3天,150個國家,20餘萬台機器中毒,始于上周五的wannacry索病毒真的讓很多人急了。
美國聯邦快遞fedex、西班牙電信營運商telefonica、法國汽車制造商雷諾、德國聯邦鐵路系統以及俄羅斯内政部紛紛中招,最深受其害的是英國公衆醫療系統,手術排期被擾亂,患者無法實施搶救,而在中國,數所大學、政務網站、出入境公安網,甚至加油站都已經被爆出現問題。
德國聯邦鐵路系統中毒後的候車大廳螢幕
表面上看,勒索病毒索要比特币,但企業機構是以而引發的後果往往是人财兩失,這也是伺服器主機安全防護對穩定性和性能更為強調,對事前防護更為看中的原因。
wannacry勒索病毒這一重大資訊安全事件雖已漸漸平息,但也引發了更深層次的思考:
把資料牢牢揣在懷裡的私有雲反而比采用公有雲的企業,受到攻擊更廣,損失更嚴重; 從政務網站等政府機構紛紛中招來看,号稱最安全的内外網隔離也沒能逃過一劫; 如果說10年前引發大面積機器癱瘓的蠕蟲病毒尼姆達、熊貓燒香還主要影響pc端,那麼在企業業務網際網路化,聯網裝置iot化的今天,wannacry勒索病毒這樣的病毒很可能會常态化,影響也會越來越重大; ……
1
公有雲比私有雲更安全?
外行看熱鬧,内行看門道——“防患于未然”其實遠比事後“救火”要更有效。那麼,誰能做好“防患于未然”誰顯然就更為有意義。
私有雲+專業安全企業的服務方式,将一切都交給公有雲企業的租用方式,在新的萬物互聯時代到底誰更安全?
據阿裡雲安全資深技術總監肖力表示,早在4月初nsa就爆出這一漏洞,阿裡雲當是在6小時内根據漏洞分析和客戶場景做出分析報告,并在雲平台外圍建構了防禦層,以便公有雲使用者有更多時間修複與更新檔。也就是說,在513 wannacry勒索病毒爆發之前,公有雲就做到了“防患于未然”。
難道專業安全廠商不可以這麼做嗎?
私有雲+專業安全的模式通常是:客戶資料分散在上千個不同idc中,而客戶對于安全産品的采購也往往是不同種類采購不同品牌,這種碎片化的結構和部署,也造成私有雲安全防範的不統一和不及時。
第一,專業安全廠商盡管有雲安全的理念,但收集異常資料隻能根據自身産品品類和覆寫量發現病毒爆發異常,而無法像公有雲企業一樣通盤看到從網絡層、應用層、系統層到資料層的實時異常問題。 第二,由于專業安全廠商收集到的資訊有限,無法像公有雲企業一樣做到全資料分析,更難以基于大量網絡、系統、應用狀态來建立自動化的事前防禦機制。 第三,專業安全廠商發現問題可以做到第一時間通知客戶,但更重要的防範措施卻由于自身産品類别所限,或是客戶采購的安全産品種類和品牌碎片化,而無法實作多層級關聯技術防護。
實際上,在今年2月全球頂級安全行業盛會rsa大會上,傳統安全廠商已經意識到這一問題:
以前,全球的安全廠商無一例外地出售包裝在“盒子”内的産品和服務;從去年開始,基于 api 接口的雲化服務開始冒頭;而今年,尋求與雲服務提供商合作,提供基于公有雲的雲安全saas服務,成為大部分安全廠商的發展趨勢。
此外,今年4月底,bitglass釋出的對3000多名it專業人士的《threats below the surface》報告中也顯示:
iaas和saas安全分别被33%和31%的受訪者列為首要投資重點。
公有雲的雲安全服務受到重視,這對aws、azure和阿裡雲這樣全方位的雲服務提供商也是個好消息。但是,這樣的結論在多數企業使用者印象中,卻與“私有雲比公有雲安全”的慣性思維恰恰相反。
私有雲資料在防火牆内,客戶對資料似乎有着絕對的所有權和控制權,但這并不意味着資料更安全。
對于重要的資料隐私性方面,目前主流公有雲提供商都引入第三方硬體加密機(hsm),密鑰交與使用者,一定程度上消除了資料隐憂。
而在資訊安全事件面前,由于目前主流的大型公有雲企業自身可能就是超級大使用者,他們的應用遭受安全攻擊更多,更集中,安全人員的分類也更廣更細,在安全“魔高一尺道高一丈”的攻防對峙中,最好的戰場總是鍛煉出最好的士兵。
對于多數使用者,公有雲正在成為一個更專業更集中的安全避風港。
2
内外網隔離也非世外桃源
那麼私有雲當中可能出現的極端情況——内外網隔離,是不是會更安全呢?
可為什麼這次wannacry勒索病毒事件中還是有公安網、政務網依然中招?其實,早在2010年伊朗首座核電站——布什爾核電站就遭受過蠕蟲病毒“震網”的襲擊,進而導緻故障頻發,關鍵裝置損毀。這樣的機要部門内外網隔離是必要手段,但事後分析發現,“震網”原來是通過u盤在區域網路内部進行傳播的。
實際上,就算是安全最嚴格的實體隔離,内外網之間的通信在實際操作中也不可避免,隻不過是通過指定端口,最常見的是通過usb來完成通信過程。而wannacry勒索病毒也屬于蠕蟲病毒,它的可怕性就在于無孔不入,任何漏洞和端口都會成為入侵入口。
此外,此次wannacry的受害者包括加油站、機場、醫院等實體經濟行業時,不得不承認萬物互聯的iot時代已經悄然到來,内外網隔離的手段也會“因噎廢食”,在越來越多的場景下無法實施。
3
公有雲的價值
wannacry的第一波攻擊似乎漸漸平息,但此類攻擊“一波未平一波又起”将呈常态化,企業在享受網際網路+紅利的同時,必然要有面臨更多風險的心理準備。
天生雲化的雲服務提供商則更強調對雲平台上豐富的資料資源的高效智能利用。aws、azure和阿裡雲等公有雲紛紛将人工智能引入雲安全,就說明将資料彙集、打通,進行實時計算才是雲服務提供商在雲安全上充當“妙手神醫”的必備技能。
公有雲之是以成為趨勢,彈性高和成本低并非最大價值。在這樣一個資料智能的時代,需要更多資料才能打通業務壁壘,發揮更大價值。具體到雲安全,也許有一天公有雲在打通資料後,不僅能夠防患于未然,甚至能夠第一時間定位攻擊者,幫助公安機構第一時間抓住罪魁禍首。
本文來自“科技茱比莉”作者是翔snowman