关于勒索病毒您知道多少？

　　今年4月份，网络安全领域就有信息披露，美国国家安全局(NSA)旗下的“方程式黑客组织”使用的部分网络武器被公开，其中包括可以远程攻破全球约70%Windows机器的漏洞利用工具。课课家教育平台提醒您：勒索病毒引出重大话题：公有云比私有云更安全?大家要认真阅读本篇文章哦~

　　公有云比私有云更安全?这似乎与惯性思维恰恰相反……

　　3天，150个国家，20余万台机器中毒，始于上周五的WannaCry索病毒真的让很多人急了。

　　美国联邦快递FedEx、西班牙电信运营商Telefonica、法国汽车制造商雷诺、德国联邦铁路系统以及俄罗斯内政部纷纷中招，最深受其害的是英国公众医疗系统，手术排期被扰乱，患者无法实施抢救，而在中国，数所大学、政务网站、出入境公安网，甚至加油站都已经被爆出现问题。

 

　　德国联邦铁路系统中毒后的候车大厅屏幕

　　表面上看，勒索病毒索要比特币，但企业机构因此而引发的后果往往是人财两失，这也是服务器主机安全防护对稳定性和性能更为强调，对事前防护更为看中的原因。

　　WannaCry勒索病毒这一重大信息安全事件虽已渐渐平息，但也引发了更深层次的思考：

　　把数据牢牢揣在怀里的私有云反而比采用公有云的企业，受到攻击更广，损失更严重;

　　从政务网站等政府机构纷纷中招来看，号称最安全的内外网隔离也没能逃过一劫;

　　如果说10年前引发大面积机器瘫痪的蠕虫病毒尼姆达、熊猫烧香还主要影响PC端，那么在企业业务互联网化，联网设备IOT化的今天，WannaCry勒索病毒这样的病毒很可能会常态化，影响也会越来越重大;

　　1. 公有云比私有云更安全?

　　5月15日，A股市场上网络安全企业股票大片一字涨停，大家似乎都把抑制WannaCry病毒的期望寄托在这些“专业救火队”的身上。而颇具讽刺意味的是，其中一家涨停安全公司的最大客户，却是被WannaCry勒索病毒肆虐的大型企业受害者之一。

　　外行看热闹，内行看门道——“防患于未然”其实远比事后“救火”要更有效。那么，谁能做好“防患于未然”谁显然就更为有意义。

　　私有云+专业安全企业的服务方式，将一切都交给公有云企业的租用方式，在新的万物互联时代到底谁更安全?

　　据阿里云安全资深技术总监肖力表示，早在4月初NSA就爆出这一漏洞，阿里云当是在6小时内根据漏洞分析和客户场景做出分析报告，并在云平台外围构建了防御层，以便公有云用户有更多时间修复与补丁。也就是说，在513 WannaCry勒索病毒爆发之前，公有云就做到了“防患于未然”。

　　难道专业安全厂商不可以这么做吗?

　　私有云+专业安全的模式通常是：客户数据分散在上千个不同IDC中，而客户对于安全产品的采购也往往是不同种类采购不同品牌，这种碎片化的结构和部署，也造成私有云安全防范的不统一和不及时。

　　第一，专业安全厂商尽管有云安全的理念，但收集异常数据只能根据自身产品品类和覆盖量发现病毒爆发异常，而无法像公有云企业一样通盘看到从网络层、应用层、系统层到数据层的实时异常问题。

　　第二，由于专业安全厂商收集到的信息有限，无法像公有云企业一样做到全数据分析，更难以基于大量网络、系统、应用状态来建立自动化的事前防御机制。

　　第三，专业安全厂商发现问题可以做到第一时间通知客户，但更重要的防范措施却由于自身产品类别所限，或是客户采购的安全产品种类和品牌碎片化，而无法实现多层级联动技术防护。

　　实际上，在今年2月全球顶级安全行业盛会RSA大会上，传统安全厂商已经意识到这一问题：

　　以前，全球的安全厂商无一例外地出售包装在“盒子”内的产品和服务;从去年开始，基于 API 接口的云化服务开始冒头;而今年，寻求与云服务提供商合作，提供基于公有云的云安全SaaS服务，成为大部分安全厂商的发展趋势。

