背景:
2017.5.12晚间20点左右,全球范围内爆发大规模勒索软件感染事件,近百个国家遭受网络攻击。
话说只有两种公司:1、被入侵的公司2、不知道自己被入侵的公司
你的企业真的够安全吗?
接下来的内容是本次吴总对话金总、池工的访谈实录,小编有做要点提炼,方便客官们查看哟!
【访谈时间】2017年5月19日上午10点-11点
【访谈地址】畅享网上海办公室
【访谈嘉宾】HRG China IT总监—金勇杰、深信服科技信息安全专家—池帮坛
【访谈主题】Wanna Cry勒索事件引发的反思
【访谈要点】
1.针对此次Wanna Cry勒索事件,比较好的处置方法是什么?
2.如何处理信息安全突发事件?
3.怎样的安全体系可以有效应对未来还可能出现其他形式的“永恒之蓝”?
4.两家企业信息安全建设成果分享
访谈实录
图片说明:吴朋天、池帮坛、金勇杰(从左到右)
注:以下为嘉宾简称,吴—吴朋天、池—池帮坛、金—金勇杰
吴:这次席卷全球的WannaCry勒索病毒事件,跟“熊猫烧香”非常类似,但这次不仅破化我们的电脑,还要赎金。我们首先有请深信服专家池帮坛还原一下Wanna Cry勒索病毒事件的前因后果以及大致的过程。
池:WannaCry勒索病毒在国内还有一个名字“永恒之蓝”,这个病毒目前在国内外影响非常大,截止目前有100多个国家受影响,超过40万的终端被感染,被感染的终端会在电脑上出现一个对话框,表示你的文件已经被加密,而且索要300美元比特币赎金,交赎金才能获取文件解密的密钥。我们深究了一下有两大块因素,第一,当前我们所处的互联网环境,安全技术快速迭代,而现有的企业安全防护措施还是以传统的边界防护为主,我们的安全防护没有跟上现有的安全技术变化。第二,现有的黑客是有组织有预谋的方式,更关注利益,以前可能是技术炫耀。那么黑客是怎么利用病毒获取非法利益的呢?他们在研究病毒的时候,对整个行业现在的安全情况也是比较清楚的,他们发现近期微软经理人公布了一个心情是属于操作系统漏洞的问题,除了windows10以外都存在这个漏洞,因此他们认为根据这个漏洞使用勒索病毒,覆盖范围会非常广,在操作系统中进行影响,只要内网有一台电脑中招,就会和存在“永恒之蓝”电脑主机相连的电脑都会被攻击,会导致网络终端都会被感染,数量会程几何级的增长。其实微软也很重视这个问题,早在3月底、4月初的时候,已经发布了漏洞的补丁,但是截至到今天有些用户还没有完成漏洞的修复,结合整个事件来看,还是有它必然的原因。
吴:这次WannaCry勒索病毒事件,对你们2家公司、服务的企业或者集团下属企业有什么样的影响?
金:这就牵扯到一个企业对于技术的前瞻性,在2013年的时候我们企业是将windows XP改造成windows7,今年我的主要任务是把windows7全部改造成window10,其实就意味着我们企业是以windows7和windows10为主的稳定系统,我看了下windows7和windows10的补丁都是今年3月份发的,今年5月13号发出的补丁都是windows 8和windows XP,所以企业对于技术的前瞻性很重要。
池:其实在看整个事件的时候,我们公司也非常关注,俗话说“三分技术、七分管理”,我相信金总咱们公司一定非常关注产品管理以及系统产品生命周期的管理都是非常有效,我们公司在这块也做得相对比较好,在全球有55个分支机构,所有的客户都没有出现这次安全事件,包括我们在近期的调研回访中,所有使用我们深信服下一代产品防火墙等一些安全产品也都没有出现相关的安全事件。
吴:嗯,大家都很关注这个病毒放生了有什么比较好的解决方法?现在听说有些老的服务器、电脑里面装了XP等老的一些版本,微软的补丁打不上,针对这样一些情况我们有什么办法解决?以及针对这起事件,比较好的处置方法是什么?
池:如果我们用的操作系统比较老,首先从产品生命周期管理这个层面,建议要使用新的操作系统;那如果我们业务必须在这个系统上,没办法进行升级,建议去购买相关的防护软件,行业内用的多的软件部署在操作系统上,定期检查操作系统是不是存在漏洞,及时检查、分析,相信有一套完善的技术管理手段,效果还是能够跟新的版本一致的。
吴:假如我们有一台电脑在干活的时候,突然弹出了令人恐怖的窗口,有什么比较好的解决方案吗?
