由WannaCrypt勒索病毒谈企业网网络安全防护
2018-03-06朱成威
◆朱成威
由WannaCrypt勒索病毒谈企业网网络安全防护
◆朱成威
(中国科学院深海科学与工程研究所文献信息中心 海南 572000)
目前的网络世界,勒索病毒频发,影响范围广,且危害较普通病毒更大,对于网络安全管理人员提出了更高的挑战。由于WannaCrypt爆发产生的巨大影响,故以此为出发点,主要从企业网络管理和个人用户角度阐述关于病毒的防范、提高网络安全性,最终实现提高用户的安全意识,保护企业及个人的信息安全的目的。
勒索病毒;企业网;网络安全;安全意识;防护手段;安全习惯
0 引言
随着互联网的发展,网络安全问题越发凸显,对于单位、网络安全管理人员和个人用户而言,必然要将网络安全问题提高到更高的层次来面对。但对于企业尤其是中小企业来说,普遍存在网络安全管理人员较少,技术力量薄弱,防护手段单一等问题,因此已经无法满足网络安全管理的需要。然而,解决以上薄弱环节非一朝一夕可以完成,,因此有必要在现有条件不变的前提下,拓展思路,从个人用户角度出发,提高各终端节点和人员的网络安全水平,达到实现企业整体网络安全的目的。
据网络公开资料报道[1],1990年,美国获悉一个重要情报:伊拉克将从法国购买一种用于防空系统的新型电脑打印机,准备通过约旦首都安曼偷运回巴格达。美国间谍买通了安曼机场的守卫人员,运送打印机的飞机一降落到安曼,他就偷偷溜进机舱,用一套带有计算机病毒的同类芯片换下了电脑打印机中的芯片。伊拉克人毫无察觉,将带有病毒芯片的电脑打印机安装到了防空系统上。海湾战争爆发后,美国人通过无线网络激活了电脑打印机芯片内的计算机病毒,病毒侵入伊拉克防空系统的电脑网络中,使整个系统陷入瘫痪。美国由此取得了海湾战争中的关键性胜利。
习近平主席在全国网络安全和信息化工作会议上强调,没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众的利益也难以得到保障[2]。以上例子也可以说明,网络安全已经上升到国家战略的高度。
1 WannaCrypt勒索病毒回顾
1.1 WannaCrypt勒索病毒爆发
2017年4月16日, CNCERT主办的CNVD发布了《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》,对影子纪经人“Shadow Brokers”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报(相关工具列表如下),并对有可能产生的大规模攻击进行了预警[3]。2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密,国内也有相当多的单位和电脑遭受病毒感染[4]。直到2017年5月13日晚间,一名英国研究员发现,WannaCry正不断尝试进入一个极其特殊、尚不存在的网址,在他花8.5英镑(约合人民币75元)注册该域名之后,发现WannaCry在全球范围内的传播居然被阻拦了。无意间发现的WannaCry隐藏开关(Kill Switch)域名,竟然意外地遏制了病毒的进一步大规模扩散[5]。
从CNCER发出预警到病毒爆发有足够长的操作时间,但由于有相当多的企业和用户没有给予足够的重视,造成了损失的进一步扩大。
1.2 勒索病毒传播与危害
勒索病毒往往具有爆发突然,自动传播,无法解密,通信匿名等特征。以下仅从传播范围及其危害两方面做简要阐述。
(1)传播范围广
一旦勒索病毒进入用户个人电脑,立刻自动运行,并删除勒索软件样本,以躲避安全软件的查杀和分析,并利用互联网同病毒服务器完成密钥的交换和加密。同时迅速的在局域网内传播,如果没有对相应漏洞进行防护,将导致内部网络沦陷。
(2)损失巨大
勒索病毒一旦发作,将对硬盘上Office文档、媒体文件、压缩文档、电子邮件、虚拟机文件和数据库文件等进行加密操作,并统一命名为.WNCRY,如果不支付赎金,除了病毒传播者本人外,数据将无法恢复。即使支付了赎金,有的勒索病毒制造者也可能不提供解密密钥,导致钱(财)数(据)两空。
2 网络安全面临的威胁
网络的安全性直接对网络的可用性造成影响。互联网的快速发展,为人们的生产生活带来的巨大的变革,也促进了世界科技和经济的飞速发展,我们处在了一个最好的时代。同时,在网络世界中,充斥着蠕虫、木马、病毒、后门、扫面窃听、僵尸网络、恶意程序、漏洞、病毒、垃圾邮件、钓鱼欺诈、流氓软件、DDOS攻击等网络安全隐患,无时无刻不对网络安全造成威胁,稍一松懈就可能遭受不可挽回的损失,因此网络环境时刻面临着安全挑战。
