勒索病毒反思 傳統的安全防護理念該改改了

根據英國媒體報道，5月12日，名為「永恆之藍」的勒索軟體蠕蟲大面積爆發，從英國國立衛生院到西班牙電信再到美國物流公司等紛紛中招。後了解，該勒索病毒主要利用美國國安局(NSA)泄露武器庫中的微軟漏洞，進行大面積感染和傳播。 　　由於採用了RSA和AES加密演算法，在沒有獲取密鑰的情況下除了重裝系統和恢復備份，基本上沒有第二條路可走。到目前為止，全球近百個國家的超過10萬家組織和機構被攻陷，其中包括1600家美國組織，11200家俄羅斯組織。包括西班牙電信Telefonica，電力公司Tberdrola，能源供應商Gas Natural在內的西班牙公司的網路系統也都癱瘓。 /

本周，全球最關注的網路事件非勒索病毒莫屬。

「永恆之藍」突襲 全球多國紛紛中招

下面這件事，可能反映出大家共同的遭遇：

5月15日，小李攜帶著早餐，急匆匆地趕往公司，打開電腦後發現被勒索病毒劫持，所有資料文件和應用程序都無法使用。根據攻擊者聲明，只要你乖乖支付300美金的比特幣，你的所有資料即被解鎖。頓時，小李癱倒在座位上，不知所措。

雖然這只是虛構的人物，但卻是本周真實發生的事情。

根據英國媒體報道，5月12日，名為「永恆之藍」的勒索軟體蠕蟲大面積爆發，從英國國立衛生院到西班牙電信再到美國物流公司等紛紛中招。後了解，該勒索病毒主要利用美國國安局(NSA)泄露武器庫中的微軟漏洞，進行大面積感染和傳播。

由於採用了RSA和AES加密演算法，在沒有獲取密鑰的情況下除了重裝系統和恢復備份，基本上沒有第二條路可走。到目前為止，全球近百個國家的超過10萬家組織和機構被攻陷，其中包括1600家美國組織，11200家俄羅斯組織。包括西班牙電信Telefonica，電力公司Tberdrola，能源供應商Gas Natural在內的西班牙公司的網路系統也都癱瘓。

而在國內，已有29372家機構組織的數十萬台機器被感染WannaCrypt(永恆之藍)，被感染的組織和機構已經覆蓋了幾乎所有地區，影響範圍遍布高校、火車站、自助終端、郵政、加油站和醫院以及政府辦事處等多個領域。

國內雖受影響 但教育網為「重災區」實為誤讀

雖然有些媒體表示，本次教育網為「重災區」，但這實為誤讀。根據CERNET(中國教育和科研網)感染調查情況，在國內1600所高校中，確認感染的有66所高校(4%)，數百台電腦中毒。

實際上，本次報道中，很多媒體和個人沒有弄清楚校園網和教育網的區別。事實上，絕大多數高校校園網接入多個運營商，並且許多高校的宿舍網路是運營商建設、維護的。

其次，誤解之二是，運營商普遍限制了445埠，而教育網沒有。實際情況是，只有極少運營商、局部限制了445埠。即使是大範圍的限制445埠，也是發生在5月14日，這已經距離勒索病毒發生有2天時間了。

正如啟明星辰首席戰略官潘柱廷所說，「本次，教育網並不是重災區，40%和50%以上的攻擊都是來自運營商的公開網路，比如你在學校宿舍上網被攻擊，這是屬於運營商網路的。」

因此，總體上說，本次中招的大部分還是來自公網，而不是高校教育網。但是，潘柱廷也認為，「雖然大部分受災區是公網，但是反過來說，內網在這次中也是有問題的」。

之前認為內網應該沒事，但是內網也是有事的。「這給了我們一個啟示，對於內網邊界隔離需要重新認識。」在潘柱廷看來，這個問題需要辯證地去看，「我們認為內網的隔離有時會帶給我們一些錯誤的安全感，你個人會認為我弄隔離了，應該沒問題，但是這種安全感是不真實的。」

不管物理隔離，還是邏輯隔離，隔離實際上無法做到100%的安全性。因為隔離會產生一些副作用，「因為隔離會把漏洞和自動升級同時擋在外面，這就需要你及時去做漏洞和安全補丁」。

當隔離把攻擊和漏洞補丁同時隔離掉時，如果內部管理沒有及時跟上，你的整個系統就很危險。在潘柱廷看來，所有的安全措施都是有副作用的，雖然隔離了很多危險，但這也會使得有些服務不安全。

如何防範下一次網路攻擊 傳統安全理念需要改變

這一次「永恆之藍」席捲全球造成重大損失。隨著網路的越來越發達，讓我們如何防患於未然成為很關鍵的問題。

對此，潘柱廷則是用叔本華哲學來解釋這次安全事件——樂觀的悲觀主義。他說，「本次網路攻擊事件既不空前，也不絕後。不管我們做多大的努力防患於未然，在未來的某個時間或不遠的將來，還會有類似甚至影響更大的事件再出來」。

難道，我們就這樣不管不顧了嗎？潘柱廷用了一個很形象的比喻：黃河和堤壩的關係來解釋，在黃河的發展過程中，隨著泥沙的沉積，河床越來越高，黃河不斷泛濫，這逼著我們不斷加高堤壩。或許有一天會出現更大的泛濫，但我們的責任則是盡量去防範能夠預想到的災難。

目前，很多企業的IT基礎設施都是傳統架構，具有分散性和脆弱性的特點。隨著企業業務的快速發展，比如雲計算、大數據和物聯網的出現，讓新的攻擊不僅越來越容易，而且影響範圍也更大。其次，隨著安全措施的逐步增加，企業最終會形成防禦能力的一個邊界，而攻擊者也會不斷發展，最終會找到你防禦能力的極限。

在筆者看來，傳統的安全理念以防禦為主，被動觸發。舉個例子，當黑客的攻擊已經進來時，企業才有所發覺，匆忙應對，但這時已經晚了，因為錯過最佳防禦時間。

因此，當前網路安全的防護重點應該從傳統的「消極防禦」轉向實時動態監測和快速響應，變被動為主動智能安全運營，積極防禦過去所能預料到的安全事件，實現「事前防範、主動應對、智能運營」，把安全御於「大門之外」。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！