【51CTO.com原创稿件】WannaCry蠕虫式勒索病毒已经肆虐十余天了,虽然业界各种补丁、查杀工具、应对措施不断,但仍然不时传来客户中招的消息。这让人不禁感慨:究竟是对手太狡猾,还是我们太大意?不少专家认为,这次WannaCry病毒只是黑客组织的一次预演,下一次攻击随时可能到来,更残酷的是,下一次的病毒攻击,必然会规避掉这次WannaCry病毒例如域名开关、无法确认赎金支付对象等诸多缺陷,让人更加难以抵御。
现如今这个阶段更像是两波战争之间的短暂休整期,双方都在抓紧积蓄力量,试图在即将到来的激战中获胜。像朗程科技这样的IT系统服务提供商也不例外,记者日前采访了朗程科技系统集成部经理高级工程师赵伯禹,看看他们在如此短的时间内是如何给客户的安全实力做加法的。
朗程科技系统集成部经理高级工程师赵伯禹
从三处细节看WannaCry的破坏力
赵伯禹告诉记者,之所以WannaCry病毒能在这么短的时间内造成如此大的破坏,要究其原因,还得从勒索蠕虫的原理说起:
首先,WannaCry蠕虫利用的漏洞非常普遍,绝大部分的个人PC机仍然使用微软的Windows操作系统,而Windows系统默认打开了445端口,并且大量的Windows用户没有定期更新补丁的习惯,这给蠕虫的传播提供了大量宿主。
其次,传统的勒索软件需要靠“骗”,也就是说需要哄骗受害者主动点击某个附件、某个网址等等。而此次蠕虫病毒可以进行自我传播和自动复制,也就是可以进行主动的探测和传播。这个从“被动”到“主动”的转化,造成了传播速度上质的差异,使的WannaCry的破坏性覆盖的范围更广。
赵伯禹指出,以往的勒索软件都是比较有针对性的攻击大企业或者政府机构,然而此次的勒索病毒的目标是无差别攻击企业、机构和普通人,这在以往是没有过的,另外,此次黑客要求的是比特币交易,勒索病毒本身与比特币并无直接关系,而黑客之所以要求以比特币进行赎金支付,恰恰是看中了比特币在支付转账时的全球化、去中心化和匿名性等“优势”,因此追踪起来也将更加困难。
当记者问到这次内网为何成“重灾区”时,赵伯禹认为,从安全防护方面来说,所有硬件系统都不是完全隔离了互联网独立运行的,只要需要跟这个世界进行某种联系,总会以各种形式被渗透。内网这次中招,从另一个角度也刷新了人们对内网的安全认知。记者了解到,内网之所以会中毒,很大一部分原因是因为执行不规范,人们使用U盘将外网的病毒带入了内网,病毒一旦进入内网,简直势不可挡如入无人之境。“究其原因,主要是由于在安全地虚幻感下,内网几乎不更新系统,好比是无菌房里的花,一有风吹草动就枯萎。”
安全应急也有黄金24小时
作为IT系统服务提供商,朗程科技在发现勒索病毒的黄金24小时内做了哪些事情来降低客户风险?
赵伯禹介绍到,2017年5月12日,永恒之蓝勒索蠕虫在全球范围内爆发大规模攻击,朗程科技第一时间做出应急响应。他们一方面从用户的基础设施和恶意软件等方面做出分析,并对“永恒之蓝”勒索蠕虫病毒重点监测,另一方面协调了技术人员成立了应急方案小组,为客户制定了完整的安全开机指南,并派遣技术人员到现场为用户指导如何预防勒索病毒的侵入,并为需要的客户手动升级安装补丁等。
不仅如此,朗程科技还做了最坏的准备,一旦客户不幸中招之后,朗程科技也准备了一套紧急方案,防止病毒的蔓延,将客户损失降到最低。与安全厂商求“同”,以追求解决方案适用范围最大化的目的不同,IT系统集成商更强调的是“专”,朗程科技的一个重要价值就在于能够针对不同行业的业务类型,制定了针对性的应急方案,满足客户个性化的需求。
他告诉记者,通过这次的事件,客户也意识的网络安全和数据备份地重要性,一招不慎,就可能导致大量数据丢失。不少客户表示以后会更加注重数据的备份。
传统安全思维受拷问
此次勒索病毒肆虐全球,让人们充分感受到了在网络安全威胁下的恐惧和无助,“勒索病毒”事件,对于未来网络安全行业,可以认为是里程碑事件,网络安全由此进入了新常态。赵伯禹表示,虽然此次的勒索病毒造成大规模的破坏,但庆幸的是,这次事件也算是给很多企业做了一次演习,暴露了企业安全的一些误区。
他认为应该吸取三方面的教训:首先是安全意识需要强化。对网络攻击的防范首先应该是意识上的,但很多企业安全主管的网络安全意识淡薄,既不及时安装免疫工具也不及时打补丁。因此提高大家安全意识是最迫切的任务。
其次,内网隔离的理念被证明彻底落后了。在互联网早期,企业利用内网把设备和互联网隔离开,认为只要隔离了病毒就进不来。但这次“勒索病毒“事件中,很多内网也遭遇到了感染,所以人们应当重新审视数据的安全性。“我认为将重要资料备份到云平台,是行之有效的手段之一,将数据备份到云平台,不仅能保障数据的安全性,也能统一调度企业资源。”
赵伯禹给出了解决办法。
最后,安全产业须建应急协同机制,这次学校、政府、医院、加油站等公共机构成为被攻击的重灾区,充分证明了应对网络恐怖袭击,不仅仅是个人或者企业的事情,更加需要社会、国家、安全厂商、IT系统服务商、客户做好紧急预案,协同解决。
做好这四步,保证不“想哭”
通过这次事件,赵伯禹强烈建议企业用户至少做好以下四项防御:
一,重要文件一定要随时备份,如果是企业,建议将数据备份到云平台上,因为云备份效率和可靠性高,数据恢复时间短,切具备无限扩展能力,而且边使用边付费的模式减少了备份的采购和实施带来的烦恼。
二,系统一定保持最高安全等级,及时升级到最新版本,建议打开自动更新功能。同时,系统需要安装杀毒软件,更新病毒库。
三,不要轻易打开陌生文件,尤其是陌生邮件和IM通信软件中的文件。
四,安装正版操作系统、Office软件,尽量不用来历不明的盗版软件。
俗话说“常将有日思无日,莫待无时思有时”,如果大家都能加强安全防范意识,及时更新病毒库,对来源未知的链接常存警惕之心,最重要的是,该备份的东西及时备份,那么在下一波病毒到来之时,“想哭”的也许是黑客了,而我们可以笑到最后。
作者:周雪
来源:51CTO