勒索蠕蟲病毒事件反思：網絡安全能力急需協同

文 | 陳興躍

勒索蠕蟲病毒事件反思：網絡安全能力急需協同

文 | 陳興躍

現任中國網絡安全產業聯盟秘書長、北京塞西科技發展有限責任公司副總經理。先后就讀于北京大學和中國科學院，獲得物理博士學位。曾供職于國家科委中國科技促進發展研究中心（現名“科技部中國科學技術發展戰略研究院”）。在IT、互聯網、新媒體、創業投資等領域擁有豐富的從業經驗。

5月12日，一個名為WannaCry的勒索蠕蟲病毒在全球大范圍傳播，波及100多個國家和地區，包括政府部門、教育、醫院、能源、通信、制造業等多個行業的數十萬用戶的網絡和電腦受到攻擊感染。這是一次波及全球、影響惡劣、危害嚴重的網絡安全事件。勒索軟件以前主要通過電子郵件等社交方式傳播，這一次是蠕蟲技術和勒索軟件結合，所以傳播感染的速度很快，影響面大，造成的后果影響也較為嚴重。

事件發生以來，業界反應極為迅速，一批網絡安全企業和科研單位通過官方網站和社交媒體等多種渠道，不斷更新發布威脅動態，共享技術情報，及時發布技術保護措施和應對方案；政府部門和專業機構也及時發布公告和處置指南，增進了社會公眾的關注度，加強了對基本防護信息的認知，降低了本次事件的影響程度。由于各方應對及時，“永恒之藍”勒索蠕蟲爆發在5月13日達到高峰后，感染率快速下降，周一上班并未出現更大規模的爆發，總體傳播感染趨勢得到快速控制。事件過后，對網絡安全行業敲響了警鐘，也有必要對這次事件進行經驗總結，現將對勒索蠕蟲病毒事件的一些思考分享出來。

“永恒之藍”事件回溯

2017年4月期間，微軟以及國內的主要安全公司都已經提示客戶升級微軟的相關補丁修復“永恒之藍”漏洞，部分IPS技術提供廠商也提供了IPS規則阻止利用“永恒之藍“的網絡行為；（預警提示）

2017年5月12日下午，病毒爆發；（開始）

2017年5月12日爆發后幾個小時，大部分網絡安全廠商包括360企業安全、安天、亞信安全、深信服等均發出防護通告，提醒用戶關閉445等敏感端口；（圍堵）

2017年5月13日，微軟總部決定公開發布已停服的XP特別安全補丁；國內瑞星、360企業安全、騰訊、深信服、藍盾等均推出病毒免疫工具，用于防御永恒之藍病毒；（補漏）

2017年5月13日晚，來自英國的網絡安全工程師分析了其行為，注冊了MalwareTech域名，使勒索蠕蟲攻擊暫緩了攻擊的腳步；（分析）

2017年5月15日，廠商陸續發布“文件恢復”工具，工作機制本質上是采用“刪除文件”恢復原理/機制，即恢復“非粉碎性刪除文件”；（刪除文件恢復）

2017年5月20日，阿里云安全團隊推出“從內存中提取私鑰”的方法，試圖解密加密文件；生效的前提是中毒后電腦沒重啟、中毒后運行時間不能過長（否則會造成粉碎性文件刪除）；（僥幸解密恢復）

2017年5月20日之后，亞信安全等網絡安全公司推出基于該病毒行為分析的病毒防護工具，用于預防該病毒變種入侵；（未知變種預防）

2017年6月2日，國內網絡安全企業找到了簡單靈活的、可以解決類似網絡攻擊（勒索病毒）方法的防護方案，需要進一步軟件開發。

事件處理顯示我國網絡安全能力提升

（一）網絡安全產業有能力應對這次“永恒之藍”勒索蠕蟲事件

早在4月15日，NSA泄漏“永恒之藍”利用工具，國內不少主力網絡安全企業就針對勒索軟件等新安全威脅進行了技術和產品的準備，例如深信服等部分企業就提取了“永恒之藍”的防護規則，并部分升級產品，還有部分企業識別并提前向客戶和社會發布了預警信息，例如，在這次事件爆發時，亞信安全等網絡安全企業保證了客戶的“零損失”。

事件發生后，國內網絡安全企業積極行動，各主要網絡安全企業都進行了緊急動員，全力應對WannaCry/Wcry等勒索病毒及其變種的入侵，幫助受到侵害的客戶盡快恢復數據和業務，盡量減少損失。同時，也積極更新未受到侵害客戶的系統和安全策略，提高其防護能力。360企業安全集團、安天等公司及時發布病毒防范信息，并持續更新補丁工具。此次“永恒之藍” 勒索蠕蟲被迅速遏制，我國網絡安全企業發揮了重要作用，幫助客戶避免被病毒侵害而遭受損失，幫助受到感染的客戶最大限度地減少損失。

