文 | 陳興躍

勒索蠕蟲病毒事件反思：網(wǎng)絡(luò)安全能力急需協(xié)同

文 | 陳興躍

現(xiàn)任中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟秘書長、北京塞西科技發(fā)展有限責(zé)任公司副總經(jīng)理。先后就讀于北京大學(xué)和中國科學(xué)院，獲得物理博士學(xué)位。曾供職于國家科委中國科技促進發(fā)展研究中心（現(xiàn)名“科技部中國科學(xué)技術(shù)發(fā)展戰(zhàn)略研究院”）。在IT、互聯(lián)網(wǎng)、新媒體、創(chuàng)業(yè)投資等領(lǐng)域擁有豐富的從業(yè)經(jīng)驗。

5月12日，一個名為WannaCry的勒索蠕蟲病毒在全球大范圍傳播，波及100多個國家和地區(qū)，包括政府部門、教育、醫(yī)院、能源、通信、制造業(yè)等多個行業(yè)的數(shù)十萬用戶的網(wǎng)絡(luò)和電腦受到攻擊感染。這是一次波及全球、影響惡劣、危害嚴重的網(wǎng)絡(luò)安全事件。勒索軟件以前主要通過電子郵件等社交方式傳播，這一次是蠕蟲技術(shù)和勒索軟件結(jié)合，所以傳播感染的速度很快，影響面大，造成的后果影響也較為嚴重。

事件發(fā)生以來，業(yè)界反應(yīng)極為迅速，一批網(wǎng)絡(luò)安全企業(yè)和科研單位通過官方網(wǎng)站和社交媒體等多種渠道，不斷更新發(fā)布威脅動態(tài)，共享技術(shù)情報，及時發(fā)布技術(shù)保護措施和應(yīng)對方案；政府部門和專業(yè)機構(gòu)也及時發(fā)布公告和處置指南，增進了社會公眾的關(guān)注度，加強了對基本防護信息的認知，降低了本次事件的影響程度。由于各方應(yīng)對及時，“永恒之藍”勒索蠕蟲爆發(fā)在5月13日達到高峰后，感染率快速下降，周一上班并未出現(xiàn)更大規(guī)模的爆發(fā)，總體傳播感染趨勢得到快速控制。事件過后，對網(wǎng)絡(luò)安全行業(yè)敲響了警鐘，也有必要對這次事件進行經(jīng)驗總結(jié)，現(xiàn)將對勒索蠕蟲病毒事件的一些思考分享出來。

“永恒之藍”事件回溯

2017年4月期間，微軟以及國內(nèi)的主要安全公司都已經(jīng)提示客戶升級微軟的相關(guān)補丁修復(fù)“永恒之藍”漏洞，部分IPS技術(shù)提供廠商也提供了IPS規(guī)則阻止利用“永恒之藍“的網(wǎng)絡(luò)行為；（預(yù)警提示）

2017年5月12日下午，病毒爆發(fā)；（開始）

2017年5月12日爆發(fā)后幾個小時，大部分網(wǎng)絡(luò)安全廠商包括360企業(yè)安全、安天、亞信安全、深信服等均發(fā)出防護通告，提醒用戶關(guān)閉445等敏感端口；（圍堵）

2017年5月13日，微軟總部決定公開發(fā)布已停服的XP特別安全補?。粐鴥?nèi)瑞星、360企業(yè)安全、騰訊、深信服、藍盾等均推出病毒免疫工具，用于防御永恒之藍病毒；（補漏）

2017年5月13日晚，來自英國的網(wǎng)絡(luò)安全工程師分析了其行為，注冊了MalwareTech域名，使勒索蠕蟲攻擊暫緩了攻擊的腳步；（分析）

2017年5月15日，廠商陸續(xù)發(fā)布“文件恢復(fù)”工具，工作機制本質(zhì)上是采用“刪除文件”恢復(fù)原理/機制，即恢復(fù)“非粉碎性刪除文件”；（刪除文件恢復(fù)）

