火绒数据：从流氓到勒索 8成企业网络携带5类以上病毒

 “企业内网已是病毒滋生的温床，这并不是危言耸听”。根据2021年上半年火绒服务过的企业用户案例显示，超过8成的企业网络存在5种以上病毒，其中大部分企业则被暴露出高达十余种病毒。这些病毒在企业内部交叉共存，互相感染，随时威胁着企业的资产安全，影响业务正常开展。

我们通过本篇，结合案例与数据，对上述现象进行分析和调研，发现除了网络、攻击者、设备等外部原因以外，还有一些“无奈”的主观因素……

案例一：流氓、广告泛滥

某建筑行业企业用户在部署火绒后，仅百台终端就查出近500条病毒处理日志。该用户寻求火绒工程师查看后发现，该企业内竟然存在7种病毒，其中以广告、流氓类居多。或是员工安全意识薄弱，通过下载站等地下载了带有捆绑、流氓推广行为的恶意软件造成。

案例二：勒索、后门共存

火绒工程师对某电子企业用户部署火绒后提供的日志查看发现，该企业内除了感染型、蠕虫等传播性强的病毒之外，还有勒索、后门等高危病毒。如果不及时发现、查杀，这些高危病毒就像是埋下的“定时炸弹”，让企业随时面临被勒索或被远控的高风险。

设备一病毒分析

设备二病毒分析

企业是社会经济发展非常重要的支柱，企业安全责任重大，关系社会的稳定，但为何病毒等威胁在企业内部依旧高居不下？

从客观上来讲：

首先，病毒逐渐商业化、趋利化。根据《2020火绒终端安全回顾》一文的分析，很多病毒制作者为了营利，开始向流氓、广告转变。他们以PDF、压缩软件等办公软件为由，吸引员工下载安装，然后通过捆绑、弹窗等推广行为获利，甚至存在窃取信息等恶意行为。

其次，相比较个人用户，企业具备更有价值的数据、资源等，黑客攻击企业用户获利更大。以勒索病毒为例，黑客可以在企业内部进行横向渗透，找到高价值服务器，从而实现勒索的目标。

同时，很多企业特别是政企机构，设备机器老旧，系统没有及时更新，存在大量的未修复漏洞，成为病毒等威胁进出口。

从主观上来说：

（1）员工安全意识参差不齐，会通过非正规渠道下载办公软件，没有备份的习惯，对陌生邮件附件、通讯工具发来的文档信任点击等等，从而容易导致病毒、流氓等在网络内部肆意流窜、活跃。

（2）部分企业为了控制成本，选择不部署安全软件，或者部署后也缺乏相应的岗位人员来处理发现的威胁。

（3）管理人员对安全软件的报毒缺乏认知，加上警报太多甚至出现误报，容易让管理员出现疲态、对查杀结果产生懈怠的心理。

针对不断加剧的网络安全风险和挑战，近几年来，我国政府频繁出台多项政策，为的就是促进大众对于网络安全的重视，推动企业网络安全的合规化发展。火绒整理了2019年——2020年网络信息安全行业相关政策，如下图：

在政策的加持之下，面对网络安全防护工作攻易守难的困境，如何避免网络安全行业亡羊补牢的局面，一直以来也是整个行业关注的重点，同样也是火绒工作的重心。 

（1）严防流氓。针对流氓软件层出不穷的现象，火绒也一直积极开发并完善相关功能来保护用户电脑。如：【文件实时监控】、【软件安装拦截】、【下载器拦截】、【弹窗拦截】等。

（2）深堵漏洞。针对漏洞问题，火绒不断跟进相关漏洞防御功能，将易被黑客或病毒使用的漏洞加入到相应的漏洞防御规则中，保护用户免受漏洞攻击所产生的安全威胁。除了定期使用【漏洞修复】功能进行扫描修复外，还可以通过开启【网络入侵拦截】功能进行防护。

（3）精杀病毒。在病毒拦截查杀上，火绒利用自身的技术优势，可以实现精准拦截病毒。通过行为特征，第一时间精准识别各类病毒、变种以及新的威胁；对查杀结果可阐述，能准确指出样本为病毒的依据；对查杀结果可控，误报率低。

（4）广兼软件。火绒对国产软件兼容性好。截止目前，火绒企业版产品已完全适配UOS、鲲鹏、深度、红旗、中标麒麟、优麒麟、银河麒麟、神州网信、联想超融合AIO平台等众多国产化操作系统。良好的产品兼容性，可以避免出现误报等其他情况，影响企业安全工作的开展。

（5）勤加管控。火绒企业版产品，拥有高效的终端管理、防御功能，能够通过“控制中心”派发安全策略，同时具备规范外接设备使用、提供远程桌面服务、进行异地终端管理等功能，操作简单，防护全面。以火绒【资产管理】功能为例，简单操作，即可有效减少资产管理问题带来的运营时间成本和人力成本问题。

随着互联网的不断深入到社会发展的方方面面，维护网络的安全，需要从用户到企业，从安全工作人员再到安全行业等等每一个环节的共同努力。特别需要注意的是，网络防护是一个整体全面的概念，而针对那些具体的、狡猾且顽固的网络病毒，还需要对症下药，采取相应的防护办法。火绒将推出针对企业内部常见网络病毒防御办法的系列稿件，敬请期待！

补充阅读：

《2020火绒终端安全回顾：流氓病毒化 病毒逐利化》