安全要“防患于未然”

郭濤

作為專業(yè)的安全廠商，不應(yīng)把功夫都放在安全事件發(fā)生之后。在危害發(fā)生之后，即使響應(yīng)速度再快，損失也已無法挽回。網(wǎng)絡(luò)安全最重要的還是在預(yù)防。

5月12日，“勒索者”WannaCry幾乎是“一夜成名”。據(jù)外媒報道，該病毒嚴重影響了全球近百個國家的用戶。不過從筆者身邊的朋友、公司的反饋看，WannaCry雖然來勢兇猛，但是造成的破壞似乎并沒有想象中那樣巨大。無論是廠商還是普通用戶，對WannaCry早已有了防備。

勒索軟件確實“臭名昭著”，一旦中招，文件會被“上鎖”，不交贖金，你想用的文件就變成了純粹的“擺設(shè)”。不過，在WannaCry爆發(fā)之前，已經(jīng)爆出過多起勒索軟件“害人”事件，引起了全世界范圍內(nèi)的警惕。一方面，人們的安全意識相比以前有了大幅度提高；另一方面，在WannaCry大規(guī)模爆發(fā)前，微軟發(fā)布了補丁軟件，諸多安全廠商都給出了提示和應(yīng)對方案，而且在病毒爆發(fā)時，許多企業(yè)的網(wǎng)管、安全廠商的人員都堅守崗位，嚴陣以待。正是這種積極的防御，才壓制住了WannaCry的“囂張氣焰”。

這次WannaCry真是掉進了“人民戰(zhàn)爭的汪洋大?！敝校粌H安全廠商紛紛行動起來，就連一些數(shù)據(jù)備份、容災(zāi)廠商也提供了“解鎖”文件的方案。就在各廠商借WannaCry爆發(fā)之機宣傳安全防御的重要性，以及自己的安全產(chǎn)品和解決方案時，有一個廠商卻始終默默守護，它就是華為。

小“沙箱”的大反轉(zhuǎn)

還是先來講一個小故事吧。

大家都知道神醫(yī)扁鵲吧，但你知道扁鵲還有兩位兄長嗎？而且按扁鵲自己的說法，他的兩位兄長醫(yī)術(shù)都比他高明。扁鵲的大哥治病，是在病人的病情發(fā)作之前就能及時診治；扁鵲的二哥治病，是在患者發(fā)病初期剛剛有輕微癥狀之時，病人沒有感覺到太多痛苦就已經(jīng)藥到病除；而扁鵲通常是在病人的病情已經(jīng)十分嚴重之時出手，讓人感嘆他有起死回生的神技而聞名天下。你認為，他們?nèi)酥姓l的醫(yī)術(shù)最高明？當然是能夠“防患于未然”的大哥。

如果用扁鵲兄弟行醫(yī)這個例子和安全領(lǐng)域當前的形勢進行對照，那么防范“未知威脅”是最具挑戰(zhàn)性的，也是當前安全研究必須突破的重點和難點。華為也是把這一工作當成了自己的核心任務(wù)，所以才有了華為專注于安全研究的“未然實驗室”的成立。“未然”顧名思義，也就是取“防患于未然”之義。

這次WannaCry爆發(fā)，華為的客戶基本沒有受到影響?！白鳛閷I(yè)的安全廠商，不應(yīng)把功夫都放在安全事件發(fā)生之后，談?wù)撟约河卸喔呙鞯募夹g(shù)手段，可以做出應(yīng)急響應(yīng)、快速恢復(fù)文件。在危害發(fā)生之后，即使響應(yīng)速度再快，損失也已無法挽回?！比A為交換機與企業(yè)網(wǎng)關(guān)產(chǎn)品線安全網(wǎng)關(guān)領(lǐng)域總經(jīng)理宋端智表示，“網(wǎng)絡(luò)安全最重要的還是在預(yù)防?！?/p>

