傳說中的“狼”真的來了。此前好像更多地存在于傳聞中的網(wǎng)絡(luò)病毒，利用網(wǎng)絡(luò)空間的漏洞，給普通人的現(xiàn)實生活撕開一道道口子。

5月12日開始爆發(fā)的勒索蠕蟲病毒W(wǎng)annacry已經(jīng)影響到100多個國家，導(dǎo)致全球數(shù)十萬主機被感染。

國內(nèi)的情況同樣嚴重，因為遭受勒索蠕蟲病毒的攻擊，一些信息化的工廠車間被攻陷，企業(yè)不得不停工；部分加油支付系統(tǒng)的終端也中招，用戶加油后無法正常支付；某些大學生的畢業(yè)論文被鎖死，屏幕上只留下一片攻擊者勒索比特幣的紅色界面。

雖然在病毒爆發(fā)的第二天，一名英國研究員就無意間發(fā)現(xiàn) WannaCry病毒的隱藏開關(guān)（Kill Switch）域名，意外遏制了病毒的進一步擴散。但5 月 14 日，病毒的升級版WannaCry 2.0 又卷土重來，并取消了 Kill Switch。

之后的研究表明，Wannacry病毒是利用美國國家安全局（NSA）黑客武器庫泄露的黑客工具“永恒之藍”（Eternal Blue）開發(fā)的。這或許是普通人離“網(wǎng)絡(luò)軍火”最近的一次，也是網(wǎng)絡(luò)安全教訓最直接的一次。

內(nèi)網(wǎng)不再是安全自留地

“一些號稱與外網(wǎng)隔離的內(nèi)網(wǎng)，在這次勒索病毒肆虐中成為重災(zāi)區(qū)，在不能連接外網(wǎng)的情況下，只能用效率低下的辦法救援。”5月17日，在針對WannaCry勒索病毒召開的媒體溝通會上，360集團董事長兼CEO周鴻祎一語道破了此次網(wǎng)絡(luò)病毒事件帶來的新挑戰(zhàn)：內(nèi)網(wǎng)不再是網(wǎng)絡(luò)安全的自留地。

事后看來，本次勒索病毒的爆發(fā)主要集中在許多使用內(nèi)網(wǎng)隔離的辦法維護網(wǎng)絡(luò)安全的地方，例如高校、醫(yī)院、政府機構(gòu)和事業(yè)單位等。此類單位所使用的內(nèi)網(wǎng)大多仍開放用戶使用445端口（支持文件共享的網(wǎng)絡(luò)端口），而我國個人網(wǎng)絡(luò)用戶的445網(wǎng)絡(luò)端口大多已被網(wǎng)絡(luò)運營商屏蔽。

此外，因為不能連接外網(wǎng)，所以在本次勒索病毒爆發(fā)之后不能及時修補漏洞，升級安全軟件，進一步增加了“中招”的概率。騰訊安全實驗室專家馬勁松以高校為例，分析了本次勒索病毒爆發(fā)實踐中，原本被認為能帶來安全保障的內(nèi)網(wǎng)隔離手段不再安全的原因。

馬勁松表示，許多高校通常接入的網(wǎng)絡(luò)是為教育、科研和國際學術(shù)交流服務(wù)的教育科研網(wǎng)，此骨干網(wǎng)出于學術(shù)目的，大多沒有對445端口做防范處理。而且，一些高校學生為了打局域網(wǎng)游戲，有時會關(guān)閉電腦防火墻，這會導(dǎo)致電腦接收445端口的數(shù)據(jù)，給黑客攻擊留下可乘之機。

目前，針對這次勒索病毒事件，各大網(wǎng)絡(luò)安全廠商都已經(jīng)推出相應(yīng)解決方案。以騰訊電腦管家為例，兩天之內(nèi)連續(xù)發(fā)布“勒索病毒免疫工具”“文件恢復(fù)工具”等，用戶可以此保護電腦安全。

馬俊松提醒，雖然此役過后，相同手法的病毒攻擊將不會大規(guī)模出現(xiàn)，但全面爆發(fā)的勒索病毒侵入了用戶生活工作的方方面面，也讓大家意識到了網(wǎng)絡(luò)病毒的威脅與嚴重后果。

中國科學院信息工程研究所信息安全國家重點實驗室主任林東岱則認為，這次病毒事件對于用戶和安全廠商來說將帶來網(wǎng)絡(luò)安全觀念上的改變。“以前我們可能用內(nèi)網(wǎng)這類辦法防止網(wǎng)絡(luò)攻擊，但這次的病毒事件說明，他們也可以反過來利用我們自己的技術(shù)手段來攻擊、勒索我們。”

