躲过勒索病毒还不算完，企业怎么做才能安全无忧？

躲过勒索病毒还不算完，企业怎么做才能安全无忧?此次勒索病毒的肆虐，许多建有物理隔离内网的机构都成为重灾区，原因何在?迷信物理隔离的安全性，忽视内网的安全治理，安全观念上的偏差，造成了最大的盲区。

5月12日晚间开始，一种新型“蠕虫式”勒索软件WanaCrypt0r 2.0开始在互联网上肆虐。如果你用的是Windows系统，又不巧没有安装今年3月微软发布的相关安全补丁，那么只要开机联网，无需任何操作，都有可能“中招”。

“中招”的电脑中，文件都被加密锁定，黑客声称想要解密需要以比特币支付赎金，但截至目前，尚未见到支付赎金后得以解密的案例报道。而除此之外的解决之道，就只能是重装系统，再从恢复备份文件。——没备份?那麻烦可就大了。

关键基础设施中招，物理专网防御如同薄纸

高校、医院、政府机关等基础设施是这次网络攻击的重灾区。据杭州都市快报报道，5月12日晚11时，下沙高教园区校园网被黑，浙江传媒学院、中国计量大学，浙江理工大学等一一沦陷。每日经济新闻报道称，5月13日凌晨开始，受该蠕虫病毒影响，全国2万家加油站断网，虽然能加油，但无法刷卡，无法使用在线支付。而就在同日，珠海市公积金系统也“紧急停办”。

被病毒感染的电脑界面

短时间内造成如此大规模的影响，是这种蠕虫病毒特别厉害吗?并非如此。这种蠕虫病毒的的传播方式和2008年前后出现的“冲击波”、“震荡波”原理上如出一辙，都是利用共享文件445端口传播，只不过因为它利用的是Windows系统的漏洞，而Windows系统在全球的普及度太高，因而受灾范围尤其惊人。

在全球互联网化不断加深的今天，安全不再是某一个节点或者某一个小范围之内的问题，在这种大规模的病毒感染面前，全球的计算机都面临风险。蠕虫病毒不是今天才出现的，日常的蠕虫攻击甚至从未中断过，但这次在如此大的范围之内让关键基础设施停摆，这就是一个在国家层面非常值得警醒的问题：我们的安全观念是否有偏差?我们的安全治理是否做得到位?

“很多基础设施单位为了安全，通常建有物理隔离的专网，和互联网不互通。但这一次的事件恰好暴露出物理隔离的专网安全性不堪一击。”阿里云首席安全研究员吴翰清解释了这类机构受灾严重的原因。据他介绍，很多物理隔离的专网还在使用非常老旧的系统，补丁升级滞后，快速响应能力十分欠缺。“很多系统甚至是长期‘带病运行’，这次只是漏洞被利用的后果更加严重，破坏性更大，这才引起了注意。”

事实上，由于以前国内多次爆发利用445端口传播的蠕虫，各大运营商对个人用户已封掉445端口，这类用户这次就都“逃过一劫”，反而是建有物理专网的单位，445端口未封，相当于“门户大开”，因而成为了重灾区。

物理隔离专网，听上去隔绝了外部互联网，是个安全的“小王国”，但其实防御十分脆弱。比如一个u盘，在连接上了互联网的电脑上插拔之后，再插到物理隔离专网的电脑上，就可能造成外网的病毒感染。还有些单位为了方便，会给办公电脑装两张网卡，一张连接互联网，一张连接专网，病毒也可能通过这种电脑从外网渗入专网。

“物理隔离专网防御就像一张纸，一戳就破。”吴翰清说，“但大家对这个问题普遍缺乏认识，还是迷信专网的安全性，认为做了专网就可以高枕无忧了，然后就放松了内部的安全治理。这种观念是非常糟糕的。”