池:在这样的情况下,我们建议的第一个动作就是立刻把网线给拔了,把这台电脑先隔离开,不建议支付赎金,其实你支付了之后也拿不到密钥。其实我们也分析过如果出了这起安全事件,基本上那台电脑的文件是很难恢复过来的。建议在平时的安全管理应该完善,比如说电脑就应该安装一些安全防护的软件,或者说我们应该支持正版的windows软件,都会提醒我们应该要更新这个漏洞等等,应该养成良好的习惯才能避免这样的安全事件的出现。当然针对企业来讲,我们关注的可能更多的是企业整个安全管理的框架,安全事件我们可以看一下现有的防护手段是不是已经到位,是不是安全体系建设的已经完善,如果说这个安全事件前期,我们具备相关安全防护检测的手段,具备相关的能力查看现有的内网是不是出现这个漏洞,有没有哪一些用户还没有修复的,作为安全管理员应该及时提醒用户去打上补丁,我应该掌握这样的方法,所以我们在后续的企业安全信息建设中,应该完善这方面的能力,同时在出现安全事件的时候,对于我们企业来讲也应该具备相关应急的机制,比如说我们可以快速的发现漏洞的方法,在这个事件出来的时候,可以尽快解决减少损失的出现。所以我们应该建立一个事前、事中、事后完善的安全体系。
金:我认为可以分成3个时间段,第一,我不知道有这个病毒,主要是预防为主;第二,已经知道这个病毒,很庆幸我电脑上没有中招,如何更快的打补丁或者更快的发现修复完善安全措施;第三是已经关联了病毒,而且已经爆发,这个时候只有一个办法就是隔离,要恢复文件不太可能。很多企业都认为封闭就能避免感染病毒,其实不是。以前我听说企业有2套安全的内网和外网,分开的。当你完全被隔离的内网没有问题。企业做的像大闸蟹,有坚固的外壳,所以现在病毒也在做了改进,它直接从内部开始爆发。还暴露出一个问题,长期以来我们一直做备份,其实客户端的文件也很重要,所以我们要考虑如何给客户端的文件做备份。
池:校园局域网,内网都需要加强防护,不能以为物理隔绝了就能解决问题,
吴:这也验证了金总的一句话:据说重灾区就是相对隔离的一些区域。那么最后在信息安全这一块,2位公司分别做了哪些工作,有哪些好的工具、内容成果可以分享?
池:在信息安全这一块我们公司做的也比较多,就拿今天我们谈到的勒索病毒为例,我们很关注它的传播和影响,也秉承了我们公司一贯的理念,希望去帮用户解决这个问题,所以我们在问题之处,会影响哪一些用户,它的传播方式是什么样的?而我们用户在碰到这些问题的时候,需要解决哪一些问题,最想解决的问题是什么?所以我们在5月12号下午在病毒展开的时候就调研发现,它的传播跟以往的不一样,是大范围主动的传播,所以我们认为作为用户主动来看,第一步先保证自己不中招,它会主动探测是不是有这样一个程序,感染你的时候会形成一个互斥的进程,一般监测到你有这个进程就不会感染你,没有的话就会感染,就像平时我们打疫苗针一样,打了疫苗有了免疫力就不会感染,所以我们把这个总结出来形成一个免疫工具给到用户,给到用户,先建立起来保证我们自己不被影响,这是我们认为用户碰到这个问题优先要解决的。有了免疫能力之后再开始自查,自己到底有没有问题,勒索病毒是通过SMB,也就是说你开放了139端口,这个传播途径就会打开,第二就是有了免疫能力之后,建议先把端口封闭,同时在封闭完之后再进行自查,这台电脑、服务器有没有漏洞,检测完之后再把补丁修复下。经过我们分析认为,用户应该需要这样一个免疫工具,使用这个工具可以快速简单的落地安全问题的处置,所以我们在研究这个免疫工具的过程中,13-14号我们一共投入了200多人/次测试,我们发现当用户安装到了服务器或PC上,如果不稳定的话,没有解决这个问题,新的问题又出现了。我们希望给用户提供的是稳定的,好用的,我们深信服一贯的,希望让用户的IT变得更简单、安全、有价值,所以我们在这方面投入研发非常大,希望能真真正正的帮用户应对危机,包括后续再出现这样的攻击的话,也希望有这样一套机制应对,帮用户解决问题。
金:从我们企业来讲,有3个原则,第一不被发现,禁止员工主动去交流莫名的网站;第二是被发现之后不被感染,这个牵扯到产品的生命周期;第三就是端口不要随便开,只开要用的就可以,一旦被感染之后还能恢复。很多企业愿意投资能给企业带来收益的,往往不愿意投资这些备份软件,所以也很难。
问答环节
1.如何判断企业信息网络是否安全?有没有一个判断打分的依据标准?池:其实我们从现有的很多安全体系的架构中去研究的话,可以自查。以这次勒索病毒为例,这次病毒利用的漏洞,早在3月底4月初就已经公布了。首先是企业是否具备检测到这个漏洞的能力?比如说,检测到企业内网的服务器,是否存在这些问题?不论是这次的Wanna cry还是接下来还会出现的新病毒也好,企业是否具备能力发现这些问题?第二,是否具备防护的能力?防护不应该只是硬件方面的防护能力,就是说内网的防护能力,而应该是整个系统的防护是否到位。第三就是在安全事件发生后,是否有快速应对的方法。
总起来讲就是,安全事件的事前、事中、事后,这三个方面,我们是否都具备应对的能力。如果说我们这三个方面的能力都比较完善了,那说明我们的系统的安全是相对合格的。
2.预算有限的情况下,信息安全的产品如何选择?关键的选择标准是什么?