2017年5月20日，阿里云安全團隊推出“從內(nèi)存中提取私鑰”的方法，試圖解密加密文件；生效的前提是中毒后電腦沒重啟、中毒后運行時間不能過長（否則會造成粉碎性文件刪除）；（僥幸解密恢復(fù)）

2017年5月20日之后，亞信安全等網(wǎng)絡(luò)安全公司推出基于該病毒行為分析的病毒防護工具，用于預(yù)防該病毒變種入侵；（未知變種預(yù)防）

2017年6月2日，國內(nèi)網(wǎng)絡(luò)安全企業(yè)找到了簡單靈活的、可以解決類似網(wǎng)絡(luò)攻擊（勒索病毒）方法的防護方案，需要進一步軟件開發(fā)。

事件處理顯示我國網(wǎng)絡(luò)安全能力提升

（一）網(wǎng)絡(luò)安全產(chǎn)業(yè)有能力應(yīng)對這次“永恒之藍”勒索蠕蟲事件

早在4月15日，NSA泄漏“永恒之藍”利用工具，國內(nèi)不少主力網(wǎng)絡(luò)安全企業(yè)就針對勒索軟件等新安全威脅進行了技術(shù)和產(chǎn)品的準備，例如深信服等部分企業(yè)就提取了“永恒之藍”的防護規(guī)則，并部分升級產(chǎn)品，還有部分企業(yè)識別并提前向客戶和社會發(fā)布了預(yù)警信息，例如，在這次事件爆發(fā)時，亞信安全等網(wǎng)絡(luò)安全企業(yè)保證了客戶的“零損失”。

事件發(fā)生后，國內(nèi)網(wǎng)絡(luò)安全企業(yè)積極行動，各主要網(wǎng)絡(luò)安全企業(yè)都進行了緊急動員，全力應(yīng)對WannaCry/Wcry等勒索病毒及其變種的入侵，幫助受到侵害的客戶盡快恢復(fù)數(shù)據(jù)和業(yè)務(wù)，盡量減少損失。同時，也積極更新未受到侵害客戶的系統(tǒng)和安全策略，提高其防護能力。360企業(yè)安全集團、安天等公司及時發(fā)布病毒防范信息，并持續(xù)更新補丁工具。此次“永恒之藍” 勒索蠕蟲被迅速遏制，我國網(wǎng)絡(luò)安全企業(yè)發(fā)揮了重要作用，幫助客戶避免被病毒侵害而遭受損失，幫助受到感染的客戶最大限度地減少損失。

（二）網(wǎng)絡(luò)安全防護組織架構(gòu)體系科學(xué)、組織協(xié)調(diào)得力

隨著《中國人民共和國網(wǎng)絡(luò)安全法》的頒布實施，我國已經(jīng)初步建立了一個以網(wǎng)信部門負責(zé)統(tǒng)籌協(xié)調(diào)和監(jiān)督管理，以工信、公安、保密等其他相關(guān)部門依法在各自職責(zé)范圍內(nèi)負責(zé)網(wǎng)絡(luò)安全保護和監(jiān)督管理工作的管理體系。既統(tǒng)籌協(xié)調(diào)、又各自分工，我國的網(wǎng)絡(luò)安全管理體系在應(yīng)對此次事件中發(fā)揮了重要作用。

依照相關(guān)法律規(guī)范，在有關(guān)部門指導(dǎo)下，眾多網(wǎng)信企業(yè)與國家網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機構(gòu)積極協(xié)同，快速開展威脅情報、技術(shù)方案、發(fā)布通道、宣傳資源、客戶服務(wù)等方面的協(xié)作，有效地遏制住了事態(tài)發(fā)展、減少了損失。

安全事件暴露出的問題

（一）網(wǎng)絡(luò)安全意識不強，對安全威脅（漏洞）重視不夠

4月14日，Shadow Brokers 再次公布了一批新的 NSA 黑客工具，其中包含了一個攻擊框架和多個Windows 漏洞利用工具。攻擊者利用這些漏洞可以遠程獲取 Windows 系統(tǒng)權(quán)限并植入后門。