身為信息安全研究專家，林東岱深知此次勒索病毒攻擊，采取的技術(shù)并不新穎。但網(wǎng)絡(luò)攻擊的思路改變后，將提高相應(yīng)的網(wǎng)絡(luò)安全防御成本。他把這次病毒事件的情節(jié)和影響類比為“9·11”事件：以前為了應(yīng)對劫機，航空公司會假定恐怖分子也想活著，所以相應(yīng)的培訓都是讓大家盡量別激怒劫機者，但忽然發(fā)生的“9·11”事件表明，劫機者也可能根本不想活命，此時原有的培訓反倒可能成為傷害所有人的工具。

“永恒之藍”背后的“永恒漏洞”

病毒爆發(fā)后，網(wǎng)絡(luò)安全界發(fā)現(xiàn)，這款勒索蠕蟲病毒是針對微軟系統(tǒng)的“永恒之藍”漏洞進行傳播和攻擊的。一旦電腦感染該病毒，被感染電腦會主動對局域網(wǎng)內(nèi)的其他電腦進行隨機攻擊，局域網(wǎng)內(nèi)沒有修補漏洞的電腦理論上將無一幸免地感染該病毒。

在上述媒體溝通會上，周鴻祎也強調(diào)了網(wǎng)絡(luò)漏洞的重要性，他把網(wǎng)絡(luò)漏洞比喻為“網(wǎng)絡(luò)軍火”，一個大家沒發(fā)現(xiàn)的漏洞就可能引發(fā)全球性病毒的爆發(fā)。在中國青年報·中青在線記者采訪時，許多專家都認為“永恒之藍”背后所反映的網(wǎng)絡(luò)安全漏洞問題值得反思。在“永恒之藍”的背后，永恒存在的網(wǎng)絡(luò)漏洞隨時都是公眾網(wǎng)絡(luò)安全的潛在威脅。

馬勁松表示，此次病毒感染急劇爆發(fā)的主要原因在于，其傳播過程中利用了“永恒之藍”漏洞。上海斗象科技有限公司市場副總裁、漏洞盒子負責人李勇也認為，這次病毒大規(guī)模爆發(fā)最大的特點就是利用通用型系統(tǒng)或者設(shè)備的漏洞進行攻擊，造成大規(guī)模的危害。

“白帽黑客”華建樂（化名）也對記者表示，在整個事件中，作為傳播媒介的微軟系統(tǒng)漏洞MS17-010是最關(guān)鍵的。華建樂認為，本次病毒爆發(fā)事件中，攻擊者采取的是敲詐勒索“這種明目張膽的方式來攻擊”，這其實并不是明智之舉，甚至更像是榨取“永恒之藍”這個系統(tǒng)漏洞的最后價值。

這也就意味著，本次勒索病毒事件和“永恒之藍”漏洞可能只是冰山一角，還有更多的漏洞和通過漏洞展開的攻擊尚未被人知曉。根據(jù)國家信息安全漏洞共享平臺（CNVD）的統(tǒng)計數(shù)據(jù)，2016年CNVD共收錄通用軟硬件漏洞10822個，較2015年的漏洞收錄總數(shù)8080環(huán)比增加34%。其中高危漏洞有4146個（占比38.3%），可用于實施遠程網(wǎng)絡(luò)攻擊的漏洞有9503個，可用于實施本地攻擊的漏洞有1319個。

在CNVD的統(tǒng)計中，此次勒索病毒事件中被利用的“永恒之藍”漏洞所屬的“零日”漏洞（0day）在去年共收錄2203個。這類安全漏洞又被稱為零時差攻擊，在被發(fā)現(xiàn)后將立即被惡意利用，因而往往具有很大的突發(fā)性與破壞性。

隨著越來越多智能設(shè)備投入使用，網(wǎng)絡(luò)安全漏洞所帶來的威脅也與日俱增。360互聯(lián)網(wǎng)安全中心發(fā)布的《2016年中國互聯(lián)網(wǎng)安全報告》顯示，個人信息泄露主要是黑客利用網(wǎng)站存在的安全漏洞非法入侵和網(wǎng)站內(nèi)部人員非法盜賣；金融行業(yè)網(wǎng)站漏洞威脅更加復(fù)雜化，傳統(tǒng)的銀行、保險，新興的第三方支付、互聯(lián)網(wǎng)P2P等領(lǐng)域都曝出不少高危漏洞；網(wǎng)站漏洞實施掛馬攻擊重新興起，并呈現(xiàn)一定程度爆發(fā)趨勢。

