比特幣勒索病毒的爆發，或促使公有雲時代全面到來

【獵雲網（微信：ilieyun）北京】5月18日報導（文/王藝多）

眾所周知，5月12日，比特幣勒索病毒WannaCry在全球爆發。

截止15日，病毒已攻擊了至少150個國家，包括中國部分機構，尤其校園網用戶受損嚴重，大量實驗室數據和畢業設計被鎖定加密，。

目前，距病毒爆發已過去近一周時間，事故造成的影響正在逐步消退。

但獵雲網（微信：ilieyun）發現，從全球範圍來看，此次病毒爆發的重災區，幾乎都是那些對數據安全非常重視的學校、醫院、政府等機構。

這些機構往往使用的是內外網物理隔離的專屬網絡。

在慣常的思維當中，專網無疑是最安全的。

畢竟病毒和黑客手段再高明，也無法跨過網線竊取資料。

與私密專網全線崩潰形成鮮明對比的是，外界幾乎沒有選擇公有雲的企業在此次攻擊中遭受損失的聲音。

這似乎與我們對雲計算，以及數據安全的普遍認知完全相反：公有雲竟然比私有雲更安全？

為此，獵雲網採訪到了阿里雲安全專家吳翰清以及亞馬遜AWS首席雲計算技術顧問費良宏等專業人士，從雲計算的角度，為企業解讀了造成此次事故出現的原因，以及公有雲如何幫助企業保障信息安全。

校園網絡為何如此不堪一擊？

對於Wannacry的攻擊原理，阿里雲安全專家吳翰清表示，此次全球比特幣勒索病毒是由NSA泄露的Windows系統SMB/RDP遠程命令執行漏洞引起。

利用該漏洞，黑客即可遠程實現攻擊Windows 445埠（文件共享）。

用戶無需任何操作，只要開機上網，黑客即可在電腦里執行任意代碼，植入勒索病毒等惡意程序。

吳翰清認為，這次的病毒事件在校園網傳播速度之快，影響面之大，主要原因是由於目前大部分學校基本都是一個大的內網互通的區域網，網內單台計算機都可連接網際網路，並且不同的業務未劃分安全區域。

例如學生管理系統、教務系統等，都可以通過任一接入設備進行訪問。

與此同時，像實驗室、多媒體教室等，機器IP分配多為公網IP。

也就是說，如果學校未做相關的權限限制，所有機器都將直接在網際網路上暴露。

騰訊安全聯合實驗室反病毒實驗室負責人、騰訊電腦管家安全技術專家馬勁松指出，各大高校通常接入的網絡是教育、科研和國際學術交流服務的教育科研骨幹網。

此骨幹網出於學術目的，大多沒有對445埠做防範處理。

這無疑是高校成為重災區的原因之一。

此外，如果電腦開啟防火牆，也會阻止接收445埠的數據。

但中國高校內，一些學生為了打區域網遊戲，經常會關閉防火牆。

這也是導致病毒在中國高校內大肆傳播的另一原因。

亞馬遜AWS首席雲計算技術顧問費良宏也表示，事實上針對NSA黑客武器利用的Windows系統漏洞， 微軟早在今年3月已發布過修復補丁。

但在今天依然出現了大規模爆發，無疑暴露了兩個問題：

1.盜版系統被大規模使用，並且大多關閉了系統自動更新機制，補丁無法及時更新；

2.運維人員的安全防範意識、管理能力與機制都亟待完善提高。

校園網遭遇比特幣勒索病毒攻擊

號稱無解的「內外網隔離」為何也被攻破？

與校園網相比，有些政府部門、事業單位等機構，為了保證數據安全，實行了內外網的物理隔離，建立專屬網絡。

但看似安全的內網為何也遭受了病毒攻擊？

對於這個問題，費良宏對獵雲網表示：「信息就像可以流動的液體，你很難真正通過物理方式把它完全隔離開。

建立物理隔離的專屬網絡，短期內看似比較有效。

但從管理角度，長遠來看，你很難真正將信息做到完全隔離。

」

費良宏的話不無道理。

事實上在執行過程當中，很多員工在安全細節方面都有所忽略。

例如外網內網共用安全U盤，手機接入內網機充電等等。

這些都是內網安全的潛在風險。

病毒也就可以通過這些行為從外界侵入到專屬網絡。

「很多企業都認為，內網是一個一勞永逸的辦法。

所以他們更加忽視了內網信息安全防控。

但我們必須承認，當企業實行了內外網隔離，但又缺乏相應嚴格的安全標準執行，並且長期處於安全監控和防範技術缺失的情況下，存在大量安全漏洞的專屬網絡，肯定會成為被攻擊的對象，並且爆發程度更嚴重。

