【51CTO.com原創(chuàng)稿件】5月12日晚上8點(diǎn)開始肆虐的“蠕蟲”式勒索病毒軟件攻擊事件仍在持續(xù)發(fā)酵，雖然5月15日工作日第一天并沒有爆發(fā)預(yù)期中的攻擊高峰，但是該勒索軟件還在傳播，攻擊范圍仍在緩慢擴(kuò)散。

　　記者發(fā)現(xiàn)，目前網(wǎng)絡(luò)安全廠商應(yīng)對(duì)措施主要分為兩種，一種是下載微軟補(bǔ)丁，更新病毒庫(kù)，例如金山安全軟件、360、Mcafee紛紛更新病毒庫(kù)，有的還提供了修復(fù)工具;另一種是利用防火墻端口控制，將445端口隔離，例如亞信安全、賽門鐵克，就采取封堵端口，有的還采取加裝IPS措施。

　　不可否認(rèn)，這些措施是有效果的，“WannaCry”勒索軟件沒有在周一發(fā)生更大規(guī)模爆發(fā)，與安全廠商提供的這些補(bǔ)救措施有莫大關(guān)系。但是我們也必須看到，正是這次“蠕蟲”式勒索病毒軟件攻擊事件，暴露出傳統(tǒng)殺毒軟件的軟肋——永遠(yuǎn)慢人一步，只能被動(dòng)防御。

　　記者第一時(shí)間想到了Sophos 公司，這家有著30 年防病毒和網(wǎng)絡(luò)防護(hù)經(jīng)驗(yàn)的老牌安全廠商，2年前曾在全球推出首款反勒索軟件產(chǎn)品。那么Sophos的反勒索軟件經(jīng)受住本次考驗(yàn)了嗎?他們采取的安全措施與其他安全廠商有何不同?Sophos的安全策劃是否可以為其他安全廠商所借鑒?記者采訪了Sophos中國(guó)總經(jīng)理鐘明輝、高級(jí)工程師李黎，請(qǐng)他們分享了對(duì)本次事件的觀點(diǎn)與深度思考。

[[191474]]

Sophos中國(guó)總經(jīng)理鐘明輝

　　鐘明輝告訴記者，就目前中國(guó)市場(chǎng)而言，凡是部署了Sophos反勒索軟件產(chǎn)品的用戶，目前沒有被勒索軟件攻擊的反饋。

　　為什么WannaCry會(huì)攻擊成功?

　　人們現(xiàn)在已經(jīng)了解，WannaCry 勒索軟件是利用了微軟在445 端口的MS17-010漏洞傳播擴(kuò)散的。然而，就在今年3月，微軟已經(jīng)發(fā)布了該漏洞的補(bǔ)丁，那么在大多數(shù)企業(yè)都已經(jīng)部署了安全產(chǎn)品的現(xiàn)狀下，為什么勒索軟件還是能成功進(jìn)入?

　　高級(jí)工程師李黎認(rèn)為成功進(jìn)入的最主要的原因是，攻擊者成功地使用了釣魚郵件，利用社會(huì)工程學(xué)方式，勒索軟件從這個(gè)途徑進(jìn)入內(nèi)部網(wǎng)絡(luò)。

　　其次，本次勒索軟件，與以往勒索軟件不同，其嵌套了一個(gè)黑客攻擊工具，利用微軟操作系統(tǒng)445端口漏洞，從被感染主機(jī)對(duì)內(nèi)部其他主機(jī)進(jìn)行了蠕蟲式傳播。內(nèi)部的不同網(wǎng)絡(luò)通訊區(qū)域間，沒有屏蔽掉用于內(nèi)部網(wǎng)絡(luò)共享的445端口，防火墻策略形同虛設(shè)，而且操作系統(tǒng)補(bǔ)丁更新不及時(shí)。雖然不少企業(yè)IT管理員已經(jīng)認(rèn)識(shí)到及時(shí)更新補(bǔ)丁的重要性，但是打補(bǔ)丁后的系統(tǒng)穩(wěn)定性，業(yè)務(wù)可用性都需要時(shí)間與精力去評(píng)估，因此打補(bǔ)丁執(zhí)行力度上大打折扣。因此，綜合因素混雜在一起，就出現(xiàn)了用戶內(nèi)網(wǎng)被大規(guī)模攻陷的情況。

　　第三， 缺乏先進(jìn)的預(yù)見性防御技術(shù)。勒索軟件的出現(xiàn)暴露了傳統(tǒng)殺毒軟件的“軟肋”，勒索軟件不是傳統(tǒng)的病毒，而是有針對(duì)性的惡意程序，并開始借助黑客工具、利用系統(tǒng)高危漏洞來快速傳播。這是非常典型的零日威脅攻擊。

　　為什么Sophos能防得住?

　　記者了解到，Sophos這款反勒索軟件產(chǎn)品叫做Sophos Intercept X，正如鐘明輝所言，已經(jīng)部署這款產(chǎn)品的用戶，無需做任何操作即可抵御WannaCry的攻擊。為什么Sophos Intercept X可以做到主動(dòng)防御零日威脅呢?

