勒索病毒暴露杀毒软件“软肋”，是时候听听英国安全厂商Sophos怎么说!

【】5月12日晚上8点开始肆虐的“蠕虫”式勒索病毒软件攻击事件仍在持续发酵，虽然5月15日工作日第一天并没有爆发预期中的攻击高峰，但是该勒索软件还在传播，攻击范围仍在缓慢扩散。

　　记者发现，目前网络安全厂商应对措施主要分为两种，一种是下载微软补丁，更新病毒库，例如金山安全软件、360、Mcafee纷纷更新病毒库，有的还提供了修复工具;另一种是利用防火墙端口控制，将445端口隔离，例如亚信安全、赛门铁克，就采取封堵端口，有的还采取加装IPS措施。

　　不可否认，这些措施是有效果的，“WannaCry”勒索软件没有在周一发生更大规模爆发，与安全厂商提供的这些补救措施有莫大关系。但是我们也必须看到，正是这次“蠕虫”式勒索病毒软件攻击事件，暴露出传统杀毒软件的软肋——永远慢人一步，只能被动防御。

　　记者第一时间想到了Sophos 公司，这家有着30 年防病毒和网络防护经验的老牌安全厂商，2年前曾在全球推出首款反勒索软件产品。那么Sophos的反勒索软件经受住本次考验了吗?他们采取的安全措施与其他安全厂商有何不同?Sophos的安全策划是否可以为其他安全厂商所借鉴?记者采访了Sophos中国总经理钟明辉、高级工程师李黎，请他们分享了对本次事件的观点与深度思考。

[[191474]]

Sophos中国总经理钟明辉

　　钟明辉告诉记者，就目前中国市场而言，凡是部署了Sophos反勒索软件产品的用户，目前没有被勒索软件攻击的反馈。

　　为什么WannaCry会攻击成功?

　　人们现在已经了解，WannaCry 勒索软件是利用了微软在445 端口的MS17-010漏洞传播扩散的。然而，就在今年3月，微软已经发布了该漏洞的补丁，那么在大多数企业都已经部署了安全产品的现状下，为什么勒索软件还是能成功进入?

　　高级工程师李黎认为成功进入的最主要的原因是，攻击者成功地使用了钓鱼邮件，利用社会工程学方式，勒索软件从这个途径进入内部网络。

　　其次，本次勒索软件，与以往勒索软件不同，其嵌套了一个黑客攻击工具，利用微软操作系统445端口漏洞，从被感染主机对内部其他主机进行了蠕虫式传播。内部的不同网络通讯区域间，没有屏蔽掉用于内部网络共享的445端口，防火墙策略形同虚设，而且操作系统补丁更新不及时。虽然不少企业IT管理员已经认识到及时更新补丁的重要性，但是打补丁后的系统稳定性，业务可用性都需要时间与精力去评估，因此打补丁执行力度上大打折扣。因此，综合因素混杂在一起，就出现了用户内网被大规模攻陷的情况。

　　第三， 缺乏先进的预见性防御技术。勒索软件的出现暴露了传统杀毒软件的“软肋”，勒索软件不是传统的病毒，而是有针对性的恶意程序，并开始借助黑客工具、利用系统高危漏洞来快速传播。这是非常典型的零日威胁攻击。

　　为什么Sophos能防得住?

　　记者了解到，Sophos这款反勒索软件产品叫做Sophos Intercept X，正如钟明辉所言，已经部署这款产品的用户，无需做任何操作即可抵御WannaCry的攻击。为什么Sophos Intercept X可以做到主动防御零日威胁呢?

　　据李黎介绍，Intercept X是Sophos 下一代端点安全解决方案之一，主要功能就是阻止未知的零日威胁攻击。有别于传统的防病毒软件，Sophos Intercept X不需要病毒库的支撑，而是分析程序对已知漏洞技术的使用和其自身的行为，例如分析可疑程序的复杂加密行为，并迅速阻止该行为。

　　面对当今千变万化的勒索软件的攻击，Intercept X可以阻止勒索软件对文件的持续加密。通过独特的技术在文件遭受加密前，自动创建文件副本，如文件已被加密，则会还原被加密的文件。用户没有任何损失。

　　李黎告诉记者，虽然目前这款WannaCry软件已经出现了近20余个变种，但是万变不离其宗，所有勒索软件都离不开最终对文件的破坏这一行为。Intercept X就是抓住这个特征，结合独有的高级行为分析引擎，只要发现程序行为异常，就立即阻断。除此之外，Intercept X还有阻止漏洞技术被利用功能，可以阻止恶意软件利用漏洞技术进行入侵。“我们的软件还会自动进行根源分析，帮助用户真正了解威胁是从哪里来，到哪里去，干了什么事，实现从开始到结束可视化攻击链的呈现。解决管理员亡羊不知如何补牢的现状。”

　　记者获悉，英国剑桥郡的金博尔顿学校在经历耗时的勒索软件攻击后安装了 Intercept X，现在Intercept X 的 CryptoGuard 技术每天可以找出约 200 次的勒索软件攻击意图，并将其拦截。该学校IT技术人员Alex Bradshaw表示，Intercept X让他从繁重安全运维操作中解脱出来，每天有更多的时间投入到日常工作中。

　　在攻击中反思

　　钟明辉告诉记者，针对本次勒索软件事件的高发区之一——英国医疗系统，Sophos已经发布了一条免费服务来解决这个问题。英国政府也在第一时间发布规定，要求企业除了安装杀毒软件以外，还要安装反勒索软件。

　　他指出，本次攻击事件从另外一个角度而言，也带来了很多反思，不论对客户还是安全厂商，都面临同样的问题：倘若下一次再发生一次零日威胁攻击，还防得住吗?现有的安全架构，是否存在纰漏?安全策略能否需要调整?有没有比打补丁更好的解决办法?

　　钟明辉认为，虽然本次勒索软件攻击事件给全球的企业带来了巨大的损失，但是从损失里可以汲取教训，相信很多人已经意识到，提升安全意识不应该是为了应付而作。“如果一名IT从业者，没有把安全当做所有工作的重要基础，那一定会有问题的。”他强调，安全是整个IT非常重要一环，不是被动的，而是主动的。

　　曾经很多人认为查杀病毒是一项非常虚无的工作，看不见摸不着，但是这次数额不小的比特币勒索，让很多客户突然意识到安全的价值，也开始寻求更高效的安全技术产品。

　　Sophos的安全产品之所以能够做到快人一步，和他们始终追求新的安全防护技术这一发展策略不无关系。他们最早提出“同步安全”的理念，在几年前就做到端点和防火墙之间的联动，实现从网络边界到内网端点的立体化防护。今年二月，Sophos 还收购一家具有前瞻性的新一代恶意软件防护厂商Invincea, 透过新一代机器学习技术，用于研究如何高效追踪、查杀病毒及恶意程序。“我们愿意将新的技术带给客户，传递更先进的安全理念，给客户更好的选择。”

　　采访的最后，钟明辉表示，他希望越来越多的企业用户意识到，安全应该是网络架构初期就开始设计考虑的重要因素，一旦前期没有意识到安全的重要性，那么后期作为补充被部署到网络中，就难免出现漏洞，为人所趁。“安全需要规划，这个阶段越提前效果越好。”

【原创稿件，合作站点转载请注明原文作者和出处为.com】