【51CTO.com原創(chuàng)稿件】WannaCry蠕蟲式勒索病毒已經(jīng)肆虐十余天了，雖然業(yè)界各種補(bǔ)丁、查殺工具、應(yīng)對(duì)措施不斷，但仍然不時(shí)傳來客戶中招的消息。這讓人不禁感慨：究竟是對(duì)手太狡猾，還是我們太大意?不少專家認(rèn)為，這次WannaCry病毒只是黑客組織的一次預(yù)演，下一次攻擊隨時(shí)可能到來，更殘酷的是，下一次的病毒攻擊，必然會(huì)規(guī)避掉這次WannaCry病毒例如域名開關(guān)、無法確認(rèn)贖金支付對(duì)象等諸多缺陷，讓人更加難以抵御。

　　現(xiàn)如今這個(gè)階段更像是兩波戰(zhàn)爭之間的短暫休整期，雙方都在抓緊積蓄力量，試圖在即將到來的激戰(zhàn)中獲勝。像朗程科技這樣的IT系統(tǒng)服務(wù)提供商也不例外，記者日前采訪了朗程科技系統(tǒng)集成部經(jīng)理高級(jí)工程師趙伯禹，看看他們在如此短的時(shí)間內(nèi)是如何給客戶的安全實(shí)力做加法的。

[[192129]]

朗程科技系統(tǒng)集成部經(jīng)理高級(jí)工程師趙伯禹

　　從三處細(xì)節(jié)看WannaCry的破壞力

　　趙伯禹告訴記者，之所以WannaCry病毒能在這么短的時(shí)間內(nèi)造成如此大的破壞，要究其原因，還得從勒索蠕蟲的原理說起：

　　首先，WannaCry蠕蟲利用的漏洞非常普遍，絕大部分的個(gè)人PC機(jī)仍然使用微軟的Windows操作系統(tǒng)，而Windows系統(tǒng)默認(rèn)打開了445端口，并且大量的Windows用戶沒有定期更新補(bǔ)丁的習(xí)慣，這給蠕蟲的傳播提供了大量宿主。

　　其次，傳統(tǒng)的勒索軟件需要靠“騙”，也就是說需要哄騙受害者主動(dòng)點(diǎn)擊某個(gè)附件、某個(gè)網(wǎng)址等等。而此次蠕蟲病毒可以進(jìn)行自我傳播和自動(dòng)復(fù)制，也就是可以進(jìn)行主動(dòng)的探測和傳播。這個(gè)從“被動(dòng)”到“主動(dòng)”的轉(zhuǎn)化，造成了傳播速度上質(zhì)的差異，使的WannaCry的破壞性覆蓋的范圍更廣。

　　趙伯禹指出，以往的勒索軟件都是比較有針對(duì)性的攻擊大企業(yè)或者政府機(jī)構(gòu)，然而此次的勒索病毒的目標(biāo)是無差別攻擊企業(yè)、機(jī)構(gòu)和普通人，這在以往是沒有過的，另外，此次黑客要求的是比特幣交易，勒索病毒本身與比特幣并無直接關(guān)系，而黑客之所以要求以比特幣進(jìn)行贖金支付，恰恰是看中了比特幣在支付轉(zhuǎn)賬時(shí)的全球化、去中心化和匿名性等“優(yōu)勢”，因此追蹤起來也將更加困難。

　　當(dāng)記者問到這次內(nèi)網(wǎng)為何成“重災(zāi)區(qū)”時(shí)，趙伯禹認(rèn)為，從安全防護(hù)方面來說，所有硬件系統(tǒng)都不是完全隔離了互聯(lián)網(wǎng)獨(dú)立運(yùn)行的，只要需要跟這個(gè)世界進(jìn)行某種聯(lián)系，總會(huì)以各種形式被滲透。內(nèi)網(wǎng)這次中招，從另一個(gè)角度也刷新了人們對(duì)內(nèi)網(wǎng)的安全認(rèn)知。記者了解到，內(nèi)網(wǎng)之所以會(huì)中毒，很大一部分原因是因?yàn)閳?zhí)行不規(guī)范，人們使用U盤將外網(wǎng)的病毒帶入了內(nèi)網(wǎng)，病毒一旦進(jìn)入內(nèi)網(wǎng)，簡直勢不可擋如入無人之境。“究其原因，主要是由于在安全地虛幻感下，內(nèi)網(wǎng)幾乎不更新系統(tǒng)，好比是無菌房里的花，一有風(fēng)吹草動(dòng)就枯萎。”

　　安全應(yīng)急也有黃金24小時(shí)

　　作為IT系統(tǒng)服務(wù)提供商，朗程科技在發(fā)現(xiàn)勒索病毒的黃金24小時(shí)內(nèi)做了哪些事情來降低客戶風(fēng)險(xiǎn)?