」費良宏說。

其實，內外網隔離只是安全的一種外在手段。

防控病毒，更多是需要提高我們的IT治理能力，讓合規性、安全性達到更高的標準。

當然，實現這一途徑有很多種，包括雲計算。

企業為何需要選擇公有雲？

成本

不可否認，現在各個企業的企業IT系統環境與早年相比複雜很多，甚至到今天，還有個別企業在使用Windows 98、Windows me的系統。

從作業系統層面看，由於歷史遺留問題，導致一家企業的IT環境內，可能會同時存在各種不同版本的Windows、Linux或者MAC系統。

複雜的系統環境無疑給運維人員的安全維護造成了很大的困難，投入的管理成本已遠非過去管理幾十台上百台設備所能比擬。

有效性

另外需要強調的是，對系統補丁來說，運維人員必須確認它的有效性問題。

因為軟體或系統本身也存在衝突和漏洞。

歷史上也曾經出現過，打完現有補丁之後，系統反而出現新缺陷這樣的事故。

所以在技術上，這樣的運維需求也已經大大超出了企業自身的能力範圍。

IT信息安全絕非僅僅是提高意識這麼簡單，它需要企業投入大量真金白銀的人力和資源成本。

但這些投入在短時間內是看不到效果的。

對企業來說，資金需要更多投入在自己的主營業務上。

「把專業的事情交給專業的人做，其實也是雲計算在安全防控方面的初衷。

」費良宏表示。

公有雲在信息安全方面到底能做什麼？

實際上，國內包括阿里雲等雲廠商，在數據安全方面，一直以來都是按照非常嚴格的安全標準貫徹執行，例如安全防護機制，網絡隔離，防火牆配置，作業系統補丁等等。

這些例行的安全維護，讓公有雲本身就具備對於突發威脅的預防能力。

除此之外，從軟體的使用層面來說，企業無需像自己部署時那樣購買軟體license，盜版軟體（系統）不會在公有雲上部署和使用。

需要指出的是，由於日常維護原因，公有雲廠商提供的作業系統鏡像普遍都是最新的，或者經過安全強化、打過補丁的系統。

吳翰清也介紹了阿里雲對此次事件的響應。

在漏洞曝光之後，阿里雲第一時間發布了漏洞預警，並推出一鍵檢測修復NSA黑客武器攻擊漏洞的工具。

目前，阿里雲默認為ECS用戶關閉445埠，且默認安裝Windows官方補丁。

吳翰清透露，由於提前應急響應和部署，此次事件對阿里雲的影響範圍可控。

同時在去年年底，阿里雲已經觀察到了勒索軟體有上升趨勢，並曾在一些對外發布的報告中，也預測到今年勒索軟體將會爆發。

他提醒到：「我相信這一次的勒索軟體爆發只是一個開始，這背後會推動一個新的正在快速崛起的黑色產業鏈，我們需要警惕。

」

近期阿里雲對威脅的監控和預警

實際上，阿里雲在信息安全層面，一直都走在國內雲商的前列。

例如在安全策略上，能夠利用數據驅動實現持續監控和深度學習分析，並形成對威脅的自動感知和預警，以及自動止血和反擊的閉環能力。

據獵雲網了解，以阿里雲的雲盾系列安全產品為例，其抗DDoS分析集群就有500台伺服器，可以實現3秒內對攻擊進行響應。

另外，雲盾系列還包括加密服務、數據風控、Web應用防火牆等等產品。

有數據顯示，阿里雲每日為全網用戶攔截暴力破解攻擊5.2億次，web攻擊日均攔截5千萬次，日均發現並通知用戶修復未授權漏洞、弱口令漏洞5.2萬個/次。

對於專屬網絡的慘痛教訓，吳翰清直言，很多企業對內網中有多少台伺服器受到影響都還沒有搞清楚。

而公有雲對每一台伺服器、每一分鐘的安全情況都了如指掌。

這種對比差異，是企業管理者，尤其是安全負責人需要反思的。

「如果這些學校、企業的系統在公有雲上，今天根本就不會遇到這個問題。

」

從病毒攻擊的歷史來看，每次病毒的大規模爆發，都會帶來一些IT安全管理的提高，例如部署殺毒軟體，內外網隔離等等。

隨著移動網際網路的滲透，如今我們的信息安全治理面臨著更高的挑戰。

從這個角度看，這次的病毒爆發，給我們的信息安全工作敲響了警鐘。

或許這也意味著，公有雲的時代將全面來臨。

本文來自獵雲網，如若轉載，請註明出處：http://www.lieyunwang.com/archives/312851