勒索病毒頻發(fā),公有云或比私有云安全?
2017年5月12日,WannaCry勒索病毒在全球爆發(fā)。病毒已攻擊了至少150個(gè)國(guó)家,包括中國(guó)部分機(jī)構(gòu),尤其校園網(wǎng)用戶(hù)受損嚴(yán)重,大量實(shí)驗(yàn)室數(shù)據(jù)和畢業(yè)設(shè)計(jì)被鎖定加密,甚至連加油站都被攻陷。一波未平,一波又起,“永恒之藍(lán)”勒索病毒過(guò)去不久,一種代號(hào)為“petya”勒索病毒又開(kāi)始肆虐,據(jù)悉,“petya”勒索病毒爆發(fā)后,襲擊了歐洲多個(gè)國(guó)家,新病毒變種的傳播速度達(dá)到每10分鐘感染5000余臺(tái)電腦,多家運(yùn)營(yíng)商、石油公司、零售商、機(jī)場(chǎng)、ATM機(jī)等企業(yè)和公共設(shè)施已大量淪陷。國(guó)內(nèi)也出現(xiàn)了病毒傳播跡象,并確認(rèn)了該病毒樣本傳播方式與此前WannaCry病毒一致,均利用永恒之藍(lán)(EternalBlue)漏洞傳播,相對(duì)于普通勒索病毒對(duì)系統(tǒng)更具有破壞性。
目前,距病毒爆發(fā)已過(guò)一段時(shí)間,事故造成的影響正在逐步消退。從全球范圍來(lái)看,此次病毒爆發(fā)的重災(zāi)區(qū),幾乎都是那些對(duì)數(shù)據(jù)安全非常重視的學(xué)校、醫(yī)院、政府等機(jī)構(gòu)。這些機(jī)構(gòu)往往使用的是內(nèi)外網(wǎng)物理隔離的專(zhuān)屬網(wǎng)絡(luò)。畢竟病毒和黑客手段再高明,也無(wú)法跨過(guò)網(wǎng)線竊取資料,在固有的思維當(dāng)中,專(zhuān)網(wǎng)無(wú)疑是最安全的。但與專(zhuān)網(wǎng)全線崩潰形成鮮明對(duì)比的是,我們幾乎沒(méi)有聽(tīng)到使用公有云的企業(yè)在此次攻擊中遭受損失的聲音。這似乎與我們對(duì)云計(jì)算,以及數(shù)據(jù)安全的普遍認(rèn)知完全相反:公有云竟然比私有云更安全?
此次全球比特幣勒索病毒是由NSA泄露的Windows系統(tǒng)SMB/RDP遠(yuǎn)程命令執(zhí)行漏洞引起。利用該漏洞,黑客即可遠(yuǎn)程實(shí)現(xiàn)攻擊Windows 445端口。這次的病毒事件在校園網(wǎng)傳播速度之快,影響面之大,主要原因是由于目前大部分學(xué)校基本都是一個(gè)大的內(nèi)網(wǎng)互通的局域網(wǎng),網(wǎng)內(nèi)單臺(tái)計(jì)算機(jī)都可連接互聯(lián)網(wǎng),并且不同的業(yè)務(wù)未劃分安全區(qū)域。例如學(xué)生管理系統(tǒng)、教務(wù)系統(tǒng)等,都可以通過(guò)任一接入設(shè)備進(jìn)行訪問(wèn)。
與此同時(shí),像實(shí)驗(yàn)室、多媒體教室等,機(jī)器IP分配多為公網(wǎng)IP。也就是說(shuō),如果學(xué)校未做相關(guān)的權(quán)限限制,所有機(jī)器都將直接在互聯(lián)網(wǎng)上暴露。此骨干網(wǎng)出于學(xué)術(shù)目的,大多沒(méi)有對(duì)445端口做防范處理。這無(wú)疑是高校成為重災(zāi)區(qū)的原因之一。
此外,如果電腦開(kāi)啟防火墻,也會(huì)阻止接收445端口的數(shù)據(jù)。但中國(guó)高校內(nèi),一些學(xué)生為了打局域網(wǎng)游戲,經(jīng)常會(huì)關(guān)閉防火墻。這也是導(dǎo)致病毒在中國(guó)高校內(nèi)大肆傳播的另一原因。微軟早在今年3月已發(fā)布過(guò)修復(fù)補(bǔ)丁。但在今天依然出現(xiàn)了大規(guī)模爆發(fā),無(wú)疑暴露了兩個(gè)問(wèn)題:
1.盜版系統(tǒng)被大規(guī)模使用,并且大多關(guān)閉了系統(tǒng)自動(dòng)更新機(jī)制,補(bǔ)丁無(wú)法及時(shí)更新;
2.運(yùn)維人員的安全防范意識(shí)、管理能力與機(jī)制都亟待完善提高。
實(shí)際上,國(guó)內(nèi)包括小鳥(niǎo)云計(jì)算等公有云廠商,在數(shù)據(jù)安全方面,一直以來(lái)都是按照非常嚴(yán)格的安全標(biāo)準(zhǔn)貫徹執(zhí)行,例如安全防護(hù)機(jī)制,網(wǎng)絡(luò)隔離,防火墻配置,操作系統(tǒng)補(bǔ)丁等等。這些例行的安全維護(hù),讓公有云本身就具備對(duì)于突發(fā)威脅的預(yù)防能力。
除此之外,從軟件的使用層面來(lái)說(shuō),企業(yè)無(wú)需像自己部署時(shí)那樣購(gòu)買(mǎi)軟件,盜版軟件(系統(tǒng))不會(huì)在公有云上部署和使用。需要指出的是,由于日常維護(hù)原因,公有云廠商提供的操作系統(tǒng)鏡像普遍都是最新的,或者經(jīng)過(guò)安全強(qiáng)化、打過(guò)補(bǔ)丁的系統(tǒng)。
在漏洞曝光之后,小鳥(niǎo)云計(jì)算第一時(shí)間發(fā)布了漏洞預(yù)警,并推出一鍵檢測(cè)修復(fù)NSA黑客武器攻擊漏洞的工具。目前,小鳥(niǎo)云默認(rèn)為云服務(wù)器用戶(hù)關(guān)閉445端口,且默認(rèn)安裝Windows官方補(bǔ)丁。
實(shí)際上,在小鳥(niǎo)云計(jì)算在信息安全層面,一直都走在國(guó)內(nèi)云商的前列。例如在安全策略上,能夠利用數(shù)據(jù)驅(qū)動(dòng)實(shí)現(xiàn)持續(xù)監(jiān)控和深度學(xué)習(xí)分析,并形成對(duì)威脅的自動(dòng)感知和預(yù)警,以及自動(dòng)止血和反擊的閉環(huán)能力。
對(duì)于專(zhuān)屬網(wǎng)絡(luò)的慘痛教訓(xùn),很多企業(yè)對(duì)內(nèi)網(wǎng)中有多少臺(tái)服務(wù)器受到影響都還沒(méi)有搞清楚。而公有云對(duì)每一臺(tái)服務(wù)器、每一分鐘的安全情況都了如指掌。這種對(duì)比差異,是企業(yè)管理者,尤其是安全負(fù)責(zé)人需要反思的。如果這些學(xué)校、企業(yè)的系統(tǒng)在公有云上,或許今天根本就不會(huì)遇到這個(gè)問(wèn)題。
每次病毒的大規(guī)模爆發(fā),都會(huì)帶來(lái)一些IT安全管理的提高,例如部署殺毒軟件,內(nèi)外網(wǎng)隔離等,也會(huì)帶來(lái)對(duì)于互聯(lián)網(wǎng)固有觀點(diǎn)的革新。隨著移動(dòng)互聯(lián)網(wǎng)的滲透,如今我們的信息安全治理面臨著更高的挑戰(zhàn)。從這個(gè)角度看,這次的病毒爆發(fā),給我們的信息安全工作敲響了警鐘。也引起了企業(yè)或機(jī)構(gòu)對(duì)于專(zhuān)網(wǎng)安全性的擔(dān)憂,而公有云低廉的價(jià)格,在為企業(yè)不斷降低IT部署成本的同時(shí),專(zhuān)業(yè)性和安全性也逐漸被人們所關(guān)注,小鳥(niǎo)云計(jì)算預(yù)言,私有云運(yùn)維成本過(guò)于高昂,且運(yùn)維的團(tuán)隊(duì)水平參差不齊,而混合云只是一個(gè)過(guò)渡性的產(chǎn)品,未來(lái)云服務(wù)市場(chǎng),必將是公有云的天下。