此外，一個更加令人擔憂的問題是，在移動互聯(lián)網(wǎng)時代越發(fā)重要的手機也存在眾多安全漏洞。上述《報告》指出，目前大多數(shù)安卓系統(tǒng)手機都存在安全漏洞，而用戶手機未能及時更新而存在安全漏洞的重要原因之一，是手機廠商普遍未能實現(xiàn)其定制開發(fā)的安卓系統(tǒng)與安卓官方同步更新，而且延時較大。

漏洞安全治理急盼良方

為應(yīng)對與日俱增的網(wǎng)絡(luò)漏洞威脅，目前不少科技公司都設(shè)立了漏洞獎勵機制，只要“白帽黑客”或其他技術(shù)人員發(fā)現(xiàn)并提交漏洞，就會獲得獎勵。而烏云、補天等漏洞反饋、眾測平臺也會接收并公布漏洞，以幫助企業(yè)發(fā)現(xiàn)漏洞并及時補救。另外，也有一些安全企業(yè)提供代碼審計類的產(chǎn)品，希望在產(chǎn)品上線之前先發(fā)現(xiàn)是否存在漏洞。

不過，在華建樂看來，在數(shù)量眾多且復(fù)雜多樣的網(wǎng)絡(luò)漏洞威脅面前，上述做法似乎都不太夠用。因為高危漏洞往往需要人工發(fā)掘才能發(fā)現(xiàn)，而且在發(fā)現(xiàn)后很容易就會被轉(zhuǎn)入地下黑色產(chǎn)業(yè)鏈，直到利用價值逐漸減低，才逐漸浮出水面。

“三分靠技術(shù)，七分靠制度。”華建樂說，在網(wǎng)絡(luò)漏洞安全防范中，已經(jīng)積累了許多經(jīng)驗和技術(shù)，但這些經(jīng)驗和技術(shù)的推廣仍受制于現(xiàn)實的制度障礙和執(zhí)行困難。對此，林東岱也深有體會。據(jù)他介紹，企業(yè)（集團）漏洞掃描漏洞、等級保護測評高危漏洞等技術(shù)手段是目前比較合適的網(wǎng)絡(luò)漏洞防范手段，也有一部分企業(yè)在推行。“但很多還是沒做，所以怎么推行到位還是一個問題。”

為何合適的網(wǎng)絡(luò)漏洞防范技術(shù)難以推行？這跟網(wǎng)絡(luò)安全行業(yè)的特殊性有關(guān)。“出了事都很關(guān)心，不出事大家都不愿去做，這也是我們做安全行業(yè)的人經(jīng)常遇到的一個苦惱。”林東岱曾接觸過許多企事業(yè)單位的網(wǎng)絡(luò)安全管理部門，他發(fā)現(xiàn)很多企業(yè)在一開始不愿意去做網(wǎng)絡(luò)安全的事，總是把安全放到業(yè)務(wù)和營利后考慮。

金山軟件股份有限公司首席安全專家李鐵軍也注意到了這類現(xiàn)象。他說，相比于個人用戶，許多內(nèi)網(wǎng)企業(yè)用戶仍然沒有及時修復(fù)系統(tǒng)、安裝更新補丁的習慣，即使早就有了幫助隔離的內(nèi)網(wǎng)用戶更新補丁的技術(shù)工具，依然有相當多的單位未采用。

在網(wǎng)絡(luò)安全領(lǐng)域從業(yè)多年，李鐵軍希望這次勒索病毒事件能促進網(wǎng)絡(luò)安全管理部門意識到病毒爆發(fā)背后的制度問題。“對管理者來說這是一個很好的機會。”他說，塞翁失馬焉知非福。李勇也表示，在黑客的攻擊行為變得更加多樣化的新環(huán)境下，此次勒索病毒事件再次說明和教育了大家，企業(yè)的網(wǎng)絡(luò)安全建設(shè)不是簡單的買一兩臺設(shè)備和一套系統(tǒng)，而是一個系統(tǒng)工程，需要在IT投資、人員能力、威脅情報收集、開發(fā)和運維保障、業(yè)務(wù)迭代等多方面開展，并且動態(tài)地進行。

他建議企業(yè)要盡快建立漏洞安全威脅情報搜集渠道，提前感知并預(yù)判安全威脅，從而縮短發(fā)現(xiàn)威脅和發(fā)生威脅的時間差，有效避免和減少損失。“因為黑客攻擊是在暗處，而且從網(wǎng)絡(luò)安全的建設(shè)來看，防止攻擊是100%防不住的。”