金:关于安全软件,我发现从2008年之后,国内的安全厂商一枝独秀,他们已经做到了相当高的规格,很多代替了国际的安全厂商。目前安全厂商已经很多了,关于怎么选择,我觉得畅享网可以牵个头,在某些产品上面,做一个国内产品的报告,类似Gartner。安全方面和厂商方面的话,我现在比较多的是看Gartner,因为我是外资企业的,看哪些厂商是领先的,通过Gartner来找。如果是预算不够的话,辛苦一下,多看看按照Gartner的标准来说,有多少厂商是达到他们的标准,按照这个来找。
3.有网友问,既然现在内网都成“重灾区”了,那为什么还要搞内网?怎么看待内网在安全防护中存在的价值?
池:关于谈到内网,我认为应该分两种来看。有一些行业所谓的内网,其实是企业的内网,和互联网是逻辑隔离,并没有达到物理隔离。这种内网的安全其实是非常非常有必要的,因为它只是逻辑隔离,安全方面各种都可以进来。第二种内网情况是物理隔离,比如像公安部内网、银行内网。但是这种物理隔离,我们认为它和互联网隔离比较彻底的网络,往往是目前,网络安全更大的缺口。这次勒索病毒,这些网络也出现问题了,那么到底这些网络我们要不要防护呢?答案是显而易见的,肯定要。为什么内网做了物理隔离,还是会被病毒感染。现在病毒攻击的方式非常的多了。比如说,黑客伪装成客户或者真的作为客户,和银行或者保险公司做一个交易。然后以客户名义给对方发了一封邮件,病毒就藏在邮件里。那你打开这个邮件,病毒就感染了。当你内网被病毒黑了后,它会主动和外网联系,这时候你的电脑已经变成“肉鸡”了。这台电脑就可以被利用,进行内网中的横向渗透。
其实很多安全事件是从内网造成的,目前内网是安全事件的重灾区。所以内网的安全更应该建设部署。
4关于这次勒索软件用作赎金的比特币,关于比特币区块链的发展前景到底是怎么样?
池:政府单位不喜欢比特币,作为黑客他们来讲很喜欢比特币。就像你刚才说的,比特币它是一个虚拟的货币,在交易过程中跟踪不到你的账号也跟踪不到你本人。所以对于黑客勒索来说它是一个非常合适的货币。这也是他们为什么会让人用比特币的方式支付赎金的原因。从我们技术的角度来说,不建议支付勒索赎金。
题外话一句,我觉得这次的事件不完全是一件坏事,给我们都提了个醒,让大家意识到系统安全的重要性。
5.我们如何防护应对勒索病毒的不断升级,一直打补丁?有没有什么手段可以不用一直跟在病毒后面防护?
金:这个我觉得比较像医疗发展。有没有人说目前的医疗药品不需要再不发明了?没有。因为各类疾病、引发疾病的病毒在不断的升级,对药品有耐药性的会活下来,没有耐药性的就会被淘汰。对我们IT系统来说也是,电脑病毒不断升级,我们的防范也不断升级。和病毒斗争是个长期性的事情,而不是一劳永逸的。
池:信息安全从来没有说,会是永远安全的系统,只能是相对安全,没有人能保证说你永远不会被攻击。关键是我们自己要建立一套相关的机制,不论出现什么样的病毒,我们有这样一个机制来保障系统安全,能够用这个机制来发现问题,处理问题。如果建立起这样一个机制,我觉得你一定是能够最大程度的在遇到安全问题时减少损失的。
6.一些特殊部门,比如研发部门如何防护类似于WANNA CRY这样的病毒?
池:我觉得研发部门和我们现有的其他部门的防御应该是保持一致的。因为研发部门要关注的更多的是他们电脑上要开发的东西的重要性,和我们前面谈到的是一致的。比如说开发出来的这些数据,需要保证它们的安全,不能因为遇到了安全问题,数据就出问题了。同时还要保证开发的结果防泄漏。对于公司来说,研发数据是核心数据,一旦泄露出去影响非常大,所以说需要关注这几个点。
