從“永恒之藍”病毒爆發淺談網絡安全

趙翀

中國民用航空局華北地區空中交通管理局內蒙古分局 內蒙古呼和浩特 010070

2016年8月，網絡上名叫“ShadowBrokers”的黑客組織號稱入侵了NSA（美國國家安全局）下屬的黑客組織“方程式”。在拍賣竊取的黑客工具未果后，此組織在2017年4月14日在公開網絡上一口氣放出了十幾個網絡世界中核彈級的攻擊工具“NSA武器庫”供所有人下載。2017年5月12日晚，名為Wannacry的勒索病毒襲擊全球網絡，該勒索病毒利用“NSA武器庫”中的ETERNALBLUE（永恒之藍）發起攻擊。蠕蟲利用SMB服務器漏洞，通過滲透到未打補丁的WINDOWS計算機中，實現大規模迅速傳播，數十萬臺計算機受到感染，感染病毒后病毒會對WINDOWS系統計算機內現有的文檔、圖片、視頻等進行快速加密，所用加密算法用暴力破解方法不可解，同時要求用戶支付一定量的資金進行解密，否則一段時間后刪除文件。在我國范圍內，教育網受災嚴重，機關、企事業單位均有不同程度的感染。對于計算機網絡業內來說，蠕蟲病毒早已屢見不鮮，勒索病毒也隨著電子郵件等方式早已為人們所知。為何這次的“永恒之藍”勒索病毒造成了如此轟動的效果并造成了如此巨大的損失呢？筆者認為應從以下幾個方面來分析：

隸屬于“NSA武器庫”的一批影響網絡安全的“核彈極”應用的徹底公開和民用化。此次爆發的“永恒之藍”勒索病毒及此前同時放出的一批網絡攻擊工具使用的漏洞的危險程度、漏洞利用的水平、以及工具制作的水平，均屬于世界頂級。未來的一段時間內，這類工具一定會被廣泛利用，絕不僅僅是一個“永恒之藍”那么簡單。

此次“永恒之藍”勒索病毒借著網絡攻擊工具擴大了蠕蟲病毒的傳播效率、使得傳統勒索病毒能更大范圍的進行傳播，這種將舊有病毒特性融合創新的新型攻擊手段只是開始，這是網絡安全人員與病毒制作者之間的賽跑過程，越早對整個單位的網絡安全應急響應能力和防范能力進行審視并查漏補缺，才能應對此后層出不窮的各類新型網絡攻擊。

微軟公司在“NSA武器庫”徹底公布之前兩個月已經發布了相應的WINDOWS補丁，WINDOWS8.1及以上用戶只要運行WINDOWSUPDATE就基本可以免疫此次病毒爆發。可是國內計算機運行現狀是，大量的計算機使用盜版WINDOWS系統，同時企事業單位不注重內網電腦的更新換代工作，認為內網計算機只要能上內網能看文件就可以不用更新。可是通常盜版WINDOWS7都會關閉自動更新，至于WINDOWSXP及以下版本的系統微軟公司早已停止一切軟件支持，這些基本不設防的系統遇到能夠掃描網內計算機特定端口的病毒，大量感染是必然的。

大量的用戶對于微軟在系統中提供的防護程序WINDOWSDEFENDER并不信任。它集成了防病毒、防火墻、系統維護、家長控制等多種功能，與其他殺毒軟件相比，WINDOWSDEFENDER本身并不會拖慢系統速度。雖然說它較為簡易，但其防護功能并沒有所有人想象中那么差。針對這次病毒襲擊，微軟公司也第一時間更新了自己的病毒庫，WINDOWSDEFENDER完全可以查殺出這款勒索病毒。

用戶的計算機使用習慣也導致了這次的病毒大爆發。這次病毒爆發的一個重災區是企事業單位的內網電腦。這些內網電腦沒有做到嚴格的專機專用，一機雙網的隔離做的不到位，甚至用戶亂使用移動存儲產品由外網向內網拷貝數據。對于輕防護的內部網絡來說，這次的病毒只要有一個不守規矩的用戶，就可以導致整個內部網絡上所有未進行防護的計算機均受到感染。

假設沒有之前“ShadowBrokers”披露的“NSA武器庫”，搭載這些高級漏洞的也不是這次爆發的“永恒之藍”勒索病毒，這些攻擊工具的擁有者和制作者完全可以搭載其他的后門程序，進行國家情報收集、商業機密獲取、偷取個人隱私甚至個人的財富的掠奪都是輕而易舉。更何況前不久網上公布的只是一小部分攻擊工具，我們的網絡安全在第一個實例“永恒之藍”勒索病毒面前就像一層薄薄的窗戶紙。在這個移動互聯大發展的時代，如果這次感染的不是WINDOWS系統，而是海量的手機和各類移動端設備，現如今不需要帶錢包出門的我們，該怎么面對各類個人隱私以及個人網絡上的資產不會流失？

當前我們對于網絡安全保護的投入微不足道，相對于我們已經離不開智能手機和智能手表、網購、用互聯網思維解決問題，我們的網絡安全意識基本屬于全方面的滯后。對于今后的網絡攻擊預防，我認為應從如下幾個方面進行加強：

（1）企事業單位的內部網絡要與外部網絡進行嚴格隔離，如有必要登陸互聯網，必須在網絡邊界嚴格部署各類預防措施，盡量做好嚴防死守的準備。

（2）對于每一臺能夠互聯的設備，必須強制安裝一種防護軟件，多個安全軟件沒有必要，反而會對設備的運算速度造成拖累。

（3）每一臺能夠互聯的設備，必須確保安裝最新的操作系統安全補丁，如果有條件，盡量使用新設備、新操作系統、正版軟件。

（4）對每臺能聯網的設備的通信端口以及各類網絡功能進行梳理，比如遠程協助服務、網絡共享服務等不需要的服務和端口全部進行封禁，如有必要使用必須嚴格限制連接白名單。

（5）對每一位設備使用者進行安全教育，嚴格按規章執行移動存儲設備在內網設備上的使用規則，并使用相應的組策略進行嚴格控制。外網存儲設備進行嚴格殺毒和識別后才可以在內網運行。

（6）個人和組織都應對關鍵設備、關鍵數據進行定期的備份，最好能進行離線備份，在數據被破壞之后盡量減少損失。