防患未然比事后补救更重要

如果不幸“中招”，要如何补救?网上已经涌现出了多种“补救攻略”，但大部分都只是一些防患于未然的警告，只是在还未中招时教用户如何关闭相关端口，或者打上微软的补丁。

“假如没有备份，现有的恢复软件只能以一定概率恢复极少数的文件。”吴翰清说，“或者你能搞到黑客的云端加密秘钥——无论对哪一种方式，我们都持悲观态度。”

不过，也有很多用户安然度过了危机。一家香港的银行表示，因为采取了最先进的防火墙和杀毒软件，并且建立了快速响应的安全机制，所以这次安然无恙。阿里云的客户也几乎没有受到影响。目前，阿里云默认为ECS用户关闭445端口，且默认安装Windows官方补丁。

这其中并没有很深的秘密，最大的不同在于，云上的数据带来了可见性。而可见性是安全的基础。只有看得见才能“料敌机先”、实施保护。

据阿里云的大数据分析，去年下半年开始，类似的勒索软件就开始抬头。今年1月，利用MongoDB 开源版数据库的配置疏漏进行入侵的蠕虫病毒也让使用这种数据库的企业经历了一场新年惊魂，但相比于这次针对Windows漏洞的攻击，范围自然不可同日而语。

“今年4月14日，Windows远程漏洞利用工具曝光，我们就预计今年会有一次大爆发。”吴翰清表示，阿里云覆盖了全国37%的网站，客户规模庞大，有任何攻击的变种方式，都能第一时间获知;而且还有快速响应的能力，第一时间推出相应的解决策略。

4月15日，距离高危漏洞曝光仅仅一天，阿里云官方微信就发布了Windows这个高危漏洞的修复方案，并且做好了“一键修复”的工具推送给用户。

阿里云发布的高危漏洞一键修复工具

传统的IDC很难有这样的响应速度。一个有着上百台服务器的机房，要即时维护系统打上补丁，工作量十分巨大，而且维护人员很难判断问题究竟出在哪台、或者哪几台机器上。也没有人去告诉他们，哪些补丁至关重要。

“这就相当于你的房子门户大开，而你一无所知。”阿里云安全技术人员表示，“但如果你的房子在云端，就会有专门的安全专家来对安全性进行评估，并向你推动解决方案。我们会不断地提醒你：‘赶快把门关上!’当然，最终关门的动作还是你自己来做。”

正如阿里云安全资深总监肖力所言：“安全厂商各自救火，做的都是事后的工作，或许也能取得补救效果，不过如果有云安全的‘事先预测’，就能防患于未然，公共云在这方面有着解决问题的最佳优势。”这是因为，有了强大的储存与计算能力，就能通过数据分析处理结果进行预测和防御了。

躲过这次勒索就安全了吗?

针对WannaCry蠕虫病毒的补丁打了，但并不意味着下一次还能在新的病毒攻击面前幸免于难。事实上，阿里云已经观测到了这一蠕虫病毒的变种。“这证明有的新的黑客团体在研究变种，并进行二次传播和三次传播。之后的危险会越来越高。”吴翰清表示。他预计今年还会有3-4次类似的大规模安全事件。

阿里云安全专家杜鹏也表示，即使躲过了勒索漏洞，企业还可能有四大潜在的安全风险：点击异常邮件，电脑里的文件就全部被加密;开源软件服务裸奔在互联网，敏感数据全部暴露;企业摄像头变成全球直播，参与全球网络大破坏;代码上传到开源代码库代码上传到Github后，内网却挂了。

安全从来就没有一劳永逸这一说，和黑客攻击的对抗是个打仗一般的动态过。在吴翰清看来，提升安全意识，是一切的基础。做好数据库、文档和系统的备份，是每家企业的CIO都必须做好的头等大事。不仅是漏洞，不安全的软件、无法及时响应安全危机，都可能给企业造成损失。因此，做好整个企业内部的安全治理至关重要。

“当然，安全是比较贵的。”他说，“但是一定要把这个当作重要的投资。”