其實，華為之前已經(jīng)默默做了很多工作，就像扁鵲的大哥一樣，在用戶還沒有感知到WannaCry的大規(guī)模殺傷力之前，就讓不法侵害消失于無形。具體來說，華為有一個名為FireHunter的沙箱產(chǎn)品，它可以探查到未知的威脅，并根據(jù)其行為進行分析。比如，當所有的郵件經(jīng)過沙箱時，可以精準地判別出哪個郵件是高危的勒索軟件。因為這個判別過程并不是實時的，所以這個高危的勒索軟件還是會穿過防火墻進入客戶的系統(tǒng)內(nèi)部。這意味著第一個客戶可能會中招，但同時華為的沙箱會將檢測到的高危勒索軟件的信息迅速上傳到華為全球情報處理中心，從第一次發(fā)現(xiàn)該未知攻擊到全球生成主動防御措施，這一過程只需15分鐘。

此次WannaCry的爆發(fā)涉及兩個安全問題：一是勒索軟件本身的問題，二是勒索軟件利用微軟的漏洞在局域網(wǎng)內(nèi)進行傳播。幾乎所有人的防御策略都是從網(wǎng)絡(luò)上將相關(guān)端口封住。這樣做是有積極效果的，但會讓工作效率大打折扣，比如文件共享不暢。“在WannaCry爆發(fā)后，有客戶反映，他們的打印機不能共享了，因為安全部門將相關(guān)的端口封住了?？梢娺@并不是一個最優(yōu)的方法。”宋端智介紹說，“華為秉承的一個原則是，讓安全無處不在，就是讓交換機、路由器、Wi-Fi接入點等網(wǎng)絡(luò)設(shè)備都具有安全功能?！?/p>

華為的沙箱產(chǎn)品目前已經(jīng)是第二代。按計劃，華為的第三代“沙箱”產(chǎn)品將于今年9月推出，其最主要的改進在兩個方面：一是增加了沙箱的反躲避技術(shù)，讓病毒意識不到它已經(jīng)進入了沙箱檢測的環(huán)節(jié)；二是借助機器學(xué)習技術(shù)，研習更多的樣本，進一步提升沙箱檢測的準確率。

“正常的安全措施還是必不可少的，比如給軟件打補丁，升級殺毒軟件等。華為希望進一步提高網(wǎng)絡(luò)的基本安全門檻，讓絕大部分客戶都能受到保護?！彼味酥歉爬ㄕf，“華為在安全方面的一個核心原則是，將安全防御的工作做在前面，而不是做事后諸葛亮?！?/p>

在現(xiàn)實中，誰也不能100%保證不出現(xiàn)任何安全問題，某一個安全產(chǎn)品或措施也不能放之四海皆準，一勞永逸地解決所有全問題。華為的策略是，通過智能的方式在網(wǎng)絡(luò)層面保障整個企業(yè)的安全，將安全這堵墻盡可能筑得高一些、更高一些，這相當于提升了黑客和惡意攻擊者的攻擊成本，增加了攻擊的難度，從而減少客戶可能遇到的安全威脅。

主動防御為何無法快速普及？

其實，變被動防御為主動防御，這是很多廠商都在談?wù)摰囊粋€安全理念，與華為所說的“防患于未然”是一個道理。主動防御并不是一個全新的理念，用戶對此也十分認可，但為什么在實際應(yīng)用中，這一理念卻很難貫徹執(zhí)行呢？是技術(shù)問題，還是客戶有歷史包袱？

“主要還是意識上的問題，或者說用戶的重視程度不夠?！彼味酥且徽Z道破，“就像人的健康問題，在身體還沒有出現(xiàn)問題時，很多人不會花更多精力去預(yù)防和做保健。采用新的訂閱服務(wù)模式，每年交年費，更新防火墻的特征庫，許多用戶還沒有這樣的意識。事實上，業(yè)內(nèi)有很多好的安全預(yù)防措施，但用戶沒有充分應(yīng)用起來?！?/p>

話又說回來，廠商如果提供這種提前預(yù)防的方法，是有一定技術(shù)門檻的。首先，安全產(chǎn)品要有對未知威脅的快速判定能力。就像WannaCry勒索軟件，它是一個全新的威脅，安全系統(tǒng)能否在第一時間判定它就是高危的勒索軟件，這需要安全廠商具備一定的能力，而勒索軟件、病毒都會“偽裝”自己，這就更增加了判別的難度，因此這種判別能力的養(yǎng)成需要長時間和深厚的積累。