針對此次泄露的漏洞，微軟提前發(fā)布了安全公告 MS17-010，修復(fù)了泄露的多個 SMB 遠程命令執(zhí)行漏洞。國內(nèi)網(wǎng)絡(luò)安全廠商也提前發(fā)布了針對此次漏洞的安全公告和安全預(yù)警。但是國內(nèi)大部分行業(yè)及企事業(yè)單位并沒有給予足夠的重視，沒有及時對系統(tǒng)打補丁，導(dǎo)致“永恒之藍”大范圍爆發(fā)后，遭受到“永恒之藍”及其變種勒索軟件的攻擊，數(shù)據(jù)被挾持勒索，業(yè)務(wù)被中斷。

在服務(wù)過程中發(fā)現(xiàn)，大量用戶沒有“數(shù)據(jù)備份”的習(xí)慣，這些用戶遭受“永恒之藍”攻擊侵入后，損失很大。

（二）安全技術(shù)有待提高（安全攻防工具）

繼2016年8月份黑客組織 Shadow Brokers 放出第一批 NSA“方程式小組”內(nèi)部黑客工具后，2017年4月14日，Shadow Brokers 再次公布了一批新的 NSA 黑客工具，其中包含了一個攻擊框架和多個Windows 漏洞利用工具。攻擊者利用這些漏洞可以遠程獲取 Windows 系統(tǒng)權(quán)限并植入后門。

目前，我國在網(wǎng)絡(luò)安全攻防工具方面的研發(fā)與歐美國家相比還存在較大差距，我國在網(wǎng)絡(luò)安全漏洞分析、安全防護能力上需進一步加強。勒索蠕蟲入侵一些行業(yè)和單位表明不少單位的安全運維水平較低。

實際上，防御這次勒索蠕蟲攻擊并不需要特別的網(wǎng)絡(luò)安全新技術(shù)，各單位只需要踏踏實實地做好網(wǎng)絡(luò)安全運維工作就可以基本避免受到侵害。具體而言，各單位切實落實好安全管理的基礎(chǔ)性工作——漏洞閉環(huán)管理和防火墻或網(wǎng)絡(luò)核心交換設(shè)備策略最小化就可以基本防御此次安全事件。

在漏洞管理中運用系統(tǒng)論的觀點和方法，按照時間和工作順序，通過引入過程反饋機制，實現(xiàn)整個管理鏈條的閉環(huán)銜接。也就是運用PDCA的管理模式，實現(xiàn)漏洞管理中，計劃、實施、檢查、改進各工作環(huán)節(jié)的銜接、疊加和演進。要盡力避免重發(fā)現(xiàn)、輕修復(fù)的情況出現(xiàn)。及時總結(jié)問題處置經(jīng)驗，進行能力和經(jīng)驗積累，不斷優(yōu)化安全管理制度體系，落實嚴格、明確的責(zé)任制度。需要從脆弱性管理的高度，對系統(tǒng)和軟件補丁、配置缺陷、應(yīng)用系統(tǒng)問題、業(yè)務(wù)邏輯缺陷等問題進行集中管理。通過這些規(guī)范、扎實的工作，切實地提升安全運維能力。

基礎(chǔ)工作做到位，防護能力確保了，可以有效避免大量網(wǎng)絡(luò)安全事件。

對提升網(wǎng)絡(luò)安全防護能力的建議

（一）完善隔離網(wǎng)的縱深防御，內(nèi)網(wǎng)沒有免死金牌！

這次事件的爆發(fā)也反映出不少行業(yè)和單位的網(wǎng)絡(luò)安全管理意識陳舊落后。部分決策者和運維管理人員盲目地認為網(wǎng)絡(luò)隔離是解決安全問題最有效的方式，簡單地認為只要采取了隔離方案就可以高枕無憂。一些單位在內(nèi)網(wǎng)中沒有設(shè)置有效的網(wǎng)絡(luò)安全防護手段，一旦被入侵，內(nèi)網(wǎng)可謂千瘡百孔、一瀉千里。部分單位的內(nèi)網(wǎng)甚至還缺乏有效的集中化管理手段和工具，對于網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)拓撲、數(shù)據(jù)資產(chǎn)等不能夠?qū)崿F(xiàn)有效的統(tǒng)一管理，這給系統(tǒng)排查、業(yè)務(wù)恢復(fù)、應(yīng)急響應(yīng)都帶來了很大的困難，也大幅度地增加了響應(yīng)時間和響應(yīng)成本。這次事件中一些使用網(wǎng)絡(luò)隔離手段的行業(yè)損失慘重，這種情況需要高度警醒。

