在安全技术日新月异的今天,谁也未曾料想,刚刚过去的三个星期,会成为信息安全史上最为黑暗的一段时间。自5月12日上午始,一个名为WannaCry勒索病毒的疯狂肆虐一度“逼哭”了成千上万个受害者。
截至目前,这起大规模勒索病毒网络爆发事件至今已袭击了全球150多个国家或地区,包括教育、电力、能源、银行、交通、医疗、企业等多个行业均遭受不同程度的影响,中国也成为此次勒索病毒爆发的重灾区。
WannaCry的肆虐已发展成为史上全球规模最大的勒索病毒网络攻击事件。对于安全厂商而言,这次大规模勒索病毒网络攻击事件也成为一场“大考”。
在我看来,这并不是第一次全球范围爆发类似的勒索病毒。但是,此次WannaCrypt病毒已经不再是单纯的“炫技”,而是直接威胁到了每个人的数据财产、数据权利,。从这个角度来看,面对新时代、新环境下的安全挑战,与其在问题集中爆发后进行亡羊补牢,肯定不如现在未雨绸缪的好。
WannaCry肆虐:中国成为重灾区
对于安全市场来说,“勒索病毒”并不是个新生事物。但此次WannaCry勒索病毒的传播速度之快、感染范围之广和对于用户造成影响的严重性则大大超出了意外。WannaCry的汹涌来袭着实打了业界一个措手不及,并成为用户数据安全的一场“噩梦”。
不过,探究这次勒索病毒网络大爆发的原因,还要从微软Windows操作系统的一个漏洞永恒之蓝ETERNAL BLUE说起。针对该漏铜,微软公司已于2个月前发布了相应的补丁。这次大爆发的对象主要是对那些没有进行漏洞修补或本身为非正版系统的用户发起。
WannaCry之所以能够在短时间内迅速爆发,主得益于网络蠕虫这种自行传播的方式,即通过扫描网络上没有修补微软SMB漏洞的机器进行传播。SMB是一项用于在Windows主机之间共享(文件、打印机或其他内容)的协议。通过SMB漏洞就可以实现在用户没有打开被感染文档的情况下自动进行传播。
据悉,在WannaCry爆发后的短短48个小时内,就感染了全球超过100多个国家或地区的众多组织机构。在它的影响下,我国多地的出入境、派出所等公安网疑似遭遇了病毒袭击,不得不一度暂时停办出入境业务;WannaCry也侵袭到生产网络中,中石油旗下不少加油站也因遭受病毒袭击一度“断网”,使在线支付业务一度中断;由于眼下正值毕业季,WannaCry在我国校园网内的肆虐,甚至还导致不少毕业生的毕业设计论文被锁。
由于WannaCry采用了强大的非对称加密技术,利用RSA 2048位密码对文件进行加密,使得对这种加密方式的破解几乎成为不可能。业界所谓的“破解”多数仅是基于数据恢复技术。这意味着受害者一旦感染病毒,并遭遇数据被锁,则几乎没有办法进行破解。
种种迹象表明,WannaCry勒索病毒从研发到传播到兑现都经过了严密的策划,是一起有组织和明确目的性的网络犯罪行为。在这方面,寻找并抓住WannaCry病毒制造及发起者当然是好办法,但是在现实中,大多数网络攻击都很难找到真凶,尤其是比特币的出现,其匿名的特性更为加大了案件破获的难度。这一切都让此次勒索病毒攻击事件的背后真相充满了迷雾,侦破之路更是任重道远。
勒索经济:已成安全新常态
在继永恒之蓝漏洞后,近日,随着更多的系统漏洞被不断披露出来,像永恒之石、雅典娜等,这意味着这场勒索病毒网络攻击战役还远未结束。诸多迹象表明,WannaCry并非是一次偶然的事件,在其背后则是一个“勒索经济”序幕的开启。
对此,IBM大中华区企业信息安全事业部总经理Vincent Chen认为,之所以称其为“勒索经济”的开始,是因为这次WannaCry的爆发与以往的勒索病毒的爆发,在传播形式、实施成本、兑现方式等许多方面存在很大的不同。
首先,在过去没有比特币的时候,勒索软件作为一种勒索经济形式,在投入上具有很高的风险成本,因此传播范围较为有限。而比特币具有匿名的特点,它的出现极大降低了勒索病毒实施者的风险成本和实施门槛。