　　據(jù)李黎介紹，Intercept X是Sophos 下一代端點(diǎn)安全解決方案之一，主要功能就是阻止未知的零日威脅攻擊。有別于傳統(tǒng)的防病毒軟件，Sophos Intercept X不需要病毒庫(kù)的支撐，而是分析程序?qū)σ阎┒醇夹g(shù)的使用和其自身的行為，例如分析可疑程序的復(fù)雜加密行為，并迅速阻止該行為。

　　面對(duì)當(dāng)今千變?nèi)f化的勒索軟件的攻擊，Intercept X可以阻止勒索軟件對(duì)文件的持續(xù)加密。通過獨(dú)特的技術(shù)在文件遭受加密前，自動(dòng)創(chuàng)建文件副本，如文件已被加密，則會(huì)還原被加密的文件。用戶沒有任何損失。

　　李黎告訴記者，雖然目前這款WannaCry軟件已經(jīng)出現(xiàn)了近20余個(gè)變種，但是萬變不離其宗，所有勒索軟件都離不開最終對(duì)文件的破壞這一行為。Intercept X就是抓住這個(gè)特征，結(jié)合獨(dú)有的高級(jí)行為分析引擎，只要發(fā)現(xiàn)程序行為異常，就立即阻斷。除此之外，Intercept X還有阻止漏洞技術(shù)被利用功能，可以阻止惡意軟件利用漏洞技術(shù)進(jìn)行入侵。“我們的軟件還會(huì)自動(dòng)進(jìn)行根源分析，幫助用戶真正了解威脅是從哪里來，到哪里去，干了什么事，實(shí)現(xiàn)從開始到結(jié)束可視化攻擊鏈的呈現(xiàn)。解決管理員亡羊不知如何補(bǔ)牢的現(xiàn)狀。”

　　記者獲悉，英國(guó)劍橋郡的金博爾頓學(xué)校在經(jīng)歷耗時(shí)的勒索軟件攻擊后安裝了 Intercept X，現(xiàn)在Intercept X 的 CryptoGuard 技術(shù)每天可以找出約 200 次的勒索軟件攻擊意圖，并將其攔截。該學(xué)校IT技術(shù)人員Alex Bradshaw表示，Intercept X讓他從繁重安全運(yùn)維操作中解脫出來，每天有更多的時(shí)間投入到日常工作中。

　　在攻擊中反思

　　鐘明輝告訴記者，針對(duì)本次勒索軟件事件的高發(fā)區(qū)之一——英國(guó)醫(yī)療系統(tǒng)，Sophos已經(jīng)發(fā)布了一條免費(fèi)服務(wù)來解決這個(gè)問題。英國(guó)政府也在第一時(shí)間發(fā)布規(guī)定，要求企業(yè)除了安裝殺毒軟件以外，還要安裝反勒索軟件。

　　他指出，本次攻擊事件從另外一個(gè)角度而言，也帶來了很多反思，不論對(duì)客戶還是安全廠商，都面臨同樣的問題：倘若下一次再發(fā)生一次零日威脅攻擊，還防得住嗎?現(xiàn)有的安全架構(gòu)，是否存在紕漏?安全策略能否需要調(diào)整?有沒有比打補(bǔ)丁更好的解決辦法?

　　鐘明輝認(rèn)為，雖然本次勒索軟件攻擊事件給全球的企業(yè)帶來了巨大的損失，但是從損失里可以汲取教訓(xùn)，相信很多人已經(jīng)意識(shí)到，提升安全意識(shí)不應(yīng)該是為了應(yīng)付而作。“如果一名IT從業(yè)者，沒有把安全當(dāng)做所有工作的重要基礎(chǔ)，那一定會(huì)有問題的。”他強(qiáng)調(diào)，安全是整個(gè)IT非常重要一環(huán)，不是被動(dòng)的，而是主動(dòng)的。

　　曾經(jīng)很多人認(rèn)為查殺病毒是一項(xiàng)非常虛無的工作，看不見摸不著，但是這次數(shù)額不小的比特幣勒索，讓很多客戶突然意識(shí)到安全的價(jià)值，也開始尋求更高效的安全技術(shù)產(chǎn)品。

　　Sophos的安全產(chǎn)品之所以能夠做到快人一步，和他們始終追求新的安全防護(hù)技術(shù)這一發(fā)展策略不無關(guān)系。他們最早提出“同步安全”的理念，在幾年前就做到端點(diǎn)和防火墻之間的聯(lián)動(dòng)，實(shí)現(xiàn)從網(wǎng)絡(luò)邊界到內(nèi)網(wǎng)端點(diǎn)的立體化防護(hù)。今年二月，Sophos 還收購(gòu)一家具有前瞻性的新一代惡意軟件防護(hù)廠商Invincea, 透過新一代機(jī)器學(xué)習(xí)技術(shù)，用于研究如何高效追蹤、查殺病毒及惡意程序。“我們?cè)敢鈱⑿碌募夹g(shù)帶給客戶，傳遞更先進(jìn)的安全理念，給客戶更好的選擇。”

　　采訪的最后，鐘明輝表示，他希望越來越多的企業(yè)用戶意識(shí)到，安全應(yīng)該是網(wǎng)絡(luò)架構(gòu)初期就開始設(shè)計(jì)考慮的重要因素，一旦前期沒有意識(shí)到安全的重要性，那么后期作為補(bǔ)充被部署到網(wǎng)絡(luò)中，就難免出現(xiàn)漏洞，為人所趁。“安全需要規(guī)劃，這個(gè)階段越提前效果越好。”

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】