安全防护与攻击是一对矛盾体,几乎同时出现,一起发展,但安全防护总是滞后于攻击手段。近年来,攻击行为呈现以下趋势:攻击成本降低,攻击技术复杂化,攻击方式多样化。同时,攻击产业链日趋成熟,因此攻击行为危害更大,防护难度更高,部分攻击行为已经由个人行为转变为有组织有预谋的活动,危害也更大。
另外一个比较重要的威胁来源于“人”,称之为“安全热点效应”。网络安全问题除安全从业者和安全管理人员外,对其他人来说更像是一个热点,待某一安全事件过后,热度降低,热点逐渐变为凉点,将不会有太多的人记得,即使曾经遭受过严重危害。因此,非安全专业人员对网络安全问题的重视不足或者意识薄弱,可能也是各种威胁屡屡得手的一个重要原因从长远来看,该原因甚至比产生威胁的源头更亟待解决。
3 如何保障网络安全
3.1 安全问题分析
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面,即物理安全和逻辑安全[6]。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。
计算机网络安全具有如下特点[7]:
(1)计算机网络的通信线路是一个很明显的不安全因素,利用卫星通讯或是电话线传递信息对窃听者来说可以很容易地进行侦收、截取、破译,以获取有价值的信息或情报。
(2)网络威胁的隐蔽性和潜在性增加了保证安全的难度,如窃取、侦听、传播病毒这些行为都是隐蔽的,防范的对象广泛并难以明确。
(3)网络安全涉及多学科领域,既有社会科学,又有自然科学和技术。进网的用户越多,对人员教育和管理的难度就越大,电子技术越发展,对网络进攻的手段也就日益巧妙和多样化,而且网络作案远离现场,犯罪时间短,易被发现。
(4)网络安全也是相对的,即很难建立一个绝对安全的网络,因此,网络时刻有风险。网络安全标准和措施是在多种因素中寻找一种平衡,这本身就造成了一种危险概率。另外,安全措施与系统使用的灵活性、方便性也相应的存在着矛盾。
(5)网络由于不安全受到的损害远远大于单机系统所受到的损害,任何有意或无意的攻击都有可能使网络上的成百上千台机器处于瘫痪。
伴随互联网诞生就开始出现了各种威胁和攻击,随着互联网的普及,每一次大面积爆发都造成了巨大的影响,类比于真实世界,形容为瘟疫一点也不为过。安全问题,应该像每家每户的防火防盗问题一样,要做到防范于未然。
同时,随着互联网安全设备和技术的进步,相对于系统或设备来说,人的因素将成为网络安全问题的关键。而绝大多数人并不熟悉的暗网,其难以防范和追踪的特性,更是对各种威胁攻击起到了拖波助澜、不可推卸的责任。
3.2 保障网络安全的具体措施
病毒和攻击问题是所有网络使用者尤其是网络安全及管理人员需要高度重视的问题,本文也是要告诫安全从业人员和所有用户,提高网络安全意识和警惕心,杜绝侥幸心理,及时认真的完成网络必要的网络安全防护工作。但是,同时也要客观的承认网络攻击和安全威胁的存在,保持积极的对待安全的态度,在网络安全问题面前作“乐观的悲观主义”者。
安全无小事,安全却要从小事做起。想要解决网络安全问题,不可能毕其功于一役,而最基本的是树立并加强网络安全意识,保持网络安全警惕性、培养网络安全嗅觉力、加强网络安全敏锐度,即要做到重视网络安全,意识到网络安全的重要性。本文不对具体的攻击和防御技术、手段和方案等进行详细讨论,仅从习惯和意识上具体说明如何加强网络安全防护措施。
(1)习惯
安装杀毒软件,并保持病毒库及时更新,遇见异常问题及时查杀,电脑反应异常时及时查看杀毒软件信息。
仅安装最常用软件,尽量从官方网站下载程序,避免搜索后不加分辨的下载安装,谨慎的运行各类可执行文件。
开启自动更新,防火墙功能。目前大部分用户都是使用Windows操作系统,而Windows操作系统的漏洞层出不穷,对个人用户来说,最简单的操作就是打开系统自带防火墙,开启自动更新,这样可以在第一时间对系统进行防护,筑起第一道防线。
各类插件最小化。各类浏览器、应用五花八门,由于某些原因自身和第三方分别开发了各类插件,有些人可能只是好奇或者抱着尝试一下的态度,安装了某类插件,就可能对系统和安全造成影响。
安全使用移动存储介质。移动存储介质的容量越来越大,给日常的交流和分享带来了便利,同时也为病毒、木马等威胁提供了温床。使用移动存储介质前一定要确保其安全无威胁,虽然大部分安全软件可以对移动存储介质进行扫描,但也不能掉以轻心,尽量避免交叉使用。
