趙翀

中國(guó)民用航空局華北地區(qū)空中交通管理局內(nèi)蒙古分局 內(nèi)蒙古呼和浩特 010070

2016年8月，網(wǎng)絡(luò)上名叫“ShadowBrokers”的黑客組織號(hào)稱入侵了NSA（美國(guó)國(guó)家安全局）下屬的黑客組織“方程式”。在拍賣竊取的黑客工具未果后，此組織在2017年4月14日在公開(kāi)網(wǎng)絡(luò)上一口氣放出了十幾個(gè)網(wǎng)絡(luò)世界中核彈級(jí)的攻擊工具“NSA武器庫(kù)”供所有人下載。2017年5月12日晚，名為Wannacry的勒索病毒襲擊全球網(wǎng)絡(luò)，該勒索病毒利用“NSA武器庫(kù)”中的ETERNALBLUE（永恒之藍(lán)）發(fā)起攻擊。蠕蟲(chóng)利用SMB服務(wù)器漏洞，通過(guò)滲透到未打補(bǔ)丁的WINDOWS計(jì)算機(jī)中，實(shí)現(xiàn)大規(guī)模迅速傳播，數(shù)十萬(wàn)臺(tái)計(jì)算機(jī)受到感染，感染病毒后病毒會(huì)對(duì)WINDOWS系統(tǒng)計(jì)算機(jī)內(nèi)現(xiàn)有的文檔、圖片、視頻等進(jìn)行快速加密，所用加密算法用暴力破解方法不可解，同時(shí)要求用戶支付一定量的資金進(jìn)行解密，否則一段時(shí)間后刪除文件。在我國(guó)范圍內(nèi)，教育網(wǎng)受災(zāi)嚴(yán)重，機(jī)關(guān)、企事業(yè)單位均有不同程度的感染。對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)業(yè)內(nèi)來(lái)說(shuō)，蠕蟲(chóng)病毒早已屢見(jiàn)不鮮，勒索病毒也隨著電子郵件等方式早已為人們所知。為何這次的“永恒之藍(lán)”勒索病毒造成了如此轟動(dòng)的效果并造成了如此巨大的損失呢？筆者認(rèn)為應(yīng)從以下幾個(gè)方面來(lái)分析：

隸屬于“NSA武器庫(kù)”的一批影響網(wǎng)絡(luò)安全的“核彈極”應(yīng)用的徹底公開(kāi)和民用化。此次爆發(fā)的“永恒之藍(lán)”勒索病毒及此前同時(shí)放出的一批網(wǎng)絡(luò)攻擊工具使用的漏洞的危險(xiǎn)程度、漏洞利用的水平、以及工具制作的水平，均屬于世界頂級(jí)。未來(lái)的一段時(shí)間內(nèi)，這類工具一定會(huì)被廣泛利用，絕不僅僅是一個(gè)“永恒之藍(lán)”那么簡(jiǎn)單。

此次“永恒之藍(lán)”勒索病毒借著網(wǎng)絡(luò)攻擊工具擴(kuò)大了蠕蟲(chóng)病毒的傳播效率、使得傳統(tǒng)勒索病毒能更大范圍的進(jìn)行傳播，這種將舊有病毒特性融合創(chuàng)新的新型攻擊手段只是開(kāi)始，這是網(wǎng)絡(luò)安全人員與病毒制作者之間的賽跑過(guò)程，越早對(duì)整個(gè)單位的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)能力和防范能力進(jìn)行審視并查漏補(bǔ)缺，才能應(yīng)對(duì)此后層出不窮的各類新型網(wǎng)絡(luò)攻擊。

微軟公司在“NSA武器庫(kù)”徹底公布之前兩個(gè)月已經(jīng)發(fā)布了相應(yīng)的WINDOWS補(bǔ)丁，WINDOWS8.1及以上用戶只要運(yùn)行WINDOWSUPDATE就基本可以免疫此次病毒爆發(fā)?？墒菄?guó)內(nèi)計(jì)算機(jī)運(yùn)行現(xiàn)狀是，大量的計(jì)算機(jī)使用盜版WINDOWS系統(tǒng)，同時(shí)企事業(yè)單位不注重內(nèi)網(wǎng)電腦的更新?lián)Q代工作，認(rèn)為內(nèi)網(wǎng)計(jì)算機(jī)只要能上內(nèi)網(wǎng)能看文件就可以不用更新?？墒峭ǔ１I版WINDOWS7都會(huì)關(guān)閉自動(dòng)更新，至于WINDOWSXP及以下版本的系統(tǒng)微軟公司早已停止一切軟件支持，這些基本不設(shè)防的系統(tǒng)遇到能夠掃描網(wǎng)內(nèi)計(jì)算機(jī)特定端口的病毒，大量感染是必然的。

大量的用戶對(duì)于微軟在系統(tǒng)中提供的防護(hù)程序WINDOWSDEFENDER并不信任。它集成了防病毒、防火墻、系統(tǒng)維護(hù)、家長(zhǎng)控制等多種功能，與其他殺毒軟件相比，WINDOWSDEFENDER本身并不會(huì)拖慢系統(tǒng)速度。雖然說(shuō)它較為簡(jiǎn)易，但其防護(hù)功能并沒(méi)有所有人想象中那么差。針對(duì)這次病毒襲擊，微軟公司也第一時(shí)間更新了自己的病毒庫(kù)，WINDOWSDEFENDER完全可以查殺出這款勒索病毒。

