5月12日晚間開始，一種新型“蠕蟲式”勒索軟件WanaCrypt0r 2.0開始在互聯(lián)網(wǎng)上肆虐。如果你用的是Windows系統(tǒng)，又不巧沒有安裝今年3月微軟發(fā)布的相關(guān)安全補(bǔ)丁，那么只要開機(jī)聯(lián)網(wǎng)，無需任何操作，都有可能“中招”。

“中招”的電腦中，文件都被加密鎖定，黑客聲稱想要解密需要以比特幣支付贖金，但截至目前，尚未見到支付贖金后得以解密的案例報(bào)道。而除此之外的解決之道，就只能是重裝系統(tǒng)，再從恢復(fù)備份文件。——沒備份？那麻煩可就大了。

關(guān)鍵基礎(chǔ)設(shè)施中招，物理專網(wǎng)防御如同薄紙

高校、醫(yī)院、政府機(jī)關(guān)等基礎(chǔ)設(shè)施是這次網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)。據(jù)杭州都市快報(bào)報(bào)道，5月12日晚11時(shí)，下沙高教園區(qū)校園網(wǎng)被黑，浙江傳媒學(xué)院、中國計(jì)量大學(xué)，浙江理工大學(xué)等一一淪陷。每日經(jīng)濟(jì)新聞報(bào)道稱，5月13日凌晨開始，受該蠕蟲病毒影響，全國2萬家加油站斷網(wǎng)，雖然能加油，但無法刷卡，無法使用在線支付。而就在同日，珠海市公積金系統(tǒng)也“緊急停辦”。

被病毒感染的電腦界面

短時(shí)間內(nèi)造成如此大規(guī)模的影響，是這種蠕蟲病毒特別厲害嗎？并非如此。這種蠕蟲病毒的的傳播方式和2008年前后出現(xiàn)的“沖擊波”、“震蕩波”原理上如出一轍，都是利用共享文件445端口傳播，只不過因?yàn)樗�利用的�?a target="_blank" href="http://www.liuyangsem.com" class="UBBWordLink">Windows系統(tǒng)的漏洞，而Windows系統(tǒng)在全球的普及度太高，因而受災(zāi)范圍尤其驚人。

在全球互聯(lián)網(wǎng)化不斷加深的今天，安全不再是某一個(gè)節(jié)點(diǎn)或者某一個(gè)小范圍之內(nèi)的問題，在這種大規(guī)模的病毒感染面前，全球的計(jì)算機(jī)都面臨風(fēng)險(xiǎn)。蠕蟲病毒不是今天才出現(xiàn)的，日常的蠕蟲攻擊甚至從未中斷過，但這次在如此大的范圍之內(nèi)讓關(guān)鍵基礎(chǔ)設(shè)施停擺，這就是一個(gè)在國家層面非常值得警醒的問題：我們的安全觀念是否有偏差？我們的安全治理是否做得到位？

“很多基礎(chǔ)設(shè)施單位為了安全，通常建有物理隔離的專網(wǎng)，和互聯(lián)網(wǎng)不互通。但這一次的事件恰好暴露出物理隔離的專網(wǎng)安全性不堪一擊。”阿里云首席安全研究員吳翰清解釋了這類機(jī)構(gòu)受災(zāi)嚴(yán)重的原因。據(jù)他介紹，很多物理隔離的專網(wǎng)還在使用非常老舊的系統(tǒng)，補(bǔ)丁升級(jí)滯后，快速響應(yīng)能力十分欠缺。“很多系統(tǒng)甚至是長期‘帶病運(yùn)行’，這次只是漏洞被利用的后果更加嚴(yán)重，破壞性更大，這才引起了注意。”

事實(shí)上，由于以前國內(nèi)多次爆發(fā)利用445端口傳播的蠕蟲，各大運(yùn)營商對(duì)個(gè)人用戶已封掉445端口，這類用戶這次就都“逃過一劫”，反而是建有物理專網(wǎng)的單位，445端口未封，相當(dāng)于“門戶大開”，因而成為了重災(zāi)區(qū)。

物理隔離專網(wǎng)，聽上去隔絕了外部互聯(lián)網(wǎng)，是個(gè)安全的“小王國”，但其實(shí)防御十分脆弱。比如一個(gè)u盤，在連接上了互聯(lián)網(wǎng)的電腦上插拔之后，再插到物理隔離專網(wǎng)的電腦上，就可能造成外網(wǎng)的病毒感染。還有些單位為了方便，會(huì)給辦公電腦裝兩張網(wǎng)卡，一張連接互聯(lián)網(wǎng)，一張連接專網(wǎng)，病毒也可能通過這種電腦從外網(wǎng)滲入專網(wǎng)。

“物理隔離專網(wǎng)防御就像一張紙，一戳就破。”吳翰清說，“但大家對(duì)這個(gè)問題普遍缺乏認(rèn)識(shí)，還是迷信專網(wǎng)的安全性，認(rèn)為做了專網(wǎng)就可以高枕無憂了，然后就放松了內(nèi)部的安全治理。這種觀念是非常糟糕的。”

防患未然比事后補(bǔ)救更重要

如果不幸“中招”，要如何補(bǔ)救？網(wǎng)上已經(jīng)涌現(xiàn)出了多種“補(bǔ)救攻略”，但大部分都只是一些防患于未然的警告，只是在還未中招時(shí)教用戶如何關(guān)閉相關(guān)端口，或者打上微軟的補(bǔ)丁。

