| 公司新聞 |
| 行業新聞 |
 |
| 您當前的位置:網站首頁 ->> 行業新聞 |
| 阿里云吳翰清:勒索病毒直擊政企網絡安全誤區 | |
| 發布時間:2017-05-17 08:48:35 點擊:1557 次 | |
從5月12日開始,名為WannaCrypt的勒索蠕蟲病毒,在全球范圍內大規模傳播,已經有英國、俄羅斯、意大利近百個國家遭到大規模網絡攻擊,中國也未能幸免,被攻擊者被要求支付比特幣解鎖。 在英國至少有40 家醫療機構內網被黑客攻陷,俄羅斯的電信公司Megafon等大型企業也中招。類似的情況也出現在中國,高校、國企和政府機構等事業單位,成為了這次病毒的重災區。 這次的事件中,全國多個城市的中國石油旗下加油站受到波及,一時無法使用支付寶、微信、銀聯卡等聯網支付方式,只能使用現金支付。同時,為防勒索病毒攻擊,多家政府機構暫停辦理業務。比如,三亞暫停辦理交通違法處理、車駕管業務;洛陽暫停辦理交警、戶政、出入境業務;珠海緊急停辦公積金業務…… 受傷的政企:危險一直存在,只是終于引起關注了 相較于之前的網絡安全事件,這次事件的“特點”似乎在于,這個網絡專門在政企專網內大規模爆發。這是怎么回事? 從國內的情況來說,企事業和政府機構中招的直接原因,不少文章指出,這跟WannaCry的傳播渠道有關,它利用的是445端口傳播擴散,由于此前發生過多起通過445端口入侵電腦,中國運營商已經對個人用戶封堵了445端口,所以黑客沒有辦法在因特網上遠程連接這些端口,也就直接抑制了SMB漏洞被利用。至于物理隔離的校園網和政企內網,都是獨立的,沒有做相關的設置,因此傳播局限在類似專網上。 這次的勒索病毒,利用的是4月泄漏的美國國家安全局(NSA)黑客工具包中的“永恒之藍”0day漏洞,而微軟其實早在今年3月就已經發布了這個漏洞的補丁。 這可能暴露了國內政府、事業單位和部分企業在企業安全治理的一些誤區。國內的很多關鍵部門,比如石油、地鐵、高校等事業單位,出于網絡安全考慮,往往設置了物理隔離的專網。 阿里云首席安全研究員吳翰清說:“其實是否使用物理隔離,跟你的安全水平沒有關系,但國內卻因為迷信物理隔離,自己以為自己很安全。”這也是國內那么多關鍵部門受影響的原因,因為過于迷信物理隔離,也導致他們在補丁升級和安全響應上,都存在一定的缺陷。他們的內網,可能還用著非常古老的系統,比如Windows 2000等,之前看似沒有問題,其實只是沒有暴露出來,因為沒有遇到勒索軟件。 他指出,這次遇上了勒索軟件,它的破壞力比較大,因為它們沒有辦法簡單地用殺毒軟件清除,必須通過重裝系統,業務就不得不中斷,問題才會暴露出來。這些物理隔離的專網,內部的不安全其實一直存在,它們的古老系統也是一直在帶病運行(很可能上面本就有很多病毒),之前一直沒有讓它們的系統停止服務,這次勒索軟件讓問題暴露了。 我們去加油站加不了油,去車管所上不了牌,才終于引起了社會的關注。 從吳翰清的描述中可以看出,在互聯網如此普遍的今天,很少能做到政企專網真正的物理隔離。比如插入電腦的U盤中的資料可能就是通過網絡下載的;一些單位的服務器上,安裝兩塊不同的網卡,一塊用于內網一塊用于外網,但使用的卻是同一臺電腦,我這些都沒起到物理隔離的意義。“這就像是自欺欺人。” 