其次,与过去相比,WannaCry的传播效率及复杂度有了很大的提高。区别于以往勒索病毒通过“钓鱼”的方式传播,WannaCry采用的“蠕虫”网络自动传播方式,在享有低传播成本的同时具有了非常高的传播效率。
最后,WannaCry的传播让黑客看到一种新的低成本、风险相对低的盈利模式。以前黑客发起攻击的目的在很大程度上是为了证明自己的能力,但那个时代已经成为过去。通过WannaCry事件,让更多黑客发现通过勒索病毒进行赚钱的可行方式,而这或许也预示着一个“勒索经济”序幕的开启。
那么,面临“勒索经济”的到来和勒索病毒攻击的常态化趋势,对于用户而言应该如何加以防范?对此,IBM大中华区安全事业部技术总监张红卫表示,针对勒索病毒攻击,IBM Security建议用户分为四步走:
第一步,打补丁。对于用户来讲,打补丁是防范网络攻击非常关键的一步。如果发现系统安全漏洞或安全问题,如果系统厂商此时已发布补丁就要及时进行修补。
第二步,网络阻断。即从网络上进行阻断。对于一些用户而言,某些设备可能来不及打补丁,或系统由于非常陈旧而缺乏补丁推送工具。在这种情况下,进行网络阻断就非常有必要。
第三步,监控。对于已知攻击,可以通过对比已知攻击行为特征,如哈希值、IP地址、UIL,和通过危险情报等,在监控阶段就发现攻击;对于未知攻击,则须根据一些微特征对未知攻击进行监控。比如WannaCry病毒的一大行为特征就是短时间内系统日志记录有大量文件被更新。
第四步,响应。发现问题后,最重要的是如何响应,因此,对于用户而言,必须要建立快速响应的计划或机制。
新时代安全启示:未雨绸缪是根本
可以说,此次WannaCry勒索病毒网络攻击事件也如同一面镜子,在“照请”用户数据安全意识状态的同时,也真实映照了安全厂商在面对勒索病毒大规模网络攻击时的对策以及反应能力。
在IBM大中华区企业信息安全事业部总经理Vincent Chen看来,网络信息安全行业过去经历数十年的发展一直处于单板建设的状态,比如终端安全只负责终端,网络安全只负责网络。由于安全领域太过于细分,这种“头痛医头、脚痛医脚”的模式已经无法适应现在客户网络信息安全的需要。在这种背景下,直到2012年时,业界才开始认同基于整体体系进行网络安全防御的思路。
“对于IBM Security而言,我们最核心的内容是提供了一个框架和方法论,能够给各个企业客户提供一个免疫系统体系,在这个体系下能够针对不同类型企业进行不同维度的量身定制,从而能够更好的复合客户的安全业务发展。”他说。
在这个框架体系中,杀毒是位于终端安全End Point中的一个子集。WannaCry就处于该维度。客户如果遭遇到其它的大量类似勒索软件,。IMB拥有这样的一个体系,,这也是IBM区别于其它公司的一大特点。
IBM ,是得益于长期在信息安全的各个维度进行深度研究和积累。以银联为例,要做一个所有金融交易的中间枢纽站,就必须要对金融交易的各个维度进行深入细致了研究和考量。对此,IBM投入了巨大的精力。
整体而言,与其他安全厂商相比,IBM Security提供的是一个体系和方法论。它的好处在于,针对未来每一种不同的安全事件,其都能够找到应对的方法。这也是客户所真正需要的一个机制。
全文总结,对于用户而言,WannaCry勒索病毒网络攻击事件可谓带来了惨痛的教训。面对勒索病毒的常态化趋势,如何防御来自勒索病毒的攻击?如何不在同一地方跌倒?如何建立一个自身的网络信息安全防御体系?无疑是最为紧要的。
作为安全厂商今天应该看到,用户需要的并不是一个“哪痛医哪”的处方,而是需要一个“标本兼治”的解决方案。在这方面,正所谓“亡羊补牢,为时未晚”,IBM Security基于整体体系建设的思路以及完善的方法论,能够为用户量身打造一套“免疫系统”,从而使得用户具有应对来自未来已知的或未知的网络攻击的能力。
申耀的科技观察(微信号:shenyao),由非著名科技媒体人申耀创办、10万公里公路自驾经验老斯基,在各大自媒体平台拥有专栏,致力于科技行业的观察和思考,在这里读懂科技行业,知趋势,赢未来!