以往的病毒传播拼的是技术,谁用的技术新,漏洞厉害,传播就广,病毒制作者获利就大。但勒索病毒用的是成熟的老技术,例如已经有几十年历史的非对称加密技术、十几年历史的匿名网络技术等。攻击者把这些技术重新组合,形成了一个新的技术模式,只要一次运行,把文件加密了就能开始勒索。因此,未来类似的网络攻击有可能会成为常态。
这次的事件充分证明,在大数据时代,数据远比金钱重要。在互联网时代,安全问题带来的更多是经济利益上的损失,而在大数据与物联网时代,对数据的攻击和破坏,不仅带来经济利益上的损失,还会严重影响到我们的日常生活,甚至影响到城市的运转和人的生命安全。随着大数据时代网络攻防技术的变化,网络安全行业的变局正在开启,传统的安全防护思路和技术已经失效,网络安全体系建设将进入的新阶段。
5月12日,“永恒之蓝”勒索病毒席卷了全球,这是“冲击波”病毒发生以来,14年一遇的严重网络安全攻击事件,其传播速度之快,后果之严重,防范之难,均为历史罕见。
5月23日,又发现了一种比“永恒之蓝”更厉害的病毒――“永恒之石”,它利用了NSA泄露的7个漏洞利用工具。根据360威胁情报中心的监控,目前“永恒之石”在国内已经有少量感染,但是还未出现大规模爆发的情况。
这些事件给全球敲响了警钟,随着大数据时代网络攻防技术的变化,网络安全行业的变局正在开启,传统的安全防护思路和技术已经失效,网络安全体系建设将进入新的阶段。
“永恒之蓝”攻击150余个国家
本月12日,“永恒之蓝”勒索病毒在短短数小时之内,攻击了150多个国家,被攻击的用户硬盘中的重要数据被加密锁定,并索要价值300美元比特币的赎金。
据360威胁情报中心监测,我国至少有29372个机构IP遭到攻击,覆盖了我国几乎所有地区。
在两天时间内,西班牙电信巨头Telefonica、电力公司、能源供应商的网络系统瘫痪;法国雷诺汽车、德国的联邦铁路系统、俄罗斯内政部先后有系统被攻陷,重要数据被锁定,造成部分业务中断或无法正常运行;美国联邦快递、葡萄牙电信、瑞典某当地政府、俄罗斯第二大移动通信运营商都被曝出相关攻击事件;英国的大量病患诊断被延误,有病人因此事件无法及时进行心脏手术;我国很多学校毕业生的论文被加密,部分公共服务系统暂停服务,无法正常使用,部分工业设施等行业也“中招”了。
这次事件中攻击者所用的攻击方法与此前被泄露的美国NSA网络攻击武器“永恒之蓝”有关,我们第一时间将其锁定为网络军火民用化。“永恒之蓝”是被黑客组织“影子经纪人”曝光的第四批NSA的网络武器。去年8月13日,“影子经纪人”声称攻破了NSA御用黑客团队“方程式”的系统,获取了他们的网络武器库,并公布了第一批黑客工具。此后,相继在今年的1月13日、4月9日、4月14日又公布了第二批、第三批和第四批相关工具。
这些被泄露的网络武器,使用的漏洞范围广泛,从网络设备到操作系统,从桌面终端到移动平台。攻击操作方法简单易用,可以看到,这些工具将漏洞利用已经编制成完整的攻击程序,攻击者不需要任何技术功底,只需要执行攻击命令,就能完成对目标的攻击。并且,攻击成功率极高,这主要源于他们储备的漏洞多、质量高。例如为Windows准备的一个工具里就包含十几个高质量漏洞,确保不论目标处于什么环境,使用的什么系统,攻击框架一旦执行就能获得成功。
360的天眼实验室对这些武器进行了分析:第一批公布的黑客工具主要是针对边界设备,也就是我们经常说的防火墙的漏洞利用工具;第二批公布的工具主要是NSA黑客组织使用的一些样本;第三批公布的工具主要是针对Linux等系统的远程漏洞利用工具及后门模块;第四批也就是包含“永恒之蓝”的这一批工具,主要针对Windows系统,包含了一套远程漏洞攻击的通用技术框架,通过这套框架可以对一台Windows主机进行远程攻击。
目前能看到的这些被泄露的网络武器,都是2000年到2010年之间的,最新的距离现在也有7年,但即便是十几年前的武器,仍然能影响现在的很多设施,很多漏洞还可以用,很多木马、后门还是存活状态,攻击的成功率仍然很高。
因此,未来将呈现“网络武器民用化、民间攻击武器化”双向融合的趋势,以后类似的网络攻击有可能会成为常态,一年一遇、一月一遇,甚至一日一遇。
这次的事件充分证明,在大数据时代,数据远比金钱重要。在互联网时代,安全问题带来的更多是经济利益上的损失,而在大数据与物联网时代,对数据的攻击和破坏,不仅带来经济利益上的损失,还会严重影响到我们的日常生活,甚至影响到城市的运转和人的生命安全。也就是说,以前的网络安全问题是伤财,现在的网络安全出问题是要命。
网络安全体系建设的八个反思
在网络攻击全球化、常态化、组织化的今天,像“永恒之蓝”勒索病毒这样突发性强、波及面广、危害性大的安全事件,已经成为能影响国家关键信息基础设施单位安全、社会秩序稳定的公共安全事件。网络安全作为国家整体安全体系的重要组成部分,在这次事件里暴露出许多值得我们反思和警诫的地方。
第一,尽管我国已经建立了网络安全应急管理机制和管理体系,但仍旧缺乏有效的应急技术手段。根据360公司一线应急响应处置的100余家机构抽样统计表明,即便是大型的机构建设的终端管控体系,也存在明显的安全死角,导致应急措施无法有效执行。在发生类似“永恒之蓝”大型攻击事件时,国家应急机构由于不具备统一的网络终端安全管理能力,对于已知的病毒样本无法查杀,在国家整个应急安全管理体系的最高端,情况无法及时汇集,无法对安全事件进行集中的应急管理和响应处置。
第二,本次事件再次表明,终端是网络攻击的发起点和落脚点,终端安全在网络安全体系中处于核心地位,终端安全软件的国产化应上升为国家战略。此次中国的中招用户,几乎都是企业和机构用户,普通网民中招的比例极低,企业终端用户占比非常高。一个重要原因是,在普通网民的终端,国产安全软件覆盖率超过90%,客观上形成了一道安全屏障,避免了这次攻击事件在民间大面积爆发。而企业和机构被迅速感染,则正是因为不具备有效的终端防护措施。此外,网络终端是建立国家安全大数据的基本单元,在操作系统等基础技术体系长期被欧美垄断的情况下,应优先发展容易突破和产生效果的国产终端安全软件。
