1.1 为什么应将安全卫生列为首要任务

2020年1月23日，武汉因新型冠状病毒（2019-nCoV）而“封城”。在这一重大事件之后，世界卫生组织于1月30日宣布进入全球卫生紧急状态。威胁行为者积极监视当前的世界事件，这是他们开始策划下一次攻击的机会。1月28日，Emotet背后的威胁行为者开始利用人们的好奇心和对新型冠状病毒相关信息的缺乏，发起了一场大规模的垃圾邮件运动——将发送的电子邮件伪装成残疾人福利机构和公共卫生中心发送的官方通知。该电子邮件的意图是提示收件人有关病毒的信息，并诱使用户下载包含预防措施的文件。这一行动的成功导致其他威胁行为者跟随Emotet的脚步，2月8日，LokiBot也利用新型冠状病毒主题作为吸引中国和美国用户的方式。

2月11日，世界卫生组织将这种新型疾病命名为COVID-19。有了既定名称后，主流媒体在其大规模报道中使用这个名称，关注这些事件的威胁行为者基于此发起了另一波恶意活动。这一次，Emotet将其垃圾邮件运动扩展到意大利、西班牙和英语语言国家。3月3日，另一个威胁组织开始使用COVID-19作为其TrickBot运动的主题。他们最初的目标是西班牙、法国和意大利，但这很快成为当时最有效的恶意软件行动。

这些运动有什么共同点？威胁行为者利用人们对COVID-19的恐惧作为一种社会工程机制，来诱使用户做出一些开始危害系统的事情。通过网络钓鱼邮件进行的社会工程对威胁行为者来说总有很好的投资回报，因为他们知道许多人会点击链接或下载文件，而这些正是他们所需要的。虽然增强安全意识始终是一个很好的对策，可以让用户了解这些类型的攻击，并确保他们在收到类似电子邮件之前更加怀疑，但你始终需要确保有适当的安全控制措施来减少用户落入此陷阱并点击链接的情况。这些安全控制措施是你需要采取的主动措施，以确保安全卫生状况正常，并且你已经尽了最大努力来提升所监控的所有资源的安全状态。

网络安全和基础设施安全局（Cybersecurity and Infrastructure Security Agency，CISA）发布的分析报告（AR21-013A）强调了整个行业缺乏安全卫生。这份名为“加强安全配置以抵御针对云服务的攻击者”（Strengthening Security Configurations to Defend Against Attackers Targeting Cloud Services）的报告强调，之所以大多数威胁行为者能够成功利用资源，是因为糟糕的安全卫生实践，包括资源的全面维护以及安全配置的缺乏。

没有适当的安全卫生措施，你就将一直追赶。即使你有很强的威胁检测能力也并不重要，因为顾名思义，这是为了检测而不是预防或响应。安全卫生意味着你需要做足功课，确保针对你管理的不同工作负载使用正确、安全的最佳实践，修补系统，强化资源，并不断重复这些过程。底线是这件事没有终点，这是一个持续改进的过程。但是，如果你致力于不断更新和改进你的安全卫生，你将可以确保威胁行为者很难访问你的系统。