WannaCry反思:传统安全理念遭遇马奇诺防线式溃败-阿里云开发者社区

开发者社区> 小旋风柴进> 正文

WannaCry反思:传统安全理念遭遇马奇诺防线式溃败

简介: 今天一早,我就被朋友圈中“WannaCry”的各种“开机攻略”震惊了。 当然用MAC的我,绝非幸灾乐祸,因为家里也有一台Windows台式机。真正让笔者吃惊的是,安全厂商们在提出所谓“主动防御”策略已经很多年的今天,竟然面对“WannaCry”这样一个并不十分高明的勒索病毒,齐刷刷被动应对。
+关注继续查看

今天一早,我就被朋友圈中“WannaCry”的各种“开机攻略”震惊了。

当然用MAC的我,绝非幸灾乐祸,因为家里也有一台Windows台式机。真正让笔者吃惊的是,安全厂商们在提出所谓“主动防御”策略已经很多年的今天,竟然面对“WannaCry”这样一个并不十分高明的勒索病毒,齐刷刷被动应对。

这足够让我们反思,在全球迈向万物互联的今天,我们的网络安全到底出了什么问题?谁来保障我们的数据安全?


并不高明的WannaCry


首先通俗解释一下什么是“WannaCry”?

“WannaCry”其实很简单,就是利用微软“Windows”系统的漏洞,自动扫描445文件共享端口,如果445端口是开启的Windows机器,该病毒无需用户任何操作,就可以将所有磁盘文件复制后加密、锁死,后缀变为.onion,并删除原文件。随后,黑客可以远程控制木马,向用户勒索比特币“赎金”。

640?wx_fmt=jpeg&tp=webp&wxfrom=5&wx_lazy

这个病毒在笔者看来其实并不怎么高明。因为首先,基于445端口传播扩散的SMB漏洞MS17-010,微软早在今年3月份就已经公布;其次今年4月份,美国国家安全局NSA旗下的“方程式黑客组织”甚至曝光了“WannaCry”同源的恶意软件。理论上,各大安全厂商应该早已更新过病毒防御系统。

但奇怪的是,就是这样一个“众所周知”的系统漏洞,竟然仍引起了全球范围内严重的病毒感染——北京时间5月12日晚20点,全球爆发大规模“WannaCry”勒索软件感染事件,第一时间造成英国16家医院内网被攻陷,电脑内所有资料被锁,黑客索要每家医院300比特币(接近400万人民币)的赎金;随后法国汽车制造商雷诺宣布受其影响,将暂时停止生产;而我国,大量行业企业内网受到感染,特别是教育网受损严重,多所高校教学系统、校园一卡通系统瘫痪,此外,全国多地中石油加油站出现断网的情况,致使加油卡、POS机无法使用。

据欧洲刑警组织总干事当地时间14日接受媒体采访时称,全球目前大约150个国家的20万受害者中招,除了公共事业单位如医院和高校之外,更多的是企业,甚至是大企业被“WannaCry”勒索


不仅仅是安全意识薄弱


众所周知,微软更新Windows漏洞补丁,年年有、月月有,别说是企业,就是个人也已经习以为常——更新补丁,几乎已经成为Windows用户的一项日常工作。

为什么这样一个早在3月份就已经公布的安全隐患,时隔两个月还会大规模爆发,而且受害者又是以所谓“安全防范意识较高”的机构组织为主?