用戶的計(jì)算機(jī)使用習(xí)慣也導(dǎo)致了這次的病毒大爆發(fā)。這次病毒爆發(fā)的一個(gè)重災(zāi)區(qū)是企事業(yè)單位的內(nèi)網(wǎng)電腦。這些內(nèi)網(wǎng)電腦沒(méi)有做到嚴(yán)格的專機(jī)專用，一機(jī)雙網(wǎng)的隔離做的不到位，甚至用戶亂使用移動(dòng)存儲(chǔ)產(chǎn)品由外網(wǎng)向內(nèi)網(wǎng)拷貝數(shù)據(jù)。對(duì)于輕防護(hù)的內(nèi)部網(wǎng)絡(luò)來(lái)說(shuō)，這次的病毒只要有一個(gè)不守規(guī)矩的用戶，就可以導(dǎo)致整個(gè)內(nèi)部網(wǎng)絡(luò)上所有未進(jìn)行防護(hù)的計(jì)算機(jī)均受到感染。

假設(shè)沒(méi)有之前“ShadowBrokers”披露的“NSA武器庫(kù)”，搭載這些高級(jí)漏洞的也不是這次爆發(fā)的“永恒之藍(lán)”勒索病毒，這些攻擊工具的擁有者和制作者完全可以搭載其他的后門程序，進(jìn)行國(guó)家情報(bào)收集、商業(yè)機(jī)密獲取、偷取個(gè)人隱私甚至個(gè)人的財(cái)富的掠奪都是輕而易舉。更何況前不久網(wǎng)上公布的只是一小部分攻擊工具，我們的網(wǎng)絡(luò)安全在第一個(gè)實(shí)例“永恒之藍(lán)”勒索病毒面前就像一層薄薄的窗戶紙。在這個(gè)移動(dòng)互聯(lián)大發(fā)展的時(shí)代，如果這次感染的不是WINDOWS系統(tǒng)，而是海量的手機(jī)和各類移動(dòng)端設(shè)備，現(xiàn)如今不需要帶錢包出門的我們，該怎么面對(duì)各類個(gè)人隱私以及個(gè)人網(wǎng)絡(luò)上的資產(chǎn)不會(huì)流失？

當(dāng)前我們對(duì)于網(wǎng)絡(luò)安全保護(hù)的投入微不足道，相對(duì)于我們已經(jīng)離不開(kāi)智能手機(jī)和智能手表、網(wǎng)購(gòu)、用互聯(lián)網(wǎng)思維解決問(wèn)題，我們的網(wǎng)絡(luò)安全意識(shí)基本屬于全方面的滯后。對(duì)于今后的網(wǎng)絡(luò)攻擊預(yù)防，我認(rèn)為應(yīng)從如下幾個(gè)方面進(jìn)行加強(qiáng)：

（1）企事業(yè)單位的內(nèi)部網(wǎng)絡(luò)要與外部網(wǎng)絡(luò)進(jìn)行嚴(yán)格隔離，如有必要登陸互聯(lián)網(wǎng)，必須在網(wǎng)絡(luò)邊界嚴(yán)格部署各類預(yù)防措施，盡量做好嚴(yán)防死守的準(zhǔn)備。

（2）對(duì)于每一臺(tái)能夠互聯(lián)的設(shè)備，必須強(qiáng)制安裝一種防護(hù)軟件，多個(gè)安全軟件沒(méi)有必要，反而會(huì)對(duì)設(shè)備的運(yùn)算速度造成拖累。

（3）每一臺(tái)能夠互聯(lián)的設(shè)備，必須確保安裝最新的操作系統(tǒng)安全補(bǔ)丁，如果有條件，盡量使用新設(shè)備、新操作系統(tǒng)、正版軟件。

（4）對(duì)每臺(tái)能聯(lián)網(wǎng)的設(shè)備的通信端口以及各類網(wǎng)絡(luò)功能進(jìn)行梳理，比如遠(yuǎn)程協(xié)助服務(wù)、網(wǎng)絡(luò)共享服務(wù)等不需要的服務(wù)和端口全部進(jìn)行封禁，如有必要使用必須嚴(yán)格限制連接白名單。

（5）對(duì)每一位設(shè)備使用者進(jìn)行安全教育，嚴(yán)格按規(guī)章執(zhí)行移動(dòng)存儲(chǔ)設(shè)備在內(nèi)網(wǎng)設(shè)備上的使用規(guī)則，并使用相應(yīng)的組策略進(jìn)行嚴(yán)格控制。外網(wǎng)存儲(chǔ)設(shè)備進(jìn)行嚴(yán)格殺毒和識(shí)別后才可以在內(nèi)網(wǎng)運(yùn)行。

（6）個(gè)人和組織都應(yīng)對(duì)關(guān)鍵設(shè)備、關(guān)鍵數(shù)據(jù)進(jìn)行定期的備份，最好能進(jìn)行離線備份，在數(shù)據(jù)被破壞之后盡量減少損失。