今天一早,我就被朋友圈中“WannaCry”的各種“開機攻略”震驚了。
當然用MAC的我,絕非幸災樂禍,因為家裡也有一台Windows桌上型電腦。真正讓筆者吃驚的是,安全廠商們在提出所謂“主動防禦”政策已經很多年的今天,竟然面對“WannaCry”這樣一個并不十分高明的勒索病毒,齊刷刷被動應對。
這足夠讓我們反思,在全球邁向萬物互聯的今天,我們的網絡安全到底出了什麼問題?誰來保障我們的資料安全?
并不高明的WannaCry
首先通俗解釋一下什麼是“WannaCry”?
“WannaCry”其實很簡單,就是利用微軟“Windows”系統的漏洞,自動掃描445檔案共享端口,如果445端口是開啟的Windows機器,該病毒無需使用者任何操作,就可以将所有磁盤檔案複制後加密、鎖死,字尾變為.onion,并删除原檔案。随後,黑客可以遠端控制木馬,向使用者勒索比特币“贖金”。
這個病毒在筆者看來其實并不怎麼高明。因為首先,基于445端口傳播擴散的SMB漏洞MS17-010,微軟早在今年3月份就已經公布;其次今年4月份,美國國家安全局NSA旗下的“方程式黑客組織”甚至曝光了“WannaCry”同源的惡意軟體。理論上,各大安全廠商應該早已更新過病毒防禦系統。
但奇怪的是,就是這樣一個“衆所周知”的系統漏洞,竟然仍引起了全球範圍内嚴重的病毒感染——中原標準時間5月12日晚20點,全球爆發大規模“WannaCry”勒索軟體感染事件,第一時間造成英國16家醫院内網被攻陷,電腦内所有資料被鎖,黑客索要每家醫院300比特币(接近400萬人民币)的贖金;随後法國汽車制造商雷諾宣布受其影響,将暫時停止生産;而我國,大量行業企業内網受到感染,特别是教育網受損嚴重,多所高校教學系統、校園一卡通系統癱瘓,此外,全國多地中石油加油站出現斷網的情況,緻使加油卡、POS機無法使用。
據歐洲刑警組織總幹事當地時間14日接受媒體采訪時稱,全球目前大約150個國家的20萬受害者中招,除了公共事業機關如醫院和高校之外,更多的是企業,甚至是大企業被“WannaCry”勒索。
不僅僅是安全意識薄弱
衆所周知,微軟更新Windows漏洞更新檔,年年有、月月有,别說是企業,就是個人也已經習以為常——更新更新檔,幾乎已經成為Windows使用者的一項日常工作。
為什麼這樣一個早在3月份就已經公布的安全隐患,時隔兩個月還會大規模爆發,而且受害者又是以所謂“安全防範意識較高”的機構組織為主?
在筆者看來,答案或許很簡單,因為這次的“WannaCry”與以往病毒攻擊不同,攻擊的對象不是計算機系統、裝置,而是資料。這樣以勒索為目的的場景式攻擊,讓大多數使用者和安全廠商始料未及,因而防範措施并不到位。
舉個并不是特别恰當的例子:雷公太極10秒被KO,因為徐曉東完全沒有按照所謂的“常理”——傳統招式出拳,一下子就被搏擊倒了。
很明顯,在萬物互聯的今天,傳統“魔高一尺,道高一丈”的理念,也必須與時俱進,因為網絡攻擊往往在30分鐘内就已經解決戰鬥。
換句話說,“道高一丈”必須在分鐘級的時間範圍内,就實作全網應對部署,這對于企業網管來說,完全是不現實的;對于傳統安全廠商來說,也是不現實的,因為一家安全廠商有成千上萬的客戶,每一家都是傳統安全防護,廠商并沒有權限實作遠端安全管理。
“這次勒索病毒事件,并不是安全廠商能力差,而是模式的問題,表明私有雲并不真正安全。”阿裡雲安全負責人肖力認為,“公共雲很大的優勢,就是公共雲實際上是在用自動化的手段,保護自家的城牆。”
智能安全保護自己城牆
記得一家國内知名安全廠商産品負責人曾經跟筆者舉過馬奇諾防線的例子。換句話說,傳統的網絡安全是正面防禦為主,但這種方式一旦被繞過或突破,受害的客戶往往是被動發現。這時候的問題在于,傳統網絡安全對突破正面防禦的威脅檢測、診斷較慢,處置響應也比較慢。
正因為此,目前網絡安全運維的趨勢重點,正在從正面防禦轉向加強持續檢測和快速響應的投入力度進行轉變,變被動為主動智能安全營運。但實際上,全網安全可視化的基礎是全網可見性,需要通過持續檢測來完成,這對于分散部署的IT系統來說,幾乎是可望而不可及的事情。
在筆者看來,這樣的工作,最合理的解決方案,是把工作交給具備全網安全可視化能力的服務商來做。這在今天,隻有一個模式,就是公共雲提供商。
舉個例子,阿裡雲的安全政策主要展現在兩個方面,一是覆寫所有IT layers,全網可見;二是資料驅動的持續監控和深度學習、分析,形成自動感覺、自動預警、自動止血和反擊的閉環能力。比如雲盾抗DDoS分析叢集就有500台伺服器,其計算和分析能力帶來了小于3秒的攻擊響應時間。
據肖力透露,此次“WannaCry”勒索病毒沒有重創到阿裡雲的客戶,是因為阿裡雲早在三月份評估微軟披露相關漏洞的時候,就認為該漏洞是一個非常嚴重的漏洞,第一時間通知使用者,推出一鍵修複工具,提醒使用者把445端口關掉。同時首先在雲平台外圍搭建防禦層,留出修複漏洞的時間。
無疑,“WannaCry”勒索病毒可以看作是一起由以破壞為目的惡意攻擊,轉向牟利為目的的标志性事件,威脅到每個人的資料數字财産、社會安全。
人們或許應該慶幸這次事件發生在中原標準時間周五晚間,沒有給太多國内企業第一時間造成大量危害,但更應該做的是,在網際網路、大資料時代,敲響網絡安全的警鐘。