在笔者看来,答案或许很简单,因为这次的“WannaCry”与以往病毒攻击不同,攻击的对象不是计算机系统、设备,而是数据。这样以勒索为目的的场景式攻击,让大多数用户和安全厂商始料未及,因而防范措施并不到位。

举个并不是特别恰当的例子:雷公太极10秒被KO,因为徐晓东完全没有按照所谓的“常理”——传统招式出拳,一下子就被搏击倒了。

很明显,在万物互联的今天,传统“魔高一尺,道高一丈”的理念,也必须与时俱进,因为网络攻击往往在30分钟内就已经解决战斗。

换句话说,“道高一丈”必须在分钟级的时间范围内,就实现全网应对部署,这对于企业网管来说,完全是不现实的;对于传统安全厂商来说,也是不现实的,因为一家安全厂商有成千上万的客户,每一家都是传统安全防护,厂商并没有权限实现远程安全管理。

“这次勒索病毒事件,并不是安全厂商能力差,而是模式的问题,表明私有云并不真正安全。”阿里云安全负责人肖力认为,“公共云很大的优势,就是公共云实际上是在用自动化的手段,保护自家的城墙。”


智能安全保护自己城墙


记得一家国内知名安全厂商产品负责人曾经跟笔者举过马奇诺防线的例子。换句话说,传统的网络安全是正面防御为主,但这种方式一旦被绕过或突破,受害的客户往往是被动发现。这时候的问题在于,传统网络安全对突破正面防御的威胁检测、诊断较慢,处置响应也比较慢。

640?wx_fmt=jpeg&tp=webp&wxfrom=5&wx_lazy

正因为此,当前网络安全运维的趋势重点,正在从正面防御转向加强持续检测和快速响应的投入力度进行转变,变被动为主动智能安全运营。但实际上,全网安全可视化的基础是全网可见性,需要通过持续检测来完成,这对于分散部署的IT系统来说,几乎是可望而不可及的事情。

在笔者看来,这样的工作,最合理的解决方案,是把工作交给具备全网安全可视化能力的服务商来做。这在今天,只有一个模式,就是公共云提供商。

举个例子,阿里云的安全策略主要体现在两个方面,一是覆盖所有IT layers,全网可见;二是数据驱动的持续监控和深度学习、分析,形成自动感知、自动预警、自动止血和反击的闭环能力。比如云盾抗DDoS分析集群就有500台服务器,其计算和分析能力带来了小于3秒的攻击响应时间。

据肖力透露,此次“WannaCry”勒索病毒没有重创到阿里云的客户,是因为阿里云早在三月份评估微软披露相关漏洞的时候,就认为该漏洞是一个非常严重的漏洞,第一时间通知用户,推出一键修复工具,提醒用户把445端口关掉。同时首先在云平台外围搭建防御层,留出修复漏洞的时间。无疑,“WannaCry”勒索病毒可以看作是一起由以破坏为目的恶意攻击,转向牟利为目的的标志性事件,威胁到每个人的数据数字财产、社会安全。

人们或许应该庆幸这次事件发生在北京时间周五晚间,没有给太多国内企业第一时间造成大量危害,但更应该做的是,在互联网、大数据时代,敲响网络安全的警钟。


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
4138 0
java-多线程 | 线程安全和线程同步
线程安全 线程安全就是多线程访问时,采用了加锁机制,当一个线程访问该类的某个数据时,进行保护,其他线程不能进行访问直到该线程读取完,其他线程才可使用。不会出现数据不一致或者数据污染。
1215 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
4597 0
Joyent公司CTO谈容器安全:安全性是容器部署面临的首要问题
本文讲的是Joyent公司CTO谈容器安全:安全性是容器部署面临的首要问题【编者的话】随着容器技术的发展,越来越多的IT企业开始关注容器技术。面对视安全如生命的企业级项目,如何才能帮助他们快速扫清拥抱容器技术的障碍?致力于容器云服务的Joyent公司CTO Bryan Cantrill在第97期The New Stack Analysts中探讨了Joyent对容器安全问题的一些看法。
1057 0
构建前端安全生产体系,给前端同学「稳稳」的幸福
“前端安全⽣产”专注于前端研发全链路的⾼质量交付,在前端应⽤开发、发布、线上运⾏三个关键阶段,通过⼀系列的⾃动化流程机制,控制前端代码⻛险,保障线上业务运⾏稳定,⽤机制保护⼈,不给前端同学引发线上故障的犯错机会,最终规避损失或者降低损失。
1023 0
2728
文章
6591
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载