WannaCry反思：传统安全理念遭遇马奇诺防线式溃败

今天一早，我就被朋友圈中“WannaCry”的各种“开机攻略”震惊了。

当然用MAC的我，绝非幸灾乐祸，因为家里也有一台Windows台式机。真正让笔者吃惊的是，安全厂商们在提出所谓“主动防御”策略已经很多年的今天，竟然面对“WannaCry”这样一个并不十分高明的勒索病毒，齐刷刷被动应对。

这足够让我们反思，在全球迈向万物互联的今天，我们的网络安全到底出了什么问题？谁来保障我们的数据安全？

并不高明的WannaCry

首先通俗解释一下什么是“WannaCry”？

“WannaCry”其实很简单，就是利用微软“Windows”系统的漏洞，自动扫描445文件共享端口，如果445端口是开启的Windows机器，该病毒无需用户任何操作，就可以将所有磁盘文件复制后加密、锁死，后缀变为.onion，并删除原文件。随后，黑客可以远程控制木马，向用户勒索比特币“赎金”。

这个病毒在笔者看来其实并不怎么高明。因为首先，基于445端口传播扩散的SMB漏洞MS17-010，微软早在今年3月份就已经公布；其次今年4月份，美国国家安全局NSA旗下的“方程式黑客组织”甚至曝光了“WannaCry”同源的恶意软件。理论上，各大安全厂商应该早已更新过病毒防御系统。

但奇怪的是，就是这样一个“众所周知”的系统漏洞，竟然仍引起了全球范围内严重的病毒感染——北京时间5月12日晚20点，全球爆发大规模“WannaCry”勒索软件感染事件，第一时间造成英国16家医院内网被攻陷，电脑内所有资料被锁，黑客索要每家医院300比特币（接近400万人民币）的赎金；随后法国汽车制造商雷诺宣布受其影响，将暂时停止生产；而我国，大量行业企业内网受到感染，特别是教育网受损严重，多所高校教学系统、校园一卡通系统瘫痪，此外，全国多地中石油加油站出现断网的情况，致使加油卡、POS机无法使用。

据欧洲刑警组织总干事当地时间14日接受媒体采访时称，全球目前大约150个国家的20万受害者中招，除了公共事业单位如医院和高校之外，更多的是企业，甚至是大企业被“WannaCry”勒索。

不仅仅是安全意识薄弱

众所周知，微软更新Windows漏洞补丁，年年有、月月有，别说是企业，就是个人也已经习以为常——更新补丁，几乎已经成为Windows用户的一项日常工作。

为什么这样一个早在3月份就已经公布的安全隐患，时隔两个月还会大规模爆发，而且受害者又是以所谓“安全防范意识较高”的机构组织为主？

在笔者看来，答案或许很简单，因为这次的“WannaCry”与以往病毒攻击不同，攻击的对象不是计算机系统、设备，而是数据。这样以勒索为目的的场景式攻击，让大多数用户和安全厂商始料未及，因而防范措施并不到位。

举个并不是特别恰当的例子：雷公太极10秒被KO，因为徐晓东完全没有按照所谓的“常理”——传统招式出拳，一下子就被搏击倒了。

很明显，在万物互联的今天，传统“魔高一尺，道高一丈”的理念，也必须与时俱进，因为网络攻击往往在30分钟内就已经解决战斗。

换句话说，“道高一丈”必须在分钟级的时间范围内，就实现全网应对部署，这对于企业网管来说，完全是不现实的；对于传统安全厂商来说，也是不现实的，因为一家安全厂商有成千上万的客户，每一家都是传统安全防护，厂商并没有权限实现远程安全管理。

“这次勒索病毒事件，并不是安全厂商能力差，而是模式的问题，表明私有云并不真正安全。”阿里云安全负责人肖力认为，“公共云很大的优势，就是公共云实际上是在用自动化的手段，保护自家的城墙。”

智能安全保护自己城墙

记得一家国内知名安全厂商产品负责人曾经跟笔者举过马奇诺防线的例子。换句话说，传统的网络安全是正面防御为主，但这种方式一旦被绕过或突破，受害的客户往往是被动发现。这时候的问题在于，传统网络安全对突破正面防御的威胁检测、诊断较慢，处置响应也比较慢。

正因为此，当前网络安全运维的趋势重点，正在从正面防御转向加强持续检测和快速响应的投入力度进行转变，变被动为主动智能安全运营。但实际上，全网安全可视化的基础是全网可见性，需要通过持续检测来完成，这对于分散部署的IT系统来说，几乎是可望而不可及的事情。

在笔者看来，这样的工作，最合理的解决方案，是把工作交给具备全网安全可视化能力的服务商来做。这在今天，只有一个模式，就是公共云提供商。

举个例子，阿里云的安全策略主要体现在两个方面，一是覆盖所有IT layers，全网可见；二是数据驱动的持续监控和深度学习、分析，形成自动感知、自动预警、自动止血和反击的闭环能力。比如云盾抗DDoS分析集群就有500台服务器，其计算和分析能力带来了小于3秒的攻击响应时间。

据肖力透露，此次“WannaCry”勒索病毒没有重创到阿里云的客户，是因为阿里云早在三月份评估微软披露相关漏洞的时候，就认为该漏洞是一个非常严重的漏洞，第一时间通知用户，推出一键修复工具，提醒用户把445端口关掉。同时首先在云平台外围搭建防御层，留出修复漏洞的时间。

无疑，“WannaCry”勒索病毒可以看作是一起由以破坏为目的恶意攻击，转向牟利为目的的标志性事件，威胁到每个人的数据数字财产、社会安全。

人们或许应该庆幸这次事件发生在北京时间周五晚间，没有给太多国内企业第一时间造成大量危害，但更应该做的是，在互联网、大数据时代，敲响网络安全的警钟。