“網路9·11”發出的警告

傳說中的“狼”真的來了。此前好像更多地存在於傳聞中的網路病毒，利用網路空間的漏洞，給普通人的現實生活撕開一道道口子。

5月12日開始爆發的勒索蠕蟲病毒Wannacry已經影響到100多個國家，導致全球數十萬主機被感染。

國內的情況同樣嚴重，因為遭受勒索蠕蟲病毒的攻擊，一些資訊化的工廠車間被攻陷，企業不得不停工；部分加油支付系統的終端也中招，使用者加油後無法正常支付；某些大學生的畢業論文被鎖死，螢幕上只留下一片攻擊者勒索比特幣的紅色介面。

雖然在病毒爆發的第二天，一名英國研究員就無意間發現 WannaCry病毒的隱藏開關（Kill Switch）域名，意外遏制了病毒的進一步擴散。但5 月 14 日，病毒的升級版WannaCry 2.0 又捲土重來，並取消了 Kill Switch。

之後的研究表明，Wannacry病毒是利用美國國家安全域性（NSA）黑客武器庫洩露的黑客工具“永恆之藍”（Eternal Blue）開發的。這或許是普通人離“網路軍火”最近的一次，也是網路安全教訓最直接的一次。

內網不再是安全自留地

“一些號稱與外網隔離的內網，在這次勒索病毒肆虐中成為重災區，在不能連線外網的情況下，只能用效率低下的辦法救援。”5月17日，在針對WannaCry勒索病毒召開的媒體溝通會上，360集團董事長兼CEO周鴻禕一語道破了此次網路病毒事件帶來的新挑戰：內網不再是網路安全的自留地。

事後看來，本次勒索病毒的爆發主要集中在許多使用內網隔離的辦法維護網路安全的地方，例如高校、醫院、政府機構和事業單位等。此類單位所使用的內網大多仍開放使用者使用445埠（支援檔案共享的網路埠），而我國個人網路使用者的445網路埠大多已被網路運營商遮蔽。

此外，因為不能連線外網，所以在本次勒索病毒爆發之後不能及時修補漏洞，升級安全軟體，進一步增加了“中招”的概率。騰訊安全實驗室專家馬勁鬆以高校為例，分析了本次勒索病毒爆發實踐中，原本被認為能帶來安全保障的內網隔離手段不再安全的原因。

馬勁鬆表示，許多高校通常接入的網路是為教育、科研和國際學術交流服務的教育科研網，此骨幹網出於學術目的，大多沒有對445埠做防範處理。而且，一些高校學生為了打區域網遊戲，有時會關閉電腦防火牆，這會導致電腦接收445埠的資料，給黑客攻擊留下可乘之機。

目前，針對這次勒索病毒事件，各大網路安全廠商都已經推出相應解決方案。以騰訊電腦管家為例，兩天之內連續釋出“勒索病毒免疫工具”“檔案恢復工具”等，使用者可以此保護電腦安全。

馬俊鬆提醒，雖然此役過後，相同手法的病毒攻擊將不會大規模出現，但全面爆發的勒索病毒侵入了使用者生活工作的方方面面，也讓大家意識到了網路病毒的威脅與嚴重後果。

中國科學院資訊工程研究所資訊保安國家重點實驗室主任林東岱則認為，這次病毒事件對於使用者和安全廠商來說將帶來網路安全觀念上的改變。“以前我們可能用內網這類辦法防止網路攻擊，但這次的病毒事件說明，他們也可以反過來利用我們自己的技術手段來攻擊、勒索我們。”

身為資訊保安研究專家，林東岱深知此次勒索病毒攻擊，採取的技術並不新穎。但網路攻擊的思路改變後，將提高相應的網路安全防禦成本。他把這次病毒事件的情節和影響類比為“9·11”事件：以前為了應對劫機，航空公司會假定恐怖分子也想活著，所以相應的培訓都是讓大家儘量別激怒劫機者，但忽然發生的“9·11”事件表明，劫機者也可能根本不想活命，此時原有的培訓反倒可能成為傷害所有人的工具。

“永恆之藍”背後的“永恆漏洞”

病毒爆發後，網路安全界發現，這款勒索蠕蟲病毒是針對微軟系統的“永恆之藍”漏洞進行傳播和攻擊的。一旦電腦感染該病毒，被感染電腦會主動對區域網內的其他電腦進行隨機攻擊，區域網內沒有修補漏洞的電腦理論上將無一倖免地感染該病毒。

在上述媒體溝通會上，周鴻禕也強調了網路漏洞的重要性，他把網路漏洞比喻為“網路軍火”，一個大家沒發現的漏洞就可能引發全球性病毒的爆發。在中國青年報·中青線上記者採訪時，許多專家都認為“永恆之藍”背後所反映的網路安全漏洞問題值得反思。在“永恆之藍”的背後，永恆存在的網路漏洞隨時都是公眾網路安全的潛在威脅。

馬勁鬆表示，此次病毒感染急劇爆發的主要原因在於，其傳播過程中利用了“永恆之藍”漏洞。上海鬥象科技有限公司市場副總裁、漏洞盒子負責人李勇也認為，這次病毒大規模爆發最大的特點就是利用通用型系統或者裝置的漏洞進行攻擊，造成大規模的危害。

