题图:from https://unsplash.com/@pabloheimplatz
自5月12日开始,一种新型「蠕虫」勒索软件 WanaCrypt0r 2.0 开始在互联网上肆虐。如果你用的是 Windows 系统,又不巧没有安装今年3月微软发布的相关安全补丁,那么只要开机联网,无需任何操作,都有可能被感染。
「中招」的电脑中,文件会被加密锁定,黑客声称想要解密需要以比特币支付赎金,但截至目前,尚未见到支付赎金后得以解密的案例报道。除此之外,只能是重装系统,再从备份的系统中恢复文件。很多人把这次的病毒叫比特币病毒,还有人在微博上以此提问,其实病毒和比特币没什么关系,人家只是想和你要比特币而已,比特币交易是无法追踪的,总不能给你银行账户让你打钱吧。
WannaCry,又称 WanaCrypt0r 2.0 或 Wanna Decryptor,是一种利用 NSA 黑客网络武器的 EternalBlue(永恒之蓝)通过互联网对全球运行 Windows 操作系统的计算机进行攻击的加密性勒索软件蠕虫。NSA 是美国国家安全局的缩写,永恒之蓝就是这货开发的漏洞利用程序,于2017年4月14日被黑客组织影子经纪人泄露……
说起来挺科幻的吧,但事情就这么发生了,大量高校、政府部门的电脑被感染,很多人问我怎么办,如果已经中招了,似乎没什么好的解决办法,只能恢复系统。是否要支付支付赎金?我个人不建议这么做,以前很多被勒索的人,支付了比特币也要不回数据。再说了,支付会进一步助涨黑客的攻击行为。电影里不是说了吗?不要与恐怖分子谈判。
很多人说 Windows 不安全,咱都用 Mac 吧。Mac 相对来说省点心,但也不是没有被黑的可能,况且号召所有人从 Windows 转到 Mac,根本不现实。真到了满世界都是 Mac 的时候,一样被妥妥的攻击。所以,个人还是需要养成好的电脑使用习惯。比如注重电脑的安全,有节奏的进行数据备份,设置密码安全策略,使用正版软件,不点击来历不明的文件等等。另外,重要的数据存储到云端,从概率上来讲,更安全一些。
出了这么大的安全问题,一堆人出来分析,提供解决方案,我觉得都没说到点子上。阿里云的道哥在安全领域看问题一向高屋建瓴,我们看看他是怎么说的。
和以往的历次蠕虫病毒事件相比,此次事件的最大区别是什么?
攻击到了国家的关键基础设施。蠕虫天天都有,但从来没有一回影响到这么多关键基础设施,比如加油站加不了油、有政府的政务系统也因为这个蠕虫而挂了。
但在云上的基本都平安度过。比如,4月14日漏洞爆出来后,阿里云评估了风险,给所有的用户推送「一键修复」,因此云上的系统没有受重创,反而是线下的基础设施出了问题。
为什么石油、地铁、高校、政府部门等这些单位此次成为「重灾区」?
一直以来,石油、地铁、高校、政府部门等这些单位迷信物理隔离,建专网。但这一次的全球比特币勒索事件暴露出迷信物理专网的企业和机构,安全性简直不堪一击。只搞物理隔离,不做补丁升级和快速补漏,这是不靠谱的。
事实上,物理专网这个古老的系统一直在带病运行。之前没有暴露出这么严重的问题,没有引发全社会的关注是因为,没有遇到勒索软件破坏力这么大的攻击事件。勒索软件没有办法用杀毒软件杀,只能恢复系统。所以破坏性很大。
实际上,物理隔离专网是假的,没有起到物理隔离的作用,因为还有一些途径,比如一个 U 盘,在连接上了互联网的电脑上插拔之后,再插到物理隔离专网的电脑上,就可能造成外网的病毒感染。还有些单位为了方便,会给办公电脑装两张网卡,一张连接互联网,一张连接专网,病毒也可能通过这种电脑从外网渗入专网。所以,这个物理隔离是纸老虎,一戳就破,自欺欺人,掩耳盗铃。
如何让企业的系统更安全?
今天,刚巧和一些香港银行客户聊了一聊。他们没有受到影响。因为他们的安全治理、响应速度都很好。但是此次出事儿的企业或者机构很多迷信物理隔离,认为做了物理隔离之后内部安全就不用管了,但这次证明迷信物理隔离这种观念是非常糟糕的,带来了很多不好的影响。英国和俄罗斯的大规模感染,也是因为安全治理没有做好。
想要做好企业安全,不应该依赖于物理专网,而是要建立完善的安全策略。比如,云计算靠数据驱动和快速响应就真正能帮客户运营安全。
这一次,阿里云因为数据驱动和快速响应,影响面非常小。很多迷信物理隔离的企业或者机构连现在有多少服务器受到影响都没有搞清楚,而阿里云对每一台服务器、每一分钟的安全情况都了如指掌。如果这些学校、企业的系统是在公共云上,今天根本就不会遇到这个问题。
云的优势有哪些?
阿里云保护着中国37%的网站,客户非常多,有任何攻击变种方式都会第一时间知道。事实上,去年我们就有预测今年勒索会爆发。我预计今年还会有3-4次类似规模的事件。
云上和云下的区别是,云计算带来了可见性。而可见性是安全的基础。只有看得见才能实施保护。
云计算的兴起让海量数据的存储与计算变成可能。云计算的存储来源可以基于整个体系,既有主机端数据,也有网络数据;既有线上数据,也有线下数据。有了强大的储存与计算能力,就能通过数据分析处理结果建立的风险模型以及对规律性的判断进行预测,防御了。
用技术去对抗技术,用盾去防御矛,也许才是最好的解决之道!
长按识别一场梦