　　趙伯禹介紹到，2017年5月12日，永恒之藍(lán)勒索蠕蟲在全球范圍內(nèi)爆發(fā)大規(guī)模攻擊，朗程科技第一時(shí)間做出應(yīng)急響應(yīng)。他們一方面從用戶的基礎(chǔ)設(shè)施和惡意軟件等方面做出分析，并對(duì)“永恒之藍(lán)”勒索蠕蟲病毒重點(diǎn)監(jiān)測，另一方面協(xié)調(diào)了技術(shù)人員成立了應(yīng)急方案小組，為客戶制定了完整的安全開機(jī)指南，并派遣技術(shù)人員到現(xiàn)場為用戶指導(dǎo)如何預(yù)防勒索病毒的侵入，并為需要的客戶手動(dòng)升級(jí)安裝補(bǔ)丁等。

　　不僅如此，朗程科技還做了最壞的準(zhǔn)備，一旦客戶不幸中招之后，朗程科技也準(zhǔn)備了一套緊急方案，防止病毒的蔓延，將客戶損失降到最低。與安全廠商求“同”，以追求解決方案適用范圍最大化的目的不同，IT系統(tǒng)集成商更強(qiáng)調(diào)的是“專”，朗程科技的一個(gè)重要價(jià)值就在于能夠針對(duì)不同行業(yè)的業(yè)務(wù)類型，制定了針對(duì)性的應(yīng)急方案，滿足客戶個(gè)性化的需求。

　　他告訴記者，通過這次的事件，客戶也意識(shí)的網(wǎng)絡(luò)安全和數(shù)據(jù)備份地重要性，一招不慎，就可能導(dǎo)致大量數(shù)據(jù)丟失。不少客戶表示以后會(huì)更加注重?cái)?shù)據(jù)的備份。

　　傳統(tǒng)安全思維受拷問

　　此次勒索病毒肆虐全球，讓人們充分感受到了在網(wǎng)絡(luò)安全威脅下的恐懼和無助，“勒索病毒”事件，對(duì)于未來網(wǎng)絡(luò)安全行業(yè)，可以認(rèn)為是里程碑事件，網(wǎng)絡(luò)安全由此進(jìn)入了新常態(tài)。趙伯禹表示，雖然此次的勒索病毒造成大規(guī)模的破壞，但慶幸的是，這次事件也算是給很多企業(yè)做了一次演習(xí)，暴露了企業(yè)安全的一些誤區(qū)。

　　他認(rèn)為應(yīng)該吸取三方面的教訓(xùn)：首先是安全意識(shí)需要強(qiáng)化。對(duì)網(wǎng)絡(luò)攻擊的防范首先應(yīng)該是意識(shí)上的，但很多企業(yè)安全主管的網(wǎng)絡(luò)安全意識(shí)淡薄，既不及時(shí)安裝免疫工具也不及時(shí)打補(bǔ)丁。因此提高大家安全意識(shí)是最迫切的任務(wù)。

　　其次，內(nèi)網(wǎng)隔離的理念被證明徹底落后了。在互聯(lián)網(wǎng)早期，企業(yè)利用內(nèi)網(wǎng)把設(shè)備和互聯(lián)網(wǎng)隔離開，認(rèn)為只要隔離了病毒就進(jìn)不來。但這次“勒索病毒“事件中，很多內(nèi)網(wǎng)也遭遇到了感染，所以人們應(yīng)當(dāng)重新審視數(shù)據(jù)的安全性。“我認(rèn)為將重要資料備份到云平臺(tái)，是行之有效的手段之一，將數(shù)據(jù)備份到云平臺(tái)，不僅能保障數(shù)據(jù)的安全性，也能統(tǒng)一調(diào)度企業(yè)資源。” 趙伯禹給出了解決辦法。

　　最后，安全產(chǎn)業(yè)須建應(yīng)急協(xié)同機(jī)制，這次學(xué)校、政府、醫(yī)院、加油站等公共機(jī)構(gòu)成為被攻擊的重災(zāi)區(qū)，充分證明了應(yīng)對(duì)網(wǎng)絡(luò)恐怖襲擊，不僅僅是個(gè)人或者企業(yè)的事情，更加需要社會(huì)、國家、安全廠商、IT系統(tǒng)服務(wù)商、客戶做好緊急預(yù)案，協(xié)同解決。

　　做好這四步，保證不“想哭”

　　通過這次事件，趙伯禹強(qiáng)烈建議企業(yè)用戶至少做好以下四項(xiàng)防御：

　　一，重要文件一定要隨時(shí)備份，如果是企業(yè)，建議將數(shù)據(jù)備份到云平臺(tái)上，因?yàn)樵苽浞菪屎涂煽啃愿?，?shù)據(jù)恢復(fù)時(shí)間短，切具備無限擴(kuò)展能力，而且邊使用邊付費(fèi)的模式減少了備份的采購和實(shí)施帶來的煩惱。

　　二，系統(tǒng)一定保持最高安全等級(jí)，及時(shí)升級(jí)到最新版本，建議打開自動(dòng)更新功能。同時(shí)，系統(tǒng)需要安裝殺毒軟件，更新病毒庫。

　　三，不要輕易打開陌生文件，尤其是陌生郵件和IM通信軟件中的文件。

　　四，安裝正版操作系統(tǒng)、Office軟件，盡量不用來歷不明的盜版軟件。

　　俗話說“常將有日思無日，莫待無時(shí)思有時(shí)”，如果大家都能加強(qiáng)安全防范意識(shí)，及時(shí)更新病毒庫，對(duì)來源未知的鏈接常存警惕之心，最重要的是，該備份的東西及時(shí)備份，那么在下一波病毒到來之時(shí)，“想哭”的也許是黑客了，而我們可以笑到最后。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】