文明、绿色上网。不访问国家明令禁止和有损文明道德的网站,这类网站往往是木马和病毒的高发区,稍不留神就可能中招。据某安全厂商2016年度安全报告统计[8],中毒电脑用户性别男女比例分别为84.16%和13.18%,虽然多数女性用户并不精通电脑技术知识,但男性用户由于个人兴趣爱好原因遭受被动威胁的机率却远远高于女性。
(2)安全意识
下载文件、浏览网页安全。在下载文件、数据时尽量选择官方网站或者常用的可信度较高的大型网站,在不能分辨来源是否可信的情况下,不要下载。随着短链接的出现,更加大了判断难度,浏览网页时对于诱惑性的弹窗等信息要保持高度警惕,点开后可能就是陷阱。
可疑邮件附件及链接和即时通讯、短信内链接。在日常办公和个人交往中,邮件、即时通讯和短信使用相对频繁,这往往也是威胁传递的上好载体,而且用户防范性更低。本文提醒大家,可疑邮件直接删除或者转发系统管理员处理,不要随意点击。对于即时通讯和短信内的连接,用户随手打开,却意识不到随着点击的动作可能已经被植入木马或者造成信息的泄露。
远程协助等功能按需启用。很多软件都会提供远程协助功能,Windows系统也自带这一功能。该功能虽然方便,但可能是安全防护上的一个漏洞,可以在使用时打开该功能,使用后随手关闭。
尽量不连接公共WiFi。随着WLAN技术的发展,很多地方提供免费的公共WiFi。一旦该WiFi被有心人利用,终端在连接WiFi后几分钟内即可暴漏全部信息。本文作者的习惯是只在单位和家里打开设备的无线功能,在其他地方使用移动数据网络,这个方式建议大家使用,切莫贪图节省流量的费用。
账户密码保持一定的复杂度。每到年终的时候,国内外都会出炉关于弱密码的排行,而“123456”“12345678”“password”“123456789”“qwery”等等密码年年榜上有名,这很能说明一个问题,用户对于密码强度的认识远远不够。殊不知,账户密码是整个防护环节中的最后一道防线,务必要加强对账户密码强度的认识,在设置密码时一定要包含大小写字母、数字和特殊字符。再此分享一个笔者的密码设置习惯,我国古代的诗词是一个很好的密码设置源本,举例来说,Chrdw@#&Hdhxt237(锄禾日当午,汗滴禾下土的首字母加特殊字符和数字),这就是一个很好的密码设置,建议大家可以选择喜欢的诗句按此设置,方便记忆、无规律且具有很高的复杂度。
了解基本的安全知识。每一个用户都需要了解基本的安全知识,而不是只局限于安全管理和运维人员。目前获取各类知识和咨询很便捷,可以适当关注1—2个安全类的微信公众号,可以了解和学习一些基本的安全知识。一般公众号在出现比较严重的安全问题时,会跟踪发布一些预警和处理手段,对一些个人用户而言将有很大帮助。
重要数据及时备份。重要数据及时备份可以说是最重要的一条,无论发生什么问题,只要数据还在,解决安全问题后可以最快速度恢复使用。
4 结束语
网络世界攻击与威胁无处不在,WannaCry也并未收场。暗云、petya、Aleta陆续登场……我们距离被攻击有多远?毫不危言耸听的说,也许就在下一次。因此,必须要从个人用户入手,养成良好习惯,提高安全意识,重要数据及时备份,拒绝侥幸,共同筑起网络安全的统一防线,才有可能免于攻击的威胁,保护公共和个人财产、信息的安全。
[1]凤凰网.从海湾战争看基础安全在网络攻防对抗中的重要意义.http://sn.ifeng.com/a/20160606/4624174_0.shtml,2016.
[2]新华网.人民日报评论员:筑牢国家网络安全屏障.http: //www.xinhuanet.com/politics/2018-04/23/c_1122728346.htm,2018.
[3]人民网.家互联网应急中心发布防范“勒索病毒”的应急处置措施.http://politics.people.com.cn/n1/2017/0513/ c1001 -29273292.html2017.
[4]腾讯安全联合实验室.腾讯电脑管家:WannaCry勒索病毒详细解读.https://slab.qq.com/news/t ech/1575.html, 2017.
[5]搜狐网.勒索病毒时间线梳理,全球网友同步大吐槽!https://www.sohu.com/a/141196116_114778,2017.
[6]王丽芳,张静,李富萍等编著.计算机网络技术基础 计算机科学导论.清华大学出版社,2012.
[7]丛书编委会编著.网络安全技术.网络技术(三级).中国电力出版社,2002.
[8]腾讯网.腾讯安全2016年度互联网安全报告. http://www.qq.com/a/20170510/040155.htm,2017.
