在过去的一周里,最轰动全球的网络安全事件非“WannaCry”勒索蠕虫爆发莫属了。
从5月12日晚开始爆发,“WannaCry”迅速席卷了全球,至少1600家美国组织, 11200家俄罗斯组织和6500家中国组织和企业都受到了攻击。国内众多校园系统、医疗系统、能源行业,以及公安办事系统等也纷纷遭受冲击。
WannaCry勒索蠕虫病毒爆发后,国内各大安全厂商均已经对该勒索做了详细分析并提出了应急处理策略。启明星辰也在第一时间对该病毒进行了技术剖析,并对NSA泄露的另外几个具有同样危害的高危漏洞进行分析验证并提供修补建议,防止“WannaCry”勒索软件事件的再次出现。
据了解,在此次事件爆发之前,黑客团体Shadow Brokers(影子经纪人)在4月14日公布了一批新的包括多个Windows远程漏洞利用工具在内的NSA方程式组织的机密文档及工具;随后,启明星辰于4月15日便发布了“核弹级神漏洞再现,Windows系统无一幸免”的预警,并将该风险定义为“核弹级”,同时提供了缓解方案;4月21日,启明星辰又发布了“一场美国大片引发的关于内网威胁检测的思考”,着重描述了蠕虫病毒在内网传播的监测手段。
其实,早在NSA漏洞攻击武器“永恒之蓝”被公布之前一个月,微软就已经发布了该漏洞布丁。然而在两个月后,仍然能够形成全球性的网络攻击事件,这一方面显现出当传统的具有破坏敲诈性质的勒索软件与远程漏洞结合后所产生的前所未有的破坏力,另一方面也无疑也彰显出在此之前广泛忽视的内网安全升级的问题。
对此,启明星辰也在第一时间针对“永恒之蓝”勒索软件发布处置建议方案、检查工具。启明星辰ADLab在对该事件样本进行了详细深入的分析后,也对漏洞补丁发布两个月后还能形成如此严重的世界性网络安全事件进行了反思。
启明星星辰首席战略官潘柱廷用“悲观的乐观主义”表达了对“永恒之蓝”事件的观点。潘柱廷认为:“这一事件可以说是既不空前,也不绝后。”之所以这样说,是因为对于网络安全而言,永远不存在百分百的安全,不管我们做多大的努力防患于未然,在未来的某个时间仍旧会发生类似的、甚至影响更为严重的安全事件。
但这并不意味着我们从此便可以放弃对网络安全的防御升级。潘柱廷用黄河悬空河的比喻来描述网络安全防御的博弈。潘柱廷指出:一直以来,我们对网络安全的事前防范措施都是一个一个防护设备加起来,如同为了防止水灾的泛滥而不断加堤加坝,但总会出现之前我们不曾预想到的境况,可能造成黄河的泛滥、甚至改道。但这个悲观的结论并不意味着我们就不去治理黄河,对于网络安全也是同样的道理。
那么,对于网络安全而言,又该从什么方向去考虑有可能出现的新的攻击?潘柱廷认为:新的攻击和灾难形态以及其不可预想性至少从两个方面去思考,一是业务本身的发展,如大数据、物联网等新的技术的出现;另外一方面还要考虑到随着安全措施的逐渐增加,最终形成一个边界,而对于攻击者来说其最后一定会找到攻击的这些防御的极限,导致新的安全事件发生。
由此,潘柱廷也提出了对待安全的基本态度:我们对于必然出现东西不必很悲观。在这样一个积极的基本观念之下,我们应更加积极地去做好安全的防护。而像此次“永恒之蓝”这样的大规模网络安全事件的爆发,或许也正是对传统安全防御模式进行改变和变革的一个契机。
除此之外,此次“永恒之蓝”事件的爆发也引发了业界对于边界隔离有效性的质疑。对于这一点,潘柱廷指出:所有的安全措施都是有副作用的,一方面隔离了很多威胁,另一方面也会使得有些服务不方便。例如,对于一些公共设备来说,引用系统补丁又不能随便自动升级的,对于这些地方如何去进行保护,实际上是更需要在边界上作出更强的防护。因此,对于对边界隔离的质疑,潘柱廷认为应对“杜绝边界”的说法予以否定。
最后,对于业界此次对“永恒之蓝”事件的处置,潘柱廷也表达了自己的看法:在此次事件中具体中招的安全防御薄弱之处或处置失当之处肯定是有问题的;但作为对一个突发的灾难性的安全事件的处置,业界对此所做出的迅速反应、进行的及时分析并推出防御、检测等一系列应急措施,可以说在此次事件中的处置是相当不错的。
总而言之,此次“永恒之蓝”所造成的影响或许是空前巨大的,但在“永恒之蓝”之后,我们或许还将面临更多、更为严峻的安全攻击挑战。而树立新的安全防御新观念、新的新的安全防御新思路、构建合理的安全防御新体系,或许是未来安全业界需要持续为之努力的方向。