習(xí)近平總書記在4·19重要講話中專門指出：“‘物理隔離’防線可被跨網(wǎng)入侵，電力調(diào)配指令可被惡意篡改，金融交易信息可被竊取，這些都是重大風(fēng)險隱患?！?/p>

一定要破除“物理隔離就安全”的迷信。隨著IT新技術(shù)的不斷涌現(xiàn)和信息化的深入發(fā)展，現(xiàn)實中的網(wǎng)絡(luò)邊界越來越模糊，業(yè)務(wù)應(yīng)用場景越來越復(fù)雜，IT 系統(tǒng)越來越龐大，管理疏忽、技術(shù)漏洞、人為失誤等都可能被利用，有多種途徑和方法突破隔離網(wǎng)的邊界阻隔。網(wǎng)絡(luò)隔離不是萬能的，不能一隔了之，隔離網(wǎng)依然需要完善其縱深防御體系。

在網(wǎng)絡(luò)安全建設(shè)和運營中，一定要堅持實事求是的科學(xué)精神。在全社會，特別是在政府、重點行業(yè)的企事業(yè)單位各級領(lǐng)導(dǎo)應(yīng)樹立正確的網(wǎng)絡(luò)安全觀仍是當(dāng)今重要的緊迫工作。

（二）強化協(xié)同協(xié)作，進一步發(fā)揮國家隊的作用

面對日益復(fù)雜的網(wǎng)絡(luò)空間安全威脅，需要建立體系化的主動防御能力，既有全網(wǎng)安全態(tài)勢感知和分析能力，又有縱深的響應(yīng)和對抗能力。動態(tài)防御、整體防御才能有效地應(yīng)對未知的安全威脅。體系化能力建設(shè)的關(guān)鍵在于協(xié)同和協(xié)作，協(xié)同協(xié)作不僅僅是在網(wǎng)絡(luò)安全廠商之間、網(wǎng)信企業(yè)之間、網(wǎng)絡(luò)安全廠商與客戶之間、網(wǎng)信企業(yè)與專業(yè)機構(gòu)之間，國家的相關(guān)部門也要參與其中。國家的相關(guān)專業(yè)機構(gòu)，如國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）等應(yīng)在其中承擔(dān)重要角色。

在安全事件初期，各種信息比較繁雜，并可能存在不準確的信息。建議國家信息安全應(yīng)急響應(yīng)機構(gòu)作為國家隊的代表，在出現(xiàn)重大安全事件時，積極參與并給出一個更獨立、權(quán)威的解決方案，必要時可以購買經(jīng)過驗證的第三方可靠解決方案，通過多種公眾信息發(fā)布平臺，免費提供給社會，以快速高效地應(yīng)對大規(guī)模的網(wǎng)絡(luò)攻擊事件。

（三）進一步加強網(wǎng)絡(luò)安全意識建設(shè)和管理體系建設(shè)

三分技術(shù)、七分管理、十二分落實。安全意識和責(zé)任制度是落實的基本保障。

加強網(wǎng)絡(luò)安全檢查機制。加強對國家關(guān)鍵基礎(chǔ)設(shè)施的安全檢查，特別是可能導(dǎo)致大規(guī)模安全事件的高危安全漏洞的檢查。定期開展網(wǎng)絡(luò)安全巡檢，把網(wǎng)絡(luò)安全工作常態(tài)化。把安全保障工作的重心放在事前，強化網(wǎng)絡(luò)安全運營的理念和作業(yè)體系，把網(wǎng)絡(luò)安全保障融入到日常工作和管理之中。