（二）網絡安全防護組織架構體系科學、組織協調得力

隨著《中國人民共和國網絡安全法》的頒布實施，我國已經初步建立了一個以網信部門負責統籌協調和監督管理，以工信、公安、保密等其他相關部門依法在各自職責范圍內負責網絡安全保護和監督管理工作的管理體系。既統籌協調、又各自分工，我國的網絡安全管理體系在應對此次事件中發揮了重要作用。

依照相關法律規范，在有關部門指導下，眾多網信企業與國家網絡安全應急響應機構積極協同，快速開展威脅情報、技術方案、發布通道、宣傳資源、客戶服務等方面的協作，有效地遏制住了事態發展、減少了損失。

安全事件暴露出的問題

（一）網絡安全意識不強，對安全威脅（漏洞）重視不夠

4月14日，Shadow Brokers 再次公布了一批新的 NSA 黑客工具，其中包含了一個攻擊框架和多個Windows 漏洞利用工具。攻擊者利用這些漏洞可以遠程獲取 Windows 系統權限并植入后門。

針對此次泄露的漏洞，微軟提前發布了安全公告 MS17-010，修復了泄露的多個 SMB 遠程命令執行漏洞。國內網絡安全廠商也提前發布了針對此次漏洞的安全公告和安全預警。但是國內大部分行業及企事業單位并沒有給予足夠的重視，沒有及時對系統打補丁，導致“永恒之藍”大范圍爆發后，遭受到“永恒之藍”及其變種勒索軟件的攻擊，數據被挾持勒索，業務被中斷。

在服務過程中發現，大量用戶沒有“數據備份”的習慣，這些用戶遭受“永恒之藍”攻擊侵入后，損失很大。

（二）安全技術有待提高（安全攻防工具）

繼2016年8月份黑客組織 Shadow Brokers 放出第一批 NSA“方程式小組”內部黑客工具后，2017年4月14日，Shadow Brokers 再次公布了一批新的 NSA 黑客工具，其中包含了一個攻擊框架和多個Windows 漏洞利用工具。攻擊者利用這些漏洞可以遠程獲取 Windows 系統權限并植入后門。

目前，我國在網絡安全攻防工具方面的研發與歐美國家相比還存在較大差距，我國在網絡安全漏洞分析、安全防護能力上需進一步加強。勒索蠕蟲入侵一些行業和單位表明不少單位的安全運維水平較低。

實際上，防御這次勒索蠕蟲攻擊并不需要特別的網絡安全新技術，各單位只需要踏踏實實地做好網絡安全運維工作就可以基本避免受到侵害。具體而言，各單位切實落實好安全管理的基礎性工作——漏洞閉環管理和防火墻或網絡核心交換設備策略最小化就可以基本防御此次安全事件。

在漏洞管理中運用系統論的觀點和方法，按照時間和工作順序，通過引入過程反饋機制，實現整個管理鏈條的閉環銜接。也就是運用PDCA的管理模式，實現漏洞管理中，計劃、實施、檢查、改進各工作環節的銜接、疊加和演進。要盡力避免重發現、輕修復的情況出現。及時總結問題處置經驗，進行能力和經驗積累，不斷優化安全管理制度體系，落實嚴格、明確的責任制度。需要從脆弱性管理的高度，對系統和軟件補丁、配置缺陷、應用系統問題、業務邏輯缺陷等問題進行集中管理。通過這些規范、扎實的工作，切實地提升安全運維能力。

基礎工作做到位，防護能力確保了，可以有效避免大量網絡安全事件。

對提升網絡安全防護能力的建議

（一）完善隔離網的縱深防御，內網沒有免死金牌！

這次事件的爆發也反映出不少行業和單位的網絡安全管理意識陳舊落后。部分決策者和運維管理人員盲目地認為網絡隔離是解決安全問題最有效的方式，簡單地認為只要采取了隔離方案就可以高枕無憂。一些單位在內網中沒有設置有效的網絡安全防護手段，一旦被入侵，內網可謂千瘡百孔、一瀉千里。部分單位的內網甚至還缺乏有效的集中化管理手段和工具，對于網絡設備、網絡拓撲、數據資產等不能夠實現有效的統一管理，這給系統排查、業務恢復、應急響應都帶來了很大的困難，也大幅度地增加了響應時間和響應成本。這次事件中一些使用網絡隔離手段的行業損失慘重，這種情況需要高度警醒。

習近平總書記在4·19重要講話中專門指出：“‘物理隔離’防線可被跨網入侵，電力調配指令可被惡意篡改，金融交易信息可被竊取，這些都是重大風險隱患。”

