“WannaCry黑了全世界,也没有让其制造者挣到几个比特币,这恐怕也是让此次攻击黑客感到失望的”。
说起来是一句玩笑话,但反观防守这一边就赢得了这场“战役”吗?当然不是,有人将它形容为“5·12网络地震”,是因为WannaCry攻击范围遍布全世界超过100多个国家及地区,影响的企业或行业包括了电信运营商、加油站、医疗机构、高校甚至公安网,给生产、生活带来了巨大的威胁和恐慌。
之所以WannaCry攻击者没有因此获得巨额收益,是因为各个国家从政府主管机构到媒体到安全厂商都进行了广泛的宣传、教育和补救措施。但毫无疑问WannaCry将是一次载入网络安全史册的事件。
值得我们思考的是,其实在WannaCry发起攻击的近两个月前,微软已经发布了相关安全补丁(针对其支持更新的系统),以及近一个月前黑客组织影子经纪人公布了涉及此次攻击漏洞利用框架的工具包。
在这样的一些预警信息下,还会产生如此大规模的攻击,我们不得不问原因是什么?要知道这么多的行业企业终端不可能是“裸奔”的,除了终端安全软件以外,网关层面大多也有安全设备。
但令人失望的是,不会发生的还是发生了。这一次有可用补丁,哪怕是一些老旧系统没有补丁,也是有安全预警信息的。假如下一次攻击发生时没有任何预补丁,那时的后果又是怎样的呢?
真的不敢想像!
我们知道WannaCry开创了一个先河,它是蠕虫+勒索的混搭攻击方式。勒索不用再解释,不妨再来看看蠕虫的特性。亚信安全专家指出,曾经,90%的勒索软件都是通过网站或者邮件渗透实现攻击。但蠕虫利用的是系统漏洞,用户不需要任何点击、下载等互动,黑客就可进行远程控制,悄无声息,自己可能就变成了被攻击者。
所以,我们不禁要问,假如下一次发生这样的攻击:利用我们不知道的漏洞(例如NSA攻击武器库中不为人知的),当然也不可能存在预补丁,又是蠕虫+勒索,或其他组合攻击。恐怕受害不是20几万终端,这个数字后面要多加几个“0”了。
就像亚信安全通用安全产品中心总经理童宁说的那样,“作为安全服务提供者,难道要跟客户讲,这是一次百年一遇的大攻击?”
“我们现在面临的情形非常危险。”
必须要求技术进步,从WannaCry可以总结出,我们的安全防护不应该这么脆弱。
据了解,此次攻击事件中,亚信安全没有一例客户终端出现感染。为什么?亚信安全专家介绍,首先其多条产品线4月已经针对微软“永恒之蓝”漏洞发布了虚拟补丁和检测策略。其次,桌面安全产品OfficeScan通过AGEIS引擎(行为监控)使用ADC功能对勒索软件恶意的加密行为成功实施拦截,这是发生在即使病毒码没有更新、硬件网关失效、系统没打补丁的情况下,下一版本中亚信安全还会为其加入机器学习引擎,再次提高它的主动防御性。
通过制定事前、事中、事后的安全策略,并强调补丁管理、异常行为检测、沙箱分析、机器学习等技术手段,配合专业的安全服务,确保客户的配置更新以及安全软件更新,这是亚信安全的技术进步路线,从而抵制下一次可能更高风险的攻击。
所以,WannaCry事件是对安全技术和安全提供商的一次检验,谁在裸泳,一眼看出。WannaCry绝不是终点,在可以预计的此类越来越多的的对抗中唯有真刀真枪、不断革新技术才能赢得用户和市场尊重,也是一种责任担当。
最后还有一句话,我们常说“三分技术、七分管理”,透过WannaCry导致一些隔离内网受害也看得出,企业也应该加强安全管理规范、提升安全意识和治理水平。
原文发布时间为:2017年5月19日
本文作者:陈广成