勒索蠕虫影响已得到控制 隔离网非安全自留地

05-16 08:42   京华时报  

谁都没有想到,从5月12日开始,WannaCrypt(永恒之蓝)勒索蠕虫病毒竟然袭击全球100多个国家,大量机构和个人的计算机遭到攻击。本周一,出于安全考虑,部分地区的机构暂停了相应业务的办理。不过,京华时报记者从安全厂商方面得到的反馈是,勒索病毒的感染和影响已经得到了控制,总体态势平稳,被业界广泛担忧的机构被大规模感染的状况并未出现。

之前业界广泛担忧会出现“黑色周一”,主要是基于是大型机构和政府机构上班时间会迎来电脑开机高峰。为此,部分地区的机构暂停了相应服务。

国内机构感染永恒之蓝勒索蠕虫行业分布图。360供图。

周一仅有零星电脑遭感染

“平安洛阳V”于15日中午发出通知:“因网络系统维护,目前我市交警、户政、出入境业务暂停办理。工作人员正在全力维护,建议大家待系统维护结束后再前往办理相关业务。”

此外,珠海市住房公积金管理中心也发布紧急通知,5月15日暂停办理所有住房公积金业务。

360安全专家表示,从5月15日的监测趋势图上看,当日早上十点和十一点是攻击的高峰。

不过,事情并没有想象的那么糟。360威胁情报中心15日下午发布的WannaCrypt(永恒之蓝)勒索蠕虫态势显示,在中央网信办、公安部、工信部的领导下,经过全国动员和应急响应,感染和影响得到了控制,总体态势平稳,周一受感染机构的增长速度比前两天明显放缓,之前被业界广泛担忧的国内机构被大规模感染的状况并没有出现。

“从我们的实际反馈看,证明了之前所有处置和响应工作是有成效的,从360威胁情报中心接到的求助信息看,周一只有个别机构和企业有零星电脑感染。”360企业安全集团总裁吴云坤说。

全员行动打响狙击战

针对这场勒索蠕虫病毒的蔓延,政府和企业也行动比较迅速。

吴云坤表示,这次的永恒之蓝勒索蠕虫的大规模爆发开始于上周五下午,周末正好是大型机构、政府机关使用电脑的低峰期,这在客观上避免了蠕虫病毒的快速扩散,也为相关机构和行业进行应急处置提供了48小时的缓冲时间。

吴云坤说:“72小时内,我们在5月12日下午率先发布了预警通告,截至15日上午9点,360推送给政企客户的预警通告更新了8个版本,提供了7个修复指南、6个修复工具,出动近千人,提供上万次的上门支持服务、超两万多次电话支持服务,我们还制作了5000多个U盘和光盘发放到客户上手上,手把手教会客户修复电脑,配置网络。”

记者了解到,某金融机构在周六上午六点半就建立了响应群,将免疫工具下发,八点半部署全国防护策略,从网络、服务器、终端360度无死角,到15日早晨十点半,全行无一例感染。

此外,南宁市网信办联合发改委信息中心、南宁公安局网安支队在13日下午就召开紧急会议,由网安支队提供安全厂商的解决方案,并由网安支队刻了600张光盘发放全市各政府企事业单位,整个南宁的病毒感染率极低。

利用未打补丁机器上漏洞

安全专家告诉记者,这次病毒爆发的核心原因,是利用了没有打补丁的机器上的漏洞。事实上,这次漏洞的公开时间是2017年4月份,而微软在3月份已经提前给了补丁,但很多用户没有打。

这次勒索病毒的恶劣程度在于它会把计算机上的重要文件和文档加密,而加密造成的损失不是重装系统可以弥补的。

此次事件还有一个特征,即在无需用户任何操作的情况下,勒索软件即可扫描开放445文件共享端口的Windows机器,植入恶意程序,将电脑中的文件加密,只有支付黑客所要求赎金后,才能解密恢复。

那么,445端口究竟是什么?业内人士解释,445端口的主要特点是支持文件共享,比如我们在办公室共享打印机,就要用到445端口。目前,我国个人用户的445网络端口大多已被网络运营商屏蔽,但大局域网和企业内网中仍有端口开放。

反思 隔离网非安全自留地

这场蠕虫病毒的侵袭,让不少机构受到了影响,也引起业对网络安全的反思。

吴云坤认为,目前整体的网络安全工作主要存在三大问题:第一,国家在网络安全建设上,需要找到能力型厂商。这次勒索病毒爆发事件,是对我国网络安全防御体系的整体考验,不仅是对应急响应能力的考察,也是对安全建设和供应商选择的一次考试。这次从病毒爆发重灾区和应急响应上看,过去在基础架构上的安全规划较少,同时很多安全厂商集体失声或反应较慢。整个国家安全需要能力型厂商,真正能够帮助国家和政企对抗全球日益严峻的威胁。

第二,内网隔离不能一隔了之,隔离网不是安全的自留地。多年来,我们强调内外网隔离的思想,认为网络隔离是解决网络安全问题最有效的方式,有些单位的信息安全工作人员仍旧简单地以为,只要隔离就能安全解决问题。但随着互联网时代的日益兴盛,网络边界越来越不清晰,也有更多的技术手段可以轻易突破网络边界。此次事件中招的大部分是企业和机构内网以及物理隔离网,事件证明,隔离不是万能的。内网是隔离的,本来应该是安全岛,但内网如果没有任何安全措施,一旦被突破,瞬间全部沦陷,所以在隔离网里要采取更加有效的安全措施。

第三,政企机构的安全意识需要提高。虽然网络安全已经上升了国家战略层面和法制层面,但是国内机构和企业整体安全意识还不强。此次事件发生前一个月,相关补丁和预警就已经发布,但此次被感染的大多数客户都是因为没有及时打补丁所导致的。

相关阅读