5月12日，“勒索者”WannaCry幾乎是“一夜成名”。據(jù)外媒報(bào)道，該病毒嚴(yán)重影響了全球近百個(gè)國(guó)家的用戶。不過(guò)從筆者身邊的朋友、公司的反饋看，WannaCry雖然來(lái)勢(shì)兇猛，但是造成的破壞似乎并沒(méi)有想像中那樣巨大。無(wú)論是廠商還是普通用戶，對(duì)WannaCry早已有了防備。5月14日周日，筆者公司同事的QQ群中發(fā)布了關(guān)于防范WannaCry的通知、查殺病毒的軟件和補(bǔ)丁，5月15日周一上班，果然一切安然無(wú)恙，公司同事也無(wú)一人中招。

勒索軟件確實(shí)“臭名昭著”，一旦中招，文件會(huì)被“上鎖”，不交贖金，你想用的文件就變成了純粹的“擺設(shè)”。不過(guò)，在WannaCry爆發(fā)之前，已經(jīng)爆出過(guò)多起勒索軟件“害人”事件，引起了全世界范圍內(nèi)的警惕。一方面，人們的安全意識(shí)相比以前有了大幅度提高;另一方面，在WannaCry大規(guī)模爆發(fā)前，微軟發(fā)布了補(bǔ)丁軟件，諸多安全廠商都給出了提示和應(yīng)對(duì)方案，而且在病毒爆發(fā)時(shí)，許多企業(yè)的網(wǎng)管、安全廠商的人員都堅(jiān)守崗位，嚴(yán)陣以待。正是這種積極的防御，才壓制住了WannaCry的“囂張氣焰”。

這次WannaCry真是掉進(jìn)了“人民戰(zhàn)爭(zhēng)的汪洋大海”中，不僅安全廠商紛紛行動(dòng)起來(lái)，就連一些數(shù)據(jù)備份、容災(zāi)廠商也提供了“解鎖”文件的方案。就在各廠商借WannaCry爆發(fā)之機(jī)宣傳安全防御的重要性，以及自己的安全產(chǎn)品和解決方案時(shí)，有一個(gè)廠商卻始終默默守護(hù)，它就是華為。

難道對(duì)于華為來(lái)說(shuō)，是事不關(guān)己，高高掛起嗎?不是。那是華為沒(méi)有能“降服”WannaCry的產(chǎn)品或方案嗎?更不是。華為交換機(jī)與企業(yè)網(wǎng)關(guān)產(chǎn)品線安全網(wǎng)關(guān)領(lǐng)域總經(jīng)理宋端智道出了其中的原委。

小“沙箱”的大反轉(zhuǎn)

還是先來(lái)講一個(gè)小故事吧。

大家都知道神醫(yī)扁鵲吧，但你知道扁鵲還有兩位兄長(zhǎng)嗎?而且按扁鵲自己的說(shuō)法，他的兩位兄長(zhǎng)醫(yī)術(shù)都比他高明。扁鵲的大哥治病，是在病人的病情發(fā)作之前就能及時(shí)診治;扁鵲的二哥治病，是在患者發(fā)病初期剛剛有輕微癥狀之時(shí)，病人沒(méi)有感覺(jué)到太多痛苦就已經(jīng)藥到病除;而扁鵲通常是在病人的病情已經(jīng)十分嚴(yán)重之時(shí)出手，讓人感嘆他有起死回生的神技而聞名天下。你認(rèn)為，他們?nèi)酥姓l(shuí)的醫(yī)術(shù)最高明?當(dāng)然是能夠“防患于未然”的大哥。

如果用扁鵲兄弟行醫(yī)這個(gè)例子和安全領(lǐng)域當(dāng)前的形勢(shì)進(jìn)行對(duì)照，那么防范“未知威脅”是最具挑戰(zhàn)性的，也是當(dāng)前安全研究必須突破的重點(diǎn)和難點(diǎn)。華為也是把這一工作當(dāng)成了自己的核心任務(wù)，所以才有了華為專注于安全技術(shù)研究的“未然實(shí)驗(yàn)室”的成立。“未然”顧名思義，也就是取“防患于未然”之義。

這次WannaCry爆發(fā)，華為的客戶基本沒(méi)有受到影響。“作為專業(yè)的安全廠商，不應(yīng)把功夫都放在安全事件發(fā)生之后，談?wù)撟约河卸喔呙鞯募夹g(shù)手段，可以做出應(yīng)急響應(yīng)、快速恢復(fù)文件。在危害發(fā)生之后，即使響應(yīng)速度再快，損失也已無(wú)法挽回。”宋端智表示，“網(wǎng)絡(luò)安全最重要的還是在預(yù)防。”