“假如沒有備份，現(xiàn)有的恢復(fù)軟件只能以一定概率恢復(fù)極少數(shù)的文件。”吳翰清說，“或者你能搞到黑客的云端加密秘鑰——無論對(duì)哪一種方式，我們都持悲觀態(tài)度。”

不過，也有很多用戶安然度過了危機(jī)。一家香港的銀行表示，因?yàn)椴扇×俗钕冗M(jìn)的防火墻和殺毒軟件，并且建立了快速響應(yīng)的安全機(jī)制，所以這次安然無恙。阿里云的客戶也幾乎沒有受到影響。目前，阿里云默認(rèn)為ECS用戶關(guān)閉445端口，且默認(rèn)安裝Windows官方補(bǔ)丁。

這其中并沒有很深的秘密，最大的不同在于，云上的數(shù)據(jù)帶來了可見性。而可見性是安全的基礎(chǔ)。只有看得見才能“料敵機(jī)先”、實(shí)施保護(hù)。

據(jù)阿里云的大數(shù)據(jù)分析，去年下半年開始，類似的勒索軟件就開始抬頭。今年1月，利用MongoDB 開源版數(shù)據(jù)庫的配置疏漏進(jìn)行入侵的蠕蟲病毒也讓使用這種數(shù)據(jù)庫的企業(yè)經(jīng)歷了一場(chǎng)新年驚魂，但相比于這次針對(duì)Windows漏洞的攻擊，范圍自然不可同日而語。

“今年4月14日，Windows遠(yuǎn)程漏洞利用工具曝光，我們就預(yù)計(jì)今年會(huì)有一次大爆發(fā)。”吳翰清表示，阿里云覆蓋了全國37%的網(wǎng)站，客戶規(guī)模龐大，有任何攻擊的變種方式，都能第一時(shí)間獲知；而且還有快速響應(yīng)的能力，第一時(shí)間推出相應(yīng)的解決策略。

4月15日，距離高危漏洞曝光僅僅一天，阿里云官方微信就發(fā)布了Windows這個(gè)高危漏洞的修復(fù)方案，并且做好了“一鍵修復(fù)”的工具推送給用戶。

阿里云發(fā)布的高危漏洞一鍵修復(fù)工具

傳統(tǒng)的IDC很難有這樣的響應(yīng)速度。一個(gè)有著上百臺(tái)服務(wù)器的機(jī)房，要即時(shí)維護(hù)系統(tǒng)打上補(bǔ)丁，工作量十分巨大，而且維護(hù)人員很難判斷問題究竟出在哪臺(tái)、或者哪幾臺(tái)機(jī)器上。也沒有人去告訴他們，哪些補(bǔ)丁至關(guān)重要。

“這就相當(dāng)于你的房子門戶大開，而你一無所知。”阿里云安全技術(shù)人員表示，“但如果你的房子在云端，就會(huì)有專門的安全專家來對(duì)安全性進(jìn)行評(píng)估，并向你推動(dòng)解決方案。我們會(huì)不斷地提醒你：‘趕快把門關(guān)上！’當(dāng)然，最終關(guān)門的動(dòng)作還是你自己來做。”

正如阿里云安全資深總監(jiān)肖力所言：“安全廠商各自救火，做的都是事后的工作，或許也能取得補(bǔ)救效果，不過如果有云安全的‘事先預(yù)測(cè)’，就能防患于未然，公共云在這方面有著解決問題的最佳優(yōu)勢(shì)。”這是因?yàn)椋�有了�?qiáng)大的儲(chǔ)存與計(jì)算能力，就能通過數(shù)據(jù)分析處理結(jié)果進(jìn)行預(yù)測(cè)和防御了。

躲過這次勒索就安全了嗎？

針對(duì)WannaCry蠕蟲病毒的補(bǔ)丁打了，但并不意味著下一次還能在新的病毒攻擊面前幸免于難。事實(shí)上，阿里云已經(jīng)觀測(cè)到了這一蠕蟲病毒的變種。“這證明有的新的黑客團(tuán)體在研究變種，并進(jìn)行二次傳播和三次傳播。之后的危險(xiǎn)會(huì)越來越高。”吳翰清表示。他預(yù)計(jì)今年還會(huì)有3-4次類似的大規(guī)模安全事件。

阿里云安全專家杜鵬也表示，即使躲過了勒索漏洞，企業(yè)還可能有四大潛在的安全風(fēng)險(xiǎn)：點(diǎn)擊異常郵件，電腦里的文件就全部被加密；開源軟件服務(wù)裸奔在互聯(lián)網(wǎng)，敏感數(shù)據(jù)全部暴露；企業(yè)攝像頭變成全球直播，參與全球網(wǎng)絡(luò)大破壞；代碼上傳到開源代碼庫代碼上傳到Github后，內(nèi)網(wǎng)卻掛了。

安全從來就沒有一勞永逸這一說，和黑客攻擊的對(duì)抗是個(gè)打仗一般的動(dòng)態(tài)過。在吳翰清看來，提升安全意識(shí)，是一切的基礎(chǔ)。做好數(shù)據(jù)庫、文檔和系統(tǒng)的備份，是每家企業(yè)的CIO都必須做好的頭等大事。不僅是漏洞，不安全的軟件、無法及時(shí)響應(yīng)安全危機(jī)，都可能給企業(yè)造成損失。因此，做好整個(gè)企業(yè)內(nèi)部的安全治理至關(guān)重要。

“當(dāng)然，安全是比較貴的。”他說，“但是一定要把這個(gè)當(dāng)作重要的投資。”