“白帽黑客”華建樂（化名）也對記者表示，在整個事件中，作為傳播媒介的微軟系統漏洞MS17-010是最關鍵的。華建樂認為，本次病毒爆發事件中，攻擊者採取的是敲詐勒索“這種明目張膽的方式來攻擊”，這其實並不是明智之舉，甚至更像是榨取“永恆之藍”這個系統漏洞的最後價值。

這也就意味著，本次勒索病毒事件和“永恆之藍”漏洞可能只是冰山一角，還有更多的漏洞和通過漏洞展開的攻擊尚未被人知曉。根據國家資訊保安漏洞共享平臺（CNVD）的統計資料，2016年CNVD共收錄通用軟硬體漏洞10822個，較2015年的漏洞收錄總數8080環比增加34%。其中高危漏洞有4146個（佔比38.3%），可用於實施遠端網路攻擊的漏洞有9503個，可用於實施本地攻擊的漏洞有1319個。

在CNVD的統計中，此次勒索病毒事件中被利用的“永恆之藍”漏洞所屬的“零日”漏洞（0day）在去年共收錄2203個。這類安全漏洞又被稱為零時差攻擊，在被發現後將立即被惡意利用，因而往往具有很大的突發性與破壞性。

隨著越來越多智慧裝置投入使用，網路安全漏洞所帶來的威脅也與日俱增。360網際網路安全中心釋出的《2016年中國網際網路安全報告》顯示，個人資訊洩露主要是黑客利用網站存在的安全漏洞非法入侵和網站內部人員非法盜賣；金融行業網站漏洞威脅更加複雜化，傳統的銀行、保險，新興的第三方支付、網際網路P2P等領域都曝出不少高危漏洞；網站漏洞實施掛馬攻擊重新興起，並呈現一定程度爆發趨勢。

此外，一個更加令人擔憂的問題是，在移動網際網路時代越發重要的手機也存在眾多安全漏洞。上述《報告》指出，目前大多數安卓系統手機都存在安全漏洞，而使用者手機未能及時更新而存在安全漏洞的重要原因之一，是手機廠商普遍未能實現其定製開發的安卓系統與安卓官方同步更新，而且延時較大。

漏洞安全治理急盼良方

為應對與日俱增的網路漏洞威脅，目前不少科技公司都設立了漏洞獎勵機制，只要“白帽黑客”或其他技術人員發現並提交漏洞，就會獲得獎勵。而烏雲、補天等漏洞反饋、眾測平臺也會接收並公佈漏洞，以幫助企業發現漏洞並及時補救。另外，也有一些安全企業提供程式碼審計類的產品，希望在產品上線之前先發現是否存在漏洞。

不過，在華建樂看來，在數量眾多且複雜多樣的網路漏洞威脅面前，上述做法似乎都不太夠用。因為高危漏洞往往需要人工發掘才能發現，而且在發現後很容易就會被轉入地下黑色產業鏈，直到利用價值逐漸減低，才逐漸浮出水面。

“三分靠技術，七分靠制度。”華建樂說，在網路漏洞安全防範中，已經積累了許多經驗和技術，但這些經驗和技術的推廣仍受制於現實的制度障礙和執行困難。對此，林東岱也深有體會。據他介紹，企業（集團）漏洞掃描漏洞、等級保護測評高危漏洞等技術手段是目前比較合適的網路漏洞防範手段，也有一部分企業在推行。“但很多還是沒做，所以怎麼推行到位還是一個問題。”

為何合適的網路漏洞防範技術難以推行？這跟網路安全行業的特殊性有關。“出了事都很關心，不出事大家都不願去做，這也是我們做安全行業的人經常遇到的一個苦惱。”林東岱曾接觸過許多企事業單位的網路安全管理部門，他發現很多企業在一開始不願意去做網路安全的事，總是把安全放到業務和營利後考慮。

金山軟體股份有限公司首席安全專家李鐵軍也注意到了這類現象。他說，相比於個人使用者，許多內網企業使用者仍然沒有及時修復系統、安裝更新補丁的習慣，即使早就有了幫助隔離的內網使用者更新補丁的技術工具，依然有相當多的單位未採用。

在網路安全領域從業多年，李鐵軍希望這次勒索病毒事件能促進網路安全管理部門意識到病毒爆發背後的制度問題。“對管理者來說這是一個很好的機會。”他說，塞翁失馬焉知非福。李勇也表示，在黑客的攻擊行為變得更加多樣化的新環境下，此次勒索病毒事件再次說明和教育了大家，企業的網路安全建設不是簡單的買一兩臺裝置和一套系統，而是一個系統工程，需要在IT投資、人員能力、威脅情報收集、開發和運維保障、業務迭代等多方面開展，並且動態地進行。

他建議企業要儘快建立漏洞安全威脅情報蒐集渠道，提前感知並預判安全威脅，從而縮短發現威脅和發生威脅的時間差，有效避免和減少損失。“因為黑客攻擊是在暗處，而且從網路安全的建設來看，防止攻擊是100%防不住的。”

本文轉自d1net（轉載）