2017年5月12日,WannaCry勒索病毒在全球爆发。病毒已攻击了至少150个国家,包括中国部分机构,尤其校园网用户受损严重,大量实验室数据和毕业设计被锁定加密,甚至连加油站都被攻陷。一波未平,一波又起,“永恒之蓝”勒索病毒过去不久,一种代号为“petya”勒索病毒又开始肆虐,据悉,“petya”勒索病毒爆发后,袭击了欧洲多个国家,新病毒变种的传播速度达到每10分钟感染5000余台电脑,多家运营商、石油公司、零售商、机场、ATM机等企业和公共设施已大量沦陷。国内也出现了病毒传播迹象,并确认了该病毒样本传播方式与此前WannaCry病毒一致,均利用永恒之蓝(EternalBlue)漏洞传播,相对于普通勒索病毒对系统更具有破坏性。
目前,距病毒爆发已过一段时间,事故造成的影响正在逐步消退。从全球范围来看,此次病毒爆发的重灾区,几乎都是那些对数据安全非常重视的学校、医院、政府等机构。这些机构往往使用的是内外网物理隔离的专属网络。毕竟病毒和黑客手段再高明,也无法跨过网线窃取资料,在固有的思维当中,专网无疑是最安全的。但与专网全线崩溃形成鲜明对比的是,我们几乎没有听到使用公有云的企业在此次攻击中遭受损失的声音。这似乎与我们对云计算,以及数据安全的普遍认知完全相反:公有云竟然比私有云更安全?
此次全球比特币勒索病毒是由NSA泄露的Windows系统SMB/RDP远程命令执行漏洞引起。利用该漏洞,黑客即可远程实现攻击Windows 445端口。这次的病毒事件在校园网传播速度之快,影响面之大,主要原因是由于目前大部分学校基本都是一个大的内网互通的局域网,网内单台计算机都可连接互联网,并且不同的业务未划分安全区域。例如学生管理系统、教务系统等,都可以通过任一接入设备进行访问。
与此同时,像实验室、多媒体教室等,机器IP分配多为公网IP。也就是说,如果学校未做相关的权限限制,所有机器都将直接在互联网上暴露。此骨干网出于学术目的,大多没有对445端口做防范处理。这无疑是高校成为重灾区的原因之一。
此外,如果电脑开启防火墙,也会阻止接收445端口的数据。但中国高校内,一些学生为了打局域网游戏,经常会关闭防火墙。这也是导致病毒在中国高校内大肆传播的另一原因。微软早在今年3月已发布过修复补丁。但在今天依然出现了大规模爆发,无疑暴露了两个问题:
1.盗版系统被大规模使用,并且大多关闭了系统自动更新机制,补丁无法及时更新;
2.运维人员的安全防范意识、管理能力与机制都亟待完善提高。
实际上,国内包括小鸟云计算等公有云厂商,在数据安全方面,一直以来都是按照非常严格的安全标准贯彻执行,例如安全防护机制,网络隔离,防火墙配置,操作系统补丁等等。这些例行的安全维护,让公有云本身就具备对于突发威胁的预防能力。
除此之外,从软件的使用层面来说,企业无需像自己部署时那样购买软件,盗版软件(系统)不会在公有云上部署和使用。需要指出的是,由于日常维护原因,公有云厂商提供的操作系统镜像普遍都是最新的,或者经过安全强化、打过补丁的系统。
在漏洞曝光之后,小鸟云计算第一时间发布了漏洞预警,并推出一键检测修复NSA黑客武器攻击漏洞的工具。目前,小鸟云默认为云服务器用户关闭445端口,且默认安装Windows官方补丁。
实际上,在小鸟云计算在信息安全层面,一直都走在国内云商的前列。例如在安全策略上,能够利用数据驱动实现持续监控和深度学习分析,并形成对威胁的自动感知和预警,以及自动止血和反击的闭环能力。
对于专属网络的惨痛教训,很多企业对内网中有多少台服务器受到影响都还没有搞清楚。而公有云对每一台服务器、每一分钟的安全情况都了如指掌。这种对比差异,是企业管理者,尤其是安全负责人需要反思的。如果这些学校、企业的系统在公有云上,或许今天根本就不会遇到这个问题。
每次病毒的大规模爆发,都会带来一些IT安全管理的提高,例如部署杀毒软件,内外网隔离等,也会带来对于互联网固有观点的革新。随着移动互联网的渗透,如今我们的信息安全治理面临着更高的挑战。从这个角度看,这次的病毒爆发,给我们的信息安全工作敲响了警钟。也引起了企业或机构对于专网安全性的担忧,而公有云低廉的价格,在为企业不断降低IT部署成本的同时,专业性和安全性也逐渐被人们所关注,小鸟云计算预言,私有云运维成本过于高昂,且运维的团队水平参差不齐,而混合云只是一个过渡性的产品,未来云服务市场,必将是公有云的天下。