其次，廠商要有一個廣泛的客戶群體。華為的客戶遍布全球，不管世界的哪個角落出現(xiàn)新的病毒或安全威脅，華為全球的情報處理中心可以第一時間獲得信息，并及時將信息發(fā)送給全球各地的用戶，提前做作好預(yù)防工作，避免損失。

華為策略是，通過智能聯(lián)動的方式在網(wǎng)絡(luò)層面保障整個企業(yè)的安全，將安全這堵墻盡可能筑得高一些、更高一些，這相當于提升了黑客和惡意攻擊者的攻擊成本，增加了攻擊的難度，從而減少客戶可能遇到的安全威脅。

宋端智拿社會安全舉例子：“我們每個人、每個家庭都會注意自身的安全，裝安全鎖、防盜門，有必要時還可以聘請保鏢。網(wǎng)絡(luò)安全其實相當于保證整個社會安全要做的事，比如建立公共的安全系統(tǒng)，搞好社會治安，街頭巷尾都安裝攝像頭，警察一直在巡邏。這些安全措施對犯罪分子起到了震懾作用，讓他們不敢輕易實施犯罪?？蛻舯M量做好自身終端設(shè)備的保護，我們幫助客戶把網(wǎng)絡(luò)安全做好，讓安全防護無處不在?！?/p>

安全的理想境界

云計算、大數(shù)據(jù)、移動互聯(lián)、物聯(lián)網(wǎng)等的快速發(fā)展，加重了安全的負擔。原來那種頭痛醫(yī)頭，腳痛醫(yī)腳的分散的安全保護策略已經(jīng)不再適用，用戶要構(gòu)建新的安全架構(gòu)，以全面、整合的安全策略保護應(yīng)用和數(shù)據(jù)。

宋端智認為，安全領(lǐng)域正在發(fā)生著一些新的變化，也是挑戰(zhàn)。

第一，未知的威脅越來越多，特別是一些高級的攻擊讓人有些防不勝防，現(xiàn)實中又沒有一些現(xiàn)成的有效的應(yīng)對方法，需要邊研究邊解決。第二，單點防護已經(jīng)失效，僅僅在網(wǎng)關(guān)上做防護已經(jīng)不夠。第三，越來越多的應(yīng)用和數(shù)據(jù)遷移到云端，公有云、行業(yè)云的安全保護是一個棘手的問題，以前只需保護好“企業(yè)的邊界”即可，而現(xiàn)在云是沒有邊界的，所以安全保護的難度加大了。

解決上述問題，華為的基本策略是：針對未知威脅，要實現(xiàn)云端、管道和終端的協(xié)同防護，通過智能技術(shù)手段，在第一時間將未知威脅變成已知的，實現(xiàn)云和端的聯(lián)動，這樣才能更有效地進行防御；安全防護不能僅僅停留在網(wǎng)關(guān)層面，而要做到無處不在，除了終端，所有的網(wǎng)元，包括交換機、路由器等，都要具備安全能力。

“以前的單點防護，相當于只是在出城的地方設(shè)了一個卡口。現(xiàn)在，通路雖然越來越多，但所有通路上都有攝像頭，相當于所有網(wǎng)元上都有監(jiān)控的執(zhí)行點、數(shù)據(jù)的采集點，所有的異常行為都可以被探查到。這就是安全無處不在所要達到的效果?！彼味酥潜硎荆拔覀儾粌H提供安全產(chǎn)品，覆蓋云-管-端的華為安全解決方案更是把這種無處不在的安全能力提供給客戶，幫助他們實現(xiàn)對網(wǎng)絡(luò)的主動、立體的安全防護?！?/p>

面對這次WannaCry的爆發(fā)，有效地破解它只是第一步，更關(guān)鍵的是用戶要提升防御未知威脅的技能，建立無處不在的安全體系。能夠像扁鵲那樣在安全問題發(fā)生后及時解決和補救固然好，但是如果能夠像扁鵲的大哥那樣做到防患于未然，不是進入了一個更理想的境界嗎？