其實(shí)，華為之前已經(jīng)默默做了很多工作，就像扁鵲的大哥一樣，在用戶還沒(méi)有感知到WannaCry的大規(guī)模殺傷力之前，就讓不法侵害消失于無(wú)形。具體來(lái)說(shuō)，華為有一個(gè)名為FireHunter的沙箱產(chǎn)品，它可以探查到未知威脅，并根據(jù)其行為進(jìn)行分析。比如，當(dāng)所有的郵件經(jīng)過(guò)沙箱時(shí)，“沙箱”可以精準(zhǔn)地判別出哪個(gè)郵件含高危的勒索軟件。因?yàn)檫@個(gè)判別過(guò)程并不是實(shí)時(shí)的，所以這個(gè)高危的勒索軟件還是會(huì)穿過(guò)防火墻進(jìn)入客戶的系統(tǒng)內(nèi)部。這意味著第一個(gè)客戶可能會(huì)中招，但同時(shí)華為的“沙箱”會(huì)將檢測(cè)到的高危勒索軟件的信息迅速上傳到華為全球情報(bào)處理中心，從第一次發(fā)現(xiàn)該未知攻擊到全球生成主動(dòng)防御措施，這些過(guò)程會(huì)在15分鐘內(nèi)完成。

此次WannaCry的爆發(fā)涉及到兩個(gè)安全問(wèn)題：一是勒索軟件本身的問(wèn)題，二是勒索軟件利用微軟的漏洞在局域網(wǎng)內(nèi)進(jìn)行傳播。幾乎所有人的防御策略都是從網(wǎng)絡(luò)上將相關(guān)端口封住。這樣做是有積極效果的，但會(huì)讓工作效率大打折扣，比如文件共享不暢。“在WannaCry爆發(fā)后，有客戶反映，他們的打印機(jī)不能共享了，因?yàn)榘踩块T將相關(guān)的端口封住了。可見(jiàn)這并不是一個(gè)最優(yōu)的方法。”宋端智介紹說(shuō)，“華為秉承的一個(gè)原則是，讓安全無(wú)處不在，就是讓交換機(jī)、路由器、Wi-Fi接入點(diǎn)等網(wǎng)絡(luò)設(shè)備都具有安全功能。”

華為的“沙箱”產(chǎn)品目前已經(jīng)是第二代。按計(jì)劃，華為的第三代“沙箱”產(chǎn)品將于今年9月推出，其最主要的改進(jìn)在兩個(gè)方面：一是增加了沙箱的反躲避技術(shù)，讓病毒意識(shí)不到它已經(jīng)進(jìn)入了沙箱檢測(cè)的環(huán)節(jié);二是借助機(jī)器學(xué)習(xí)技術(shù)，研習(xí)更多的樣本，進(jìn)一步提升沙箱檢測(cè)的準(zhǔn)確率。

除了沙箱產(chǎn)品以外，華為還有基于大數(shù)據(jù)的安全分析平臺(tái)CIS(CyberSecurity Intelligence System)，它也是借助機(jī)器學(xué)習(xí)技術(shù)來(lái)分析和判斷流量，確認(rèn)是惡意還是正常的行為。

“正常的安全措施還是必不可少的，比如給軟件打補(bǔ)丁，升級(jí)殺毒軟件等。華為希望進(jìn)一步提高網(wǎng)絡(luò)的基本安全門檻，讓絕大部分客戶都能受到保護(hù)。”宋端智概括說(shuō)，“華為在安全方面的一個(gè)核心原則是，將安全防御的工作做在前面，而不是做事后諸葛亮。”

主動(dòng)防御為什么不能快速普及?

其實(shí)，變被動(dòng)防御為主動(dòng)防御，這是很多廠商都在談?wù)摰囊粋€(gè)安全理念，與華為所說(shuō)的“防患于未然”是一個(gè)道理。主動(dòng)防御并不是一個(gè)全新的理念，用戶對(duì)此也十分認(rèn)可，但為什么在實(shí)際應(yīng)用中，這一理念卻很難貫徹執(zhí)行呢?是技術(shù)問(wèn)題，還是客戶有歷史包袱?

“主要還是意識(shí)上的問(wèn)題，或者說(shuō)用戶的重視程度不夠。”宋端智一語(yǔ)道破，“就像人的健康問(wèn)題，在身體還沒(méi)有出現(xiàn)問(wèn)題時(shí)，很多人不會(huì)花更多精力去預(yù)防和做保健。例如，采用新的訂閱服務(wù)模式，每年交年費(fèi)，更新防火墻的特征庫(kù)，許多用戶還沒(méi)有這樣的意識(shí)。事實(shí)上，業(yè)內(nèi)有很多好的安全預(yù)防措施，但用戶沒(méi)有充分應(yīng)用起來(lái)。”

話又說(shuō)回來(lái)，廠商如果提供這種提前預(yù)防的方法，是有一定技術(shù)門檻的。首先，安全產(chǎn)品要有對(duì)未知威脅的快速判定能力。就像WannaCry勒索軟件，它是一個(gè)全新的威脅，安全系統(tǒng)能否在第一時(shí)間判定它就是高危的勒索軟件，這需要安全廠商具備一定的能力，而勒索軟件、病毒都會(huì)“偽裝”自己，這就更增加了判別的難度，因此這種判別能力的養(yǎng)成需要長(zhǎng)時(shí)間深厚的積累。

