從熊貓燒香到WannaCry，蠕蟲病毒打敗的並非安全防護技術

根據360威脅情報中心的統計，從5月12日WannaCrypt(永恆之藍)爆發的一天之內，該勒索蠕蟲已經攻擊了近百個國家的超過10萬家企業和公共組織，其中包括1600家美國組織，11200家俄羅斯組織。國內被感染的組織和機構已經覆蓋了幾乎所有地區，影響範圍遍佈高校、火車站、自助終端、郵政、加油站、醫院、政府辦事終端等多個領域，被感染的電腦數字還在不斷增長中。

5月14日，北京市委網信辦、北京市公安局、北京市經信委聯合發出《關於WannaCry勒索蠕蟲出現變種及處置工作建議的通知》。《通知》指出，有關部門監測發現，WannaCry 勒索蠕蟲出現了變種：WannaCry 2.0，與之前版本的不同是，這個變種取消了所謂的Kill Switch，不能通過註冊某個域名來關閉變種勒索蠕蟲的傳播。該變種的傳播速度可能會更快，該變種的有關處置方法與之前版本相同，建議立即進行關注和處置。

儘管此次攻擊來勢洶洶，但是業內人士指出，WannaCrypt其實並非什麼高明的病毒，發佈者的目的顯然是以勒索為主。全球專業的移動信息安全綜合服務廠商愛加密CTO程智力對此進行了解釋：“勒索病毒本質上來說和以前肆虐過的‘衝擊波’和‘震盪波’病毒並無區別，都是利用系統漏洞結合遠程控制服務器進行自動傳播的蠕蟲病毒。不過以前是單純破壞，現在是通過加密文件和挖礦實現價值最大化而已。這種病毒防護起來並不難，不需要什麼沙箱、APT、安全情報大數據、態勢感知或者主動防禦等‘黑科技’，按時打補丁其實就能防護。就算沒有按時打補丁，安裝一款終端防護軟件，按時升級簽名一般也能防護（其實十年前賽門鐵克的SCS產品就能防護）。需要特別注意的是，外網隔離並不能阻止病毒傳播，恰恰相反，斷網反而可能造成病毒在內網的傳播。所以，建議大家還是及時打補丁。

這很容易讓我們回憶起十年前席捲了整個中國互聯網的病毒——“熊貓燒香”，二者無論從原理還是形式都極其相似，不同的是，熊貓燒香的製造者是為了名，而顯然WannaCrypt的發佈者是為了利；另一點極大的不同在於，當今中國互聯網安全格局與2007年完全不同，市場上湧現了大量不同類型的成熟的安全廠商，能夠提供各種不同類型的產品。但是從目前的數據來看，不少企業還是“中招了”。

不同於十年前，網絡的發達使得此次蠕蟲病毒一經發現，所有的安全廠商都及時發佈了有關該病毒的相關知識、提供了相關防禦辦法和解決措施。但是，為什麼本該通過普通安全產品按時補丁就能有效防護的病毒會造成如此大的影響？為什麼有了歷史的教訓還在同樣的地方吃了虧？

程智力表示，一方面，在大家都把注意力轉移到物聯網、移動互聯網等新技術的時候，勒索病毒給大家來了一記悶棍，說明大家對傳統的安全防護多麼輕視和疏忽；另一方面，通過此次事件也說明企業對於信息安全的重視程度也有待加強。

針對以上兩點，程智力指出，企業考慮安全問題的時候一定不要忘了以下兩點：

1、目前不少企業都配置了CSO(首席信息安全官)，為的就是負責整個機構的安全運行狀態，這裡包括物理安全和數字信息安全。負責監控、協調公司內部的安全工作，包括信息技術、人力資源、通信、合規性、設備管理以及其他組織，同時負責制訂安全措施和安全標準。CSO需要經常舉辦或參加相關領域的活動，如參與跟業務連續性、損失預防、詐騙預防和保護隱私等相關議題的活動。 但是對於包括中小企業在內的一些企業，配備CSO確實有些雞肋，對於這類型企業，可以請一些技術人員兼職負責企業安全問題，同時可以向提供安全諮詢服務的安全廠商進行諮詢，得到更加專業的安全服務。

2、在大力發展新型安全防護的同時，傳統安全的防護也不可輕視。我們在考慮移動互聯網和物聯網的防護體系時，必須與傳統的信息安全防護體系無縫融合，只有同時保障傳統和新型IT架構的安全才是正確的發展方向。

此次WannaCrypt的爆發不應只給企業和相關機構敲響警鐘，也說明了守護互聯網信息安全是每個人的職責。程智力表示：“近些年來，國家高度重視網絡安全問題，‘十三五規劃’佈局網絡安全新發展、《網絡安全法》即將落地，都說明這一點；從個人的層面上來說，近幾年3.15晚會屢屢提及信息安全問題、北京每年將4月29日設立為網絡安全日，都是希望為大眾普及網絡安全知識、引起大眾對其重視。安全問題並不是某一個層面問題，安全應該是深入的、全面的。愛加密專注於移動安全領域，以這個行業為例，近些年一直有黑產通過‘薅羊毛’、盜版等低級的手段就非法地獲取了大量的信息和錢財。此次WannaCrypt的爆發讓我們警醒的不僅是及時升級，而是對於安全的思考。”

過去幾天，不少安全廠商針對WannaCrypt都第一時間推出瞭解決辦法，相信該病毒的傳播很快就得到有效的控制。從“熊貓燒香”到WannaCry，它們攻擊的不僅是計算機，更是人們對於安全的輕視。