一定要破除“物理隔離就安全”的迷信。隨著IT新技術的不斷涌現和信息化的深入發展，現實中的網絡邊界越來越模糊，業務應用場景越來越復雜，IT 系統越來越龐大，管理疏忽、技術漏洞、人為失誤等都可能被利用，有多種途徑和方法突破隔離網的邊界阻隔。網絡隔離不是萬能的，不能一隔了之，隔離網依然需要完善其縱深防御體系。

在網絡安全建設和運營中，一定要堅持實事求是的科學精神。在全社會，特別是在政府、重點行業的企事業單位各級領導應樹立正確的網絡安全觀仍是當今重要的緊迫工作。

（二）強化協同協作，進一步發揮國家隊的作用

面對日益復雜的網絡空間安全威脅，需要建立體系化的主動防御能力，既有全網安全態勢感知和分析能力，又有縱深的響應和對抗能力。動態防御、整體防御才能有效地應對未知的安全威脅。體系化能力建設的關鍵在于協同和協作，協同協作不僅僅是在網絡安全廠商之間、網信企業之間、網絡安全廠商與客戶之間、網信企業與專業機構之間，國家的相關部門也要參與其中。國家的相關專業機構，如國家互聯網應急中心（CNCERT）等應在其中承擔重要角色。

在安全事件初期，各種信息比較繁雜，并可能存在不準確的信息。建議國家信息安全應急響應機構作為國家隊的代表，在出現重大安全事件時，積極參與并給出一個更獨立、權威的解決方案，必要時可以購買經過驗證的第三方可靠解決方案，通過多種公眾信息發布平臺，免費提供給社會，以快速高效地應對大規模的網絡攻擊事件。

（三）進一步加強網絡安全意識建設和管理體系建設

三分技術、七分管理、十二分落實。安全意識和責任制度是落實的基本保障。

加強網絡安全檢查機制。加強對國家關鍵基礎設施的安全檢查，特別是可能導致大規模安全事件的高危安全漏洞的檢查。定期開展網絡安全巡檢，把網絡安全工作常態化。把安全保障工作的重心放在事前，強化網絡安全運營的理念和作業體系，把網絡安全保障融入到日常工作和管理之中。

采用科學的網絡安全建設模型和工具，做好頂層設計，推進體系化和全生命周期的網絡安全建設與運營。盡力避免事后打補丁式的網絡安全建設模式，把動態發展、整體的網絡安全觀念落實到信息化規劃、建設和運營之中。

安全建設不要僅考慮產品，同時要重視制度、流程和規范的建設，并要加強人的管理和培訓。

加強網絡安全意識教育宣傳。通過互聯網、微信、海報、報刊等各種形式的宣傳，加強全民網絡安全意識教育的普及與重視。在中小學普及網絡安全基礎知識和意識教育。借助“國家網絡安全宣傳周”等重大活動，發動社會資源進行全民宣傳教育，讓“網絡安全為人民、網絡安全靠人民”的思想深入人心。

（四）進一步加強整體能力建設

切實落實“4·19講話”精神，加快構建關鍵信息基礎設施安全保障體系，建立全天候全方位感知網絡安全態勢的國家能力與產業能力，增強網絡安全防御能力和威懾能力。不僅要建立政府和企業網絡安全信息共享機制，同時要積極推進企業之間的網絡安全信息共享，探索產業組織在其中能夠發揮的積極作用。

加強網絡安全核心技術攻關。針對大型網絡安全攻擊，開發具有普適性的核心網絡安全關鍵技術，例如可以有效防御各類數據破壞攻擊（數據刪除、數據加密、數據修改）的安全技術。

完善國家網絡安全產業結構。按照國家網絡安全戰略方針、戰略目標，加強網絡某些安全產品（安全檢測、數據防護等）的研發。

加強網絡安全高端人才培養。加強網絡安全高端人才培養，特別是網絡安全管理、技術專家培養，尤其是網絡安全事件分析、網絡安全應急與防護，密碼學等高級人才的培養。

加強網絡安全攻防演練。演練優化安全協調機制，提高安全技能和安全應急響應效率。

（五）加強對網絡安全犯罪行為的懲罰

依法對網絡安全犯罪行為進行處罰，提高取證能力和執法力度，加大對網絡安全犯罪行為的威懾力。借助跨國司法專項合作，打擊國際網絡犯罪行為。

結束語：“永恒之藍”勒索病毒攻擊是首次把勒索軟件與蠕蟲病毒結合起來，這也充分展示了網絡攻擊將多種攻擊技術結合、復雜度和攻擊強度增加、傳播更加快速等趨勢。潘多拉盒子已經打開，未來將面臨更加復雜、更多樣的網絡空間威脅，未知的隱匿威脅是更加致命的挑戰。提升全社會的網絡安全意識，建立整體的主動防御能力是保障網絡空間安全的重要舉措。