(cè)及預(yù)防工具，來(lái)快速識(shí)別和遏制惡意活動(dòng)。

2.勒索軟件響應(yīng)即服務(wù)(RRaaS)

這些恢復(fù)措施包括失效備援、取證、數(shù)據(jù)清理、不可變備份以及其他必要舉措，其流程專注于測(cè)試和文檔化，全過(guò)程配備了復(fù)制、備份、云恢復(fù)和數(shù)據(jù)加密技術(shù)，將災(zāi)難恢復(fù)即服務(wù)(DRaaS)和備份即服務(wù)(BaaS)結(jié)合在一起，以便在勒索軟件事件發(fā)生時(shí)建立可靠的策略。

3.虛擬首席信息安全官(vCISO)

vCISO專門為RPaaS中的組織提供幫助，隨時(shí)幫助其制定戰(zhàn)略并協(xié)調(diào)恢復(fù)執(zhí)行、質(zhì)量保證和取證調(diào)查等方面的工作。這種持續(xù)的咨詢?cè)梢酝苿?dòng)安全流程走向成熟并緩解業(yè)務(wù)風(fēng)險(xiǎn)。vCISO將幫助IT團(tuán)隊(duì)分析、建議和制定重要的業(yè)務(wù)治理政策和流程。

當(dāng)然，在現(xiàn)階段，對(duì)于我們身處在互聯(lián)網(wǎng)中的個(gè)體而言，做好自我防御，不斷筑高安全防御的底線依然十分必要，可以從以下常規(guī)安全防御操作“五件套入手：

1.數(shù)據(jù)：做好定期備份

將重要數(shù)據(jù)進(jìn)行多重備份，并保證這些數(shù)據(jù)不被暴露于公用網(wǎng)絡(luò)內(nèi)，嚴(yán)格限制對(duì)備份設(shè)備和備份數(shù)據(jù)的訪問(wèn)權(quán)限，防止勒索軟件橫移對(duì)備份數(shù)據(jù)進(jìn)行加密，必要時(shí)甚至采取脫網(wǎng)本地備份。

2.文件：未知來(lái)源勿點(diǎn)擊

對(duì)于未知來(lái)源的文件不要直接打開，包括那些外接設(shè)備（U盤、硬盤）中未經(jīng)過(guò)安全掃描的文件。此外，不瀏覽色情、賭博等不良信息網(wǎng)站，此類網(wǎng)站經(jīng)常被攻擊者發(fā)起掛馬、釣魚等攻擊，也不要從不明網(wǎng)站下載安裝軟件，以防勒索軟件偽裝為正常軟件的更新升級(jí)。

3.郵件：警惕釣魚

釣魚郵件被認(rèn)為是釣魚或勒索攻擊中最為常見的突破口，其中可疑的鏈接及附件內(nèi)容常常暗藏“兇器”。為此要警惕來(lái)路不明的郵件，不要輕易點(diǎn)擊其中的鏈接或附件，對(duì)郵件或其中包含的URL要仔細(xì)審查，判斷是否采用合規(guī)、正常的域名，避免被定向至經(jīng)過(guò)偽裝的釣魚站點(diǎn)。

4.防御：勤殺毒、把關(guān)口

安裝和并及時(shí)更新防病毒軟件、防火墻和電子郵件過(guò)濾器，對(duì)系統(tǒng)進(jìn)行定期的漏洞掃描；關(guān)閉不必要的服務(wù)和端口，包括不必要的遠(yuǎn)程訪問(wèn)服務(wù)（3389端口、22端口），以及不必要的135、139、445等局域網(wǎng)共享端口等。

5.預(yù)案：提前制定應(yīng)急響應(yīng)

針對(duì)重要信息系統(tǒng)，制定勒索軟件應(yīng)急響應(yīng)預(yù)案，明確應(yīng)急人員與職責(zé)，制定信息系統(tǒng)應(yīng)急和恢復(fù)方案，并定期開展演練；制定事件響應(yīng)流程，必要時(shí)請(qǐng)專業(yè)安全公司協(xié)助，分析清楚攻擊入侵途徑，并及時(shí)加固堵塞漏洞。