朗程科技：WannaCry拷问传统安全思维 应急预案常备无患

【】WannaCry蠕虫式勒索病毒已经肆虐十余天了，虽然业界各种补丁、查杀工具、应对措施不断，但仍然不时传来客户中招的消息。这让人不禁感慨：究竟是对手太狡猾，还是我们太大意?不少专家认为，这次WannaCry病毒只是黑客组织的一次预演，下一次攻击随时可能到来，更残酷的是，下一次的病毒攻击，必然会规避掉这次WannaCry病毒例如域名开关、无法确认赎金支付对象等诸多缺陷，让人更加难以抵御。

　　现如今这个阶段更像是两波战争之间的短暂休整期，双方都在抓紧积蓄力量，试图在即将到来的激战中获胜。像朗程科技这样的IT系统服务提供商也不例外，记者日前采访了朗程科技系统集成部经理高级工程师赵伯禹，看看他们在如此短的时间内是如何给客户的安全实力做加法的。

[[192129]]

朗程科技系统集成部经理高级工程师赵伯禹

　　从三处细节看WannaCry的破坏力

　　赵伯禹告诉记者，之所以WannaCry病毒能在这么短的时间内造成如此大的破坏，要究其原因，还得从勒索蠕虫的原理说起：

　　首先，WannaCry蠕虫利用的漏洞非常普遍，绝大部分的个人PC机仍然使用微软的Windows操作系统，而Windows系统默认打开了445端口，并且大量的Windows用户没有定期更新补丁的习惯，这给蠕虫的传播提供了大量宿主。

　　其次，传统的勒索软件需要靠“骗”，也就是说需要哄骗受害者主动点击某个附件、某个网址等等。而此次蠕虫病毒可以进行自我传播和自动复制，也就是可以进行主动的探测和传播。这个从“被动”到“主动”的转化，造成了传播速度上质的差异，使的WannaCry的破坏性覆盖的范围更广。

　　赵伯禹指出，以往的勒索软件都是比较有针对性的攻击大企业或者政府机构，然而此次的勒索病毒的目标是无差别攻击企业、机构和普通人，这在以往是没有过的，另外，此次黑客要求的是比特币交易，勒索病毒本身与比特币并无直接关系，而黑客之所以要求以比特币进行赎金支付，恰恰是看中了比特币在支付转账时的全球化、去中心化和匿名性等“优势”，因此追踪起来也将更加困难。

　　当记者问到这次内网为何成“重灾区”时，赵伯禹认为，从安全防护方面来说，所有硬件系统都不是完全隔离了互联网独立运行的，只要需要跟这个世界进行某种联系，总会以各种形式被渗透。内网这次中招，从另一个角度也刷新了人们对内网的安全认知。记者了解到，内网之所以会中毒，很大一部分原因是因为执行不规范，人们使用U盘将外网的病毒带入了内网，病毒一旦进入内网，简直势不可挡如入无人之境。“究其原因，主要是由于在安全地虚幻感下，内网几乎不更新系统，好比是无菌房里的花，一有风吹草动就枯萎。”

　　安全应急也有黄金24小时

　　作为IT系统服务提供商，朗程科技在发现勒索病毒的黄金24小时内做了哪些事情来降低客户风险?

　　赵伯禹介绍到，2017年5月12日，永恒之蓝勒索蠕虫在全球范围内爆发大规模攻击，朗程科技第一时间做出应急响应。他们一方面从用户的基础设施和恶意软件等方面做出分析，并对“永恒之蓝”勒索蠕虫病毒重点监测，另一方面协调了技术人员成立了应急方案小组，为客户制定了完整的安全开机指南，并派遣技术人员到现场为用户指导如何预防勒索病毒的侵入，并为需要的客户手动升级安装补丁等。

　　不仅如此，朗程科技还做了最坏的准备，一旦客户不幸中招之后，朗程科技也准备了一套紧急方案，防止病毒的蔓延，将客户损失降到最低。与安全厂商求“同”，以追求解决方案适用范围最大化的目的不同，IT系统集成商更强调的是“专”，朗程科技的一个重要价值就在于能够针对不同行业的业务类型，制定了针对性的应急方案，满足客户个性化的需求。

　　他告诉记者，通过这次的事件，客户也意识的网络安全和数据备份地重要性，一招不慎，就可能导致大量数据丢失。不少客户表示以后会更加注重数据的备份。

　　传统安全思维受拷问

　　此次勒索病毒肆虐全球，让人们充分感受到了在网络安全威胁下的恐惧和无助，“勒索病毒”事件，对于未来网络安全行业，可以认为是里程碑事件，网络安全由此进入了新常态。赵伯禹表示，虽然此次的勒索病毒造成大规模的破坏，但庆幸的是，这次事件也算是给很多企业做了一次演习，暴露了企业安全的一些误区。

　　他认为应该吸取三方面的教训：首先是安全意识需要强化。对网络攻击的防范首先应该是意识上的，但很多企业安全主管的网络安全意识淡薄，既不及时安装免疫工具也不及时打补丁。因此提高大家安全意识是最迫切的任务。

　　其次，内网隔离的理念被证明彻底落后了。在互联网早期，企业利用内网把设备和互联网隔离开，认为只要隔离了病毒就进不来。但这次“勒索病毒“事件中，很多内网也遭遇到了感染，所以人们应当重新审视数据的安全性。“我认为将重要资料备份到云平台，是行之有效的手段之一，将数据备份到云平台，不仅能保障数据的安全性，也能统一调度企业资源。” 赵伯禹给出了解决办法。

　　最后，安全产业须建应急协同机制，这次学校、政府、医院、加油站等公共机构成为被攻击的重灾区，充分证明了应对网络恐怖袭击，不仅仅是个人或者企业的事情，更加需要社会、国家、安全厂商、IT系统服务商、客户做好紧急预案，协同解决。

　　做好这四步，保证不“想哭”

　　通过这次事件，赵伯禹强烈建议企业用户至少做好以下四项防御：

　　一，重要文件一定要随时备份，如果是企业，建议将数据备份到云平台上，因为云备份效率和可靠性高，数据恢复时间短，切具备无限扩展能力，而且边使用边付费的模式减少了备份的采购和实施带来的烦恼。

　　二，系统一定保持最高安全等级，及时升级到最新版本，建议打开自动更新功能。同时，系统需要安装杀毒软件，更新病毒库。

　　三，不要轻易打开陌生文件，尤其是陌生邮件和IM通信软件中的文件。

　　四，安装正版操作系统、Office软件，尽量不用来历不明的盗版软件。

　　俗话说“常将有日思无日，莫待无时思有时”，如果大家都能加强安全防范意识，及时更新病毒库，对来源未知的链接常存警惕之心，最重要的是，该备份的东西及时备份，那么在下一波病毒到来之时，“想哭”的也许是黑客了，而我们可以笑到最后。

【原创稿件，合作站点转载请注明原文作者和出处为.com】