采用科學(xué)的網(wǎng)絡(luò)安全建設(shè)模型和工具，做好頂層設(shè)計，推進體系化和全生命周期的網(wǎng)絡(luò)安全建設(shè)與運營。盡力避免事后打補丁式的網(wǎng)絡(luò)安全建設(shè)模式，把動態(tài)發(fā)展、整體的網(wǎng)絡(luò)安全觀念落實到信息化規(guī)劃、建設(shè)和運營之中。

安全建設(shè)不要僅考慮產(chǎn)品，同時要重視制度、流程和規(guī)范的建設(shè)，并要加強人的管理和培訓(xùn)。

加強網(wǎng)絡(luò)安全意識教育宣傳。通過互聯(lián)網(wǎng)、微信、海報、報刊等各種形式的宣傳，加強全民網(wǎng)絡(luò)安全意識教育的普及與重視。在中小學(xué)普及網(wǎng)絡(luò)安全基礎(chǔ)知識和意識教育。借助“國家網(wǎng)絡(luò)安全宣傳周”等重大活動，發(fā)動社會資源進行全民宣傳教育，讓“網(wǎng)絡(luò)安全為人民、網(wǎng)絡(luò)安全靠人民”的思想深入人心。

（四）進一步加強整體能力建設(shè)

切實落實“4·19講話”精神，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，建立全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢的國家能力與產(chǎn)業(yè)能力，增強網(wǎng)絡(luò)安全防御能力和威懾能力。不僅要建立政府和企業(yè)網(wǎng)絡(luò)安全信息共享機制，同時要積極推進企業(yè)之間的網(wǎng)絡(luò)安全信息共享，探索產(chǎn)業(yè)組織在其中能夠發(fā)揮的積極作用。

加強網(wǎng)絡(luò)安全核心技術(shù)攻關(guān)。針對大型網(wǎng)絡(luò)安全攻擊，開發(fā)具有普適性的核心網(wǎng)絡(luò)安全關(guān)鍵技術(shù)，例如可以有效防御各類數(shù)據(jù)破壞攻擊（數(shù)據(jù)刪除、數(shù)據(jù)加密、數(shù)據(jù)修改）的安全技術(shù)。

完善國家網(wǎng)絡(luò)安全產(chǎn)業(yè)結(jié)構(gòu)。按照國家網(wǎng)絡(luò)安全戰(zhàn)略方針、戰(zhàn)略目標，加強網(wǎng)絡(luò)某些安全產(chǎn)品（安全檢測、數(shù)據(jù)防護等）的研發(fā)。

加強網(wǎng)絡(luò)安全高端人才培養(yǎng)。加強網(wǎng)絡(luò)安全高端人才培養(yǎng)，特別是網(wǎng)絡(luò)安全管理、技術(shù)專家培養(yǎng)，尤其是網(wǎng)絡(luò)安全事件分析、網(wǎng)絡(luò)安全應(yīng)急與防護，密碼學(xué)等高級人才的培養(yǎng)。

加強網(wǎng)絡(luò)安全攻防演練。演練優(yōu)化安全協(xié)調(diào)機制，提高安全技能和安全應(yīng)急響應(yīng)效率。

（五）加強對網(wǎng)絡(luò)安全犯罪行為的懲罰

依法對網(wǎng)絡(luò)安全犯罪行為進行處罰，提高取證能力和執(zhí)法力度，加大對網(wǎng)絡(luò)安全犯罪行為的威懾力。借助跨國司法專項合作，打擊國際網(wǎng)絡(luò)犯罪行為。

結(jié)束語：“永恒之藍”勒索病毒攻擊是首次把勒索軟件與蠕蟲病毒結(jié)合起來，這也充分展示了網(wǎng)絡(luò)攻擊將多種攻擊技術(shù)結(jié)合、復(fù)雜度和攻擊強度增加、傳播更加快速等趨勢。潘多拉盒子已經(jīng)打開，未來將面臨更加復(fù)雜、更多樣的網(wǎng)絡(luò)空間威脅，未知的隱匿威脅是更加致命的挑戰(zhàn)。提升全社會的網(wǎng)絡(luò)安全意識，建立整體的主動防御能力是保障網(wǎng)絡(luò)空間安全的重要舉措。