347
技術社區[雲棲]
WannaCry反思:傳統安全理念遭遇馬奇諾防線式潰敗
今天一早,我就被朋友圈中“WannaCry”的各種“開機攻略”震驚了。
當然用MAC的我,絕非幸災樂禍,因為家裏也有一台Windows台式機。真正讓筆者吃驚的是,安全廠商們在提出所謂“主動防禦”策略已經很多年的今天,竟然麵對“WannaCry”這樣一個並不十分高明的勒索病毒,齊刷刷被動應對。
這足夠讓我們反思,在全球邁向萬物互聯的今天,我們的網絡安全到底出了什麼問題?誰來保障我們的數據安全?
並不高明的WannaCry
首先通俗解釋一下什麼是“WannaCry”?
“WannaCry”其實很簡單,就是利用微軟“Windows”係統的漏洞,自動掃描445文件共享端口,如果445端口是開啟的Windows機器,該病毒無需用戶任何操作,就可以將所有磁盤文件複製後加密、鎖死,後綴變為.onion,並刪除原文件。隨後,黑客可以遠程控製木馬,向用戶勒索比特幣“贖金”。
這個病毒在筆者看來其實並不怎麼高明。因為首先,基於445端口傳播擴散的SMB漏洞MS17-010,微軟早在今年3月份就已經公布;其次今年4月份,美國國家安全局NSA旗下的“方程式黑客組織”甚至曝光了“WannaCry”同源的惡意軟件。理論上,各大安全廠商應該早已更新過病毒防禦係統。
但奇怪的是,就是這樣一個“眾所周知”的係統漏洞,竟然仍引起了全球範圍內嚴重的病毒感染——北京時間5月12日晚20點,全球爆發大規模“WannaCry”勒索軟件感染事件,第一時間造成英國16家醫院內網被攻陷,電腦內所有資料被鎖,黑客索要每家醫院300比特幣(接近400萬人民幣)的贖金;隨後法國汽車製造商雷諾宣布受其影響,將暫時停止生產;而我國,大量行業企業內網受到感染,特別是教育網受損嚴重,多所高校教學係統、校園一卡通係統癱瘓,此外,全國多地中石油加油站出現斷網的情況,致使加油卡、POS機無法使用。
據歐洲刑警組織總幹事當地時間14日接受媒體采訪時稱,全球目前大約150個國家的20萬受害者中招,除了公共事業單位如醫院和高校之外,更多的是企業,甚至是大企業被“WannaCry”勒索。
不僅僅是安全意識薄弱
眾所周知,微軟更新Windows漏洞補丁,年年有、月月有,別說是企業,就是個人也已經習以為常——更新補丁,幾乎已經成為Windows用戶的一項日常工作。
為什麼這樣一個早在3月份就已經公布的安全隱患,時隔兩個月還會大規模爆發,而且受害者又是以所謂“安全防範意識較高”的機構組織為主?
在筆者看來,答案或許很簡單,因為這次的“WannaCry”與以往病毒攻擊不同,攻擊的對象不是計算機係統、設備,而是數據。這樣以勒索為目的的場景式攻擊,讓大多數用戶和安全廠商始料未及,因而防範措施並不到位。
舉個並不是特別恰當的例子:雷公太極10秒被KO,因為徐曉東完全沒有按照所謂的“常理”——傳統招式出拳,一下子就被搏擊倒了。
很明顯,在萬物互聯的今天,傳統“魔高一尺,道高一丈”的理念,也必須與時俱進,因為網絡攻擊往往在30分鍾內就已經解決戰鬥。
換句話說,“道高一丈”必須在分鍾級的時間範圍內,就實現全網應對部署,這對於企業網管來說,完全是不現實的;對於傳統安全廠商來說,也是不現實的,因為一家安全廠商有成千上萬的客戶,每一家都是傳統安全防護,廠商並沒有權限實現遠程安全管理。
“這次勒索病毒事件,並不是安全廠商能力差,而是模式的問題,表明私有雲並不真正安全。”阿裏雲安全負責人肖力認為,“公共雲很大的優勢,就是公共雲實際上是在用自動化的手段,保護自家的城牆。”
智能安全保護自己城牆
記得一家國內知名安全廠商產品負責人曾經跟筆者舉過馬奇諾防線的例子。換句話說,傳統的網絡安全是正麵防禦為主,但這種方式一旦被繞過或突破,受害的客戶往往是被動發現。這時候的問題在於,傳統網絡安全對突破正麵防禦的威脅檢測、診斷較慢,處置響應也比較慢。
正因為此,當前網絡安全運維的趨勢重點,正在從正麵防禦轉向加強持續檢測和快速響應的投入力度進行轉變,變被動為主動智能安全運營。但實際上,全網安全可視化的基礎是全網可見性,需要通過持續檢測來完成,這對於分散部署的IT係統來說,幾乎是可望而不可及的事情。
在筆者看來,這樣的工作,最合理的解決方案,是把工作交給具備全網安全可視化能力的服務商來做。這在今天,隻有一個模式,就是公共雲提供商。
舉個例子,阿裏雲的安全策略主要體現在兩個方麵,一是覆蓋所有IT layers,全網可見;二是數據驅動的持續監控和深度學習、分析,形成自動感知、自動預警、自動止血和反擊的閉環能力。比如雲盾抗DDoS分析集群就有500台服務器,其計算和分析能力帶來了小於3秒的攻擊響應時間。
據肖力透露,此次“WannaCry”勒索病毒沒有重創到阿裏雲的客戶,是因為阿裏雲早在三月份評估微軟披露相關漏洞的時候,就認為該漏洞是一個非常嚴重的漏洞,第一時間通知用戶,推出一鍵修複工具,提醒用戶把445端口關掉。同時首先在雲平台外圍搭建防禦層,留出修複漏洞的時間。無疑,“WannaCry”勒索病毒可以看作是一起由以破壞為目的惡意攻擊,轉向牟利為目的的標誌性事件,威脅到每個人的數據數字財產、社會安全。
人們或許應該慶幸這次事件發生在北京時間周五晚間,沒有給太多國內企業第一時間造成大量危害,但更應該做的是,在互聯網、大數據時代,敲響網絡安全的警鍾。
最後更新:2017-05-15 20:01:07