其次，廠商要有一個(gè)廣泛的客戶群體。華為的客戶遍布全球，不管世界的哪個(gè)角落出現(xiàn)新的安全威脅，華為全球的情報(bào)處理中心可以第一時(shí)間獲得信息，并及時(shí)將信息發(fā)送給全球各地的用戶，提前做作好預(yù)防工作，避免損失。

在現(xiàn)實(shí)中，誰(shuí)也不能100%保證不出現(xiàn)任何安全問(wèn)題，某一個(gè)安全產(chǎn)品或措施也不能放之四海皆準(zhǔn)，一勞永逸地解決所有全問(wèn)題。華為的策略是，通過(guò)智能聯(lián)動(dòng)的方式在網(wǎng)絡(luò)層面保障整個(gè)企業(yè)的安全，將安全這堵墻盡可能筑得高一些、更高一些，這相當(dāng)于提升了黑客和惡意攻擊者的攻擊成本，增加了攻擊的難度，從而減少客戶可能遇到的安全威脅。

宋端智拿社會(huì)安全舉例子：“我們每個(gè)人、每個(gè)家庭都會(huì)注意自身的安全，裝安全鎖、防盜門，有必要時(shí)還可以聘請(qǐng)保鏢。網(wǎng)絡(luò)安全其實(shí)相當(dāng)于保證整個(gè)社會(huì)安全要做的事，比如建立公共的安全系統(tǒng)，搞好社會(huì)治安，街頭巷尾都安裝攝像頭，警察一直在巡邏。這些安全措施對(duì)犯罪分子起到了震懾作用，讓他們不敢輕易實(shí)施犯罪?？蛻舯M量做好自身終端設(shè)備的保護(hù)，我們幫助客戶把網(wǎng)絡(luò)安全做好，讓安全防護(hù)無(wú)處不在。”

安全的理想境界

云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)等的快速發(fā)展，加重了安全的負(fù)擔(dān)。原來(lái)那種頭痛醫(yī)頭，腳痛醫(yī)腳的分散的安全保護(hù)策略已經(jīng)不再適用，用戶要構(gòu)建新的安全架構(gòu)，以全面、整合的安全策略保護(hù)應(yīng)用和數(shù)據(jù)。

宋端智認(rèn)為，安全領(lǐng)域正在發(fā)生著一些新的變化，也是挑戰(zhàn)。

第一，未知的威脅越來(lái)越多，特別是一些高級(jí)的攻擊讓人有些防不勝防，現(xiàn)實(shí)中又沒(méi)有一些現(xiàn)成的有效的應(yīng)對(duì)方法，需要邊研究邊解決。第二，單點(diǎn)防護(hù)已經(jīng)失效，僅僅在網(wǎng)關(guān)上做防護(hù)已經(jīng)不夠。第三，越來(lái)越多的應(yīng)用和數(shù)據(jù)遷移到云端，公有云、行業(yè)云的安全保護(hù)是一個(gè)棘手的問(wèn)題，以前只需保護(hù)好“企業(yè)的邊界”即可，而現(xiàn)在云是沒(méi)有邊界的，所以安全保護(hù)的難度加大了。

解決上述問(wèn)題，華為的基本策略是：針對(duì)未知威脅，要實(shí)現(xiàn)云端、管道和終端的協(xié)同防護(hù)，通過(guò)智能的技術(shù)手段，在第一時(shí)間將未知威脅變成已知的，實(shí)現(xiàn)云和端的聯(lián)動(dòng)，這樣才能更有效地進(jìn)行防御;安全防護(hù)不能僅僅停留在網(wǎng)關(guān)層面，而要做到無(wú)處不在，除了終端，所有的網(wǎng)元，包括交換機(jī)、路由器等，都要具備安全能力。

“以前的單點(diǎn)防護(hù)，相當(dāng)于只是在出城的地方設(shè)了一個(gè)卡口?，F(xiàn)在，通路雖然越來(lái)越多，但所有通路上都有攝像頭，相當(dāng)于所有網(wǎng)元上都有監(jiān)控的執(zhí)行點(diǎn)、數(shù)據(jù)的采集點(diǎn)，所有的異常行為都可以被探查到。這就是安全無(wú)處不在所要達(dá)到的效果。”宋端智表示，“我們不僅提供安全產(chǎn)品，覆蓋云-管-端的華為安全解決方案更是把這種無(wú)處不在的安全能力提供給客戶，幫助他們實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的主動(dòng)的立體安全防護(hù)。”

面對(duì)這次WannaCry的爆發(fā)，有效地破解它只是第一步，更關(guān)鍵的是用戶要提升防御未知威脅的技能，建立無(wú)處不在的安全體系。能夠像扁鵲那樣在安全問(wèn)題發(fā)生后及時(shí)解決和補(bǔ)救固然好，但是如果能夠像扁鵲的大哥那樣做到防患于未然，不是進(jìn)入了一個(gè)更理想的境界嗎?