WannaCry思考：假如下一次發生沒有預補丁的勒索蠕蟲攻擊

“WannaCry黑了全世界，也沒有讓其製造者掙到幾個比特幣，這恐怕也是讓此次攻擊黑客感到失望的”。

說起來是一句玩笑話，但反觀防守這一邊就贏得了這場“戰役”嗎？當然不是，有人將它形容為“5路12網絡地震”，是因為WannaCry攻擊範圍遍佈全世界超過100多個國家及地區，影響的企業或行業包括了電信運營商、加油站、醫療機構、高校甚至公安網，給生產、生活帶來了巨大的威脅和恐慌。

之所以WannaCry攻擊者沒有因此獲得鉅額收益，是因為各個國家從政府主管機構到媒體到安全廠商都進行了廣泛的宣傳、教育和補救措施。但毫無疑問WannaCry將是一次載入網絡安全史冊的事件。

值得我們思考的是，其實在WannaCry發起攻擊的近兩個月前，微軟已經發布了相關安全補丁（針對其支持更新的系統），以及近一個月前黑客組織影子經紀人公佈了涉及此次攻擊漏洞利用框架的工具包。

在這樣的一些預警信息下，還會產生如此大規模的攻擊，我們不得不問原因是什麼？要知道這麼多的行業企業終端不可能是“裸奔”的，除了終端安全軟件以外，網關層面大多也有安全設備。

但令人失望的是，不會發生的還是發生了。這一次有可用補丁，哪怕是一些老舊系統沒有補丁，也是有安全預警信息的。假如下一次攻擊發生時沒有任何預補丁，那時的後果又是怎樣的呢？

真的不敢想像！

我們知道WannaCry開創了一個先河，它是蠕蟲+勒索的混搭攻擊方式。勒索不用再解釋，不妨再來看看蠕蟲的特性。亞信安全專家指出，曾經，90%的勒索軟件都是通過網站或者郵件滲透實現攻擊。但蠕蟲利用的是系統漏洞，用戶不需要任何點擊、下載等互動，黑客就可進行遠程控制，悄無聲息，自己可能就變成了被攻擊者。

所以，我們不禁要問，假如下一次發生這樣的攻擊：利用我們不知道的漏洞（例如NSA攻擊武器庫中不為人知的），當然也不可能存在預補丁，又是蠕蟲+勒索，或其他組合攻擊。恐怕受害不是20幾萬終端，這個數字後面要多加幾個“0”了。

就像亞信安全通用安全產品中心總經理童寧說的那樣，“作為安全服務提供者，難道要跟客戶講，這是一次百年一遇的大攻擊？”

“我們現在面臨的情形非常危險。”

必須要求技術進步，從WannaCry可以總結出，我們的安全防護不應該這麼脆弱。

據瞭解，此次攻擊事件中，亞信安全沒有一例客戶終端出現感染。為什麼？亞信安全專家介紹，首先其多條產品線4月已經針對微軟“永恆之藍”漏洞發佈了虛擬補丁和檢測策略。其次，桌面安全產品OfficeSCAn通過AGEIS引擎（行為監控）使用ADC功能對勒索軟件惡意的加密行為成功實施攔截，這是發生在即使病毒碼沒有更新、硬件網關失效、系統沒打補丁的情況下，下一版本中亞信安全還會為其加入機器學習引擎，再次提高它的主動防禦性。

通過制定事前、事中、事後的安全策略，並強調補丁管理、異常行為檢測、沙箱分析、機器學習等技術手段，配合專業的安全服務，確保客戶的配置更新以及安全軟件更新，這是亞信安全的技術進步路線，從而抵制下一次可能更高風險的攻擊。

所以，WannaCry事件是對安全技術和安全提供商的一次檢驗，誰在裸泳，一眼看出。WannaCry絕不是終點，在可以預計的此類越來越多的的對抗中唯有真刀真槍、不斷革新技術才能贏得用戶和市場尊重，也是一種責任擔當。

最後還有一句話，我們常說“三分技術、七分管理”，透過WannaCry導致一些隔離內網受害也看得出，企業也應該加強安全管理規範、提升安全意識和治理水平。