他認為,企業和事業單位應該要建立安全管理制度,這跟是不是物理隔離沒有關系,而是要使用最先進的安全治理技術,加大對安全的投入。 有趣的是,阿里云指出了一個現象,這次很多在云上的企業,則沒有受到類似的重創。阿里云方面認為,這也反映出了企業上云的一些好處,有專門的安全專家幫用戶評估類似的事情,比如關注全球的網絡安全情況、研究新出的補丁提醒用戶修復。阿里云表示,這次的事件涉及到的漏洞,在4月中旬NSA失竊事件之后,阿里云就提醒用戶去修復。 久違的大規模“疫情”再現?也許未來還有好幾起 這幾年間,我們可能偶爾有聽說過一些企業因為遭受黑客攻擊,導致用戶信息泄露,包括雅虎、網易郵箱、京東,甚至是最近的小紅書,類似的網絡安全事件可謂不絕如縷。 只是,回想起來,這么大規模的能“上熱搜”甚至讓社會媒體紛紛報道的病毒,似乎除了好幾年前“熊貓燒香”,也已經很少見。這不禁讓人覺得,這次的病毒有什么特別之處? 不過,吳翰清表示,這次的病毒跟很多蠕蟲病毒,還有近幾年興起的勒索軟件,其實沒有太大的區別。這次的特別之處大概在于,用了加密的方式,據公開報道,這個加密算法以目前的科技水平基本上沒法破解。 除非殺毒軟件能在感染之后被加密之前攔截,對于感染這個勒索病毒的系統,唯一的解決方法只能是快速重裝系統和軟件,通過已有的備份快速恢復數據,否則就只能找到源頭,讓其把秘鑰交出來,幾乎沒有其他的辦法。 這次出現殺傷力和波及規模都那么大的現象,吳翰清指出,跟兩個因素有關。 首先是4月中旬出現的NSA的“永恒之藍”0day漏洞(微軟漏洞編號:MS17-101)泄露直接相關。他表示,之前很少有出現在像Windows這樣覆蓋量那么大的基礎軟件上的漏洞,這也使得讓這個漏洞天生就帶有特別大的殺傷力。 其次,這跟勒索軟件使用的一些新方式也是有關系的。在黑色產業中,利用漏洞和攻擊來勒索長期存在,之前沒有用加密的方式去索要贖金,這是最近幾年才興起的。 他說,其實阿里云在去年下半年,通過云上數據監控,就已經預測勒索軟件會在今年大規模爆發。如今,勒索軟件盛行碰上高危漏洞,兩個事件湊在一起,就導致該起事件爆發。他預計,未來出現類似大規模事件的概率,會越來越高: 我可以負責任地說,這絕對不是第一次,這只是剛剛開始,我預計今年還會有還會有三到四次類似規模的事件。 他解釋,在去年下半年的時候,勒索軟件已經在逐漸抬頭,區別只是當時利用的不是Windows而是其他軟件的漏洞,但他們利用手法和索要贖金的手法也是差不多的。因此,他們預感今年可能會有更多。 對于要企業要做什么樣的措施來預防類似事件,吳翰清首先強調,要做好備份。“這是每個CIO需要去做的頭等大事。” 其次,“今天這個問題不是一個windows安全漏洞的問題,是一個整個企業安全治理的問題”。他們去年就觀察到,企業使用任何不安全的軟件,都有可能會遭遇勒索。因此,未來的勒索軟件,利用的可能是系統的其他漏洞,但是它最終的破壞力都是類似的,應該把企業安全看得更加重要,加大對安全的投入。因為網絡安全的機會成本是很高的: 除了恢復系統之外,完全沒有第二條路,這可能會直接讓一家企業倒閉。 來源:中國IDC圈 石家莊服務器托管 石家莊服務器租用 石家莊機柜租用 石家莊機房 |
|
| 上一條: 云計算好比共享單車,是商業模式創新而非技術創新 下一條: 企業選擇數據中心 這五點很重要 | |
| 【關閉窗口】 |