　　此外，今年4月底，Bitglass发布的对3000多名IT专业人士的Threats Below the Surface中也显示：

　　IaaS和SaaS安全分别被33%和31%的受访者列为首要投资重点。

　　公有云的云安全服务受到重视，这对AWS、Azure和阿里云这样全方位的云服务提供商也是个好消息。但是，这样的结论在多数企业用户印象中，却与“私有云比公有云安全”的惯性思维恰恰相反。

　　私有云数据在防火墙内，客户对数据似乎有着绝对的所有权和控制权，但这并不意味着数据更安全。

　　对于重要的数据隐私性方面，目前主流公有云提供商都引入第三方硬件加密机(HSM)，密钥交与用户，一定程度上消除了数据隐忧。

　　而在信息安全事件面前，由于目前主流的大型公有云企业自身可能就是超级大用户，他们的应用遭受安全攻击更多，更集中，安全人员的分类也更广更细，在安全“魔高一尺道高一丈”的攻防对峙中，最好的战场总是锻炼出最好的士兵。

　　对于多数用户，公有云正在成为一个更专业更集中的安全避风港。

　　2. 内外网隔离也非世外桃源：

　　那么私有云当中可能出现的极端情况——内外网隔离，是不是会更安全呢?

　　可为什么这次WannaCry勒索病毒事件中还是有公安网、政务网依然中招?其实，早在2010年伊朗首座核电站——布什尔核电站就遭受过蠕虫病毒“震网”的袭击，从而导致故障频发，关键设备损毁。这样的机要部门内外网隔离是必要手段，但事后分析发现，“震网”原来是通过U盘在局域网内部进行传播的。

　　实际上，就算是安全最严格的物理隔离，内外网之间的通信在实际操作中也不可避免，只不过是通过指定端口，最常见的是通过USB来完成通信过程。而WannaCry勒索病毒也属于蠕虫病毒，它的可怕性就在于无孔不入，任何漏洞和端口都会成为入侵入口。

　　此外，此次WannaCry的受害者包括加油站、机场、医院等实体经济行业时，不得不承认万物互联的IoT时代已经悄然到来，内外网隔离的手段也会“因噎废食”，在越来越多的场景下无法实施。

　　3. 公有云的价值：

　　WannaCry的第一波攻击似乎渐渐平息，但此类攻击“一波未平一波又起”将呈常态化，企业在享受互联网+红利的同时，必然要有面临更多风险的心理准备。

　　天生云化的云服务提供商则更强调对云平台上丰富的数据资源的高效智能利用。AWS、Azure和阿里云等公有云纷纷将人工智能引入云安全，就说明将数据汇集、打通，进行实时计算才是云服务提供商在云安全上充当“妙手神医”的必备技能。

　　公有云之所以成为趋势，弹性高和成本低并非最大价值。在这样一个数据智能的时代，需要更多数据才能打通业务壁垒，发挥更大价值。具体到云安全，也许有一天公有云在打通数据后，不仅能够防患于未然，甚至能够第一时间定位攻击者，帮助公安机构第一时间抓住罪魁祸首。

　　知识分享：勒索病毒WannaCry深度技术分析

　　1.1病毒攻击行为和结果：

　　遭受WannaCry病毒侵害的电脑，其文件将被加密锁死，惯常来说，受害用户支付赎金后可以获得解密密钥，恢复这些文件。但是根据火绒工程师的分析，遭受WannaCry攻击的用户可能会永远失去这些文件。

　　WannaCry病毒存在一个致命缺陷，即病毒作者无法明确认定哪些受害者支付了赎金，因此很难给相应的解密密钥，所以用户即使支付了赎金，也未必能顺利获得密钥该电脑系统及文件依旧无法得到恢复。

　　至于网上流传的各种“解密方法”，基本上是没用的，请大家切勿听信谎言，以防遭受更多财产损失。一些安全厂商提供的“解密工具”，其实只是“文件恢复工具”，可以恢复一些被删除的文件，但是作用有限。

　　因为病毒是生成加密过的用户文件后再删除原始文件，所以存在通过文件恢复类工具恢复原始未加密文件的可能。但是因为病毒对文件系统的修改操作过于频繁，导致被删除的原始文件数据块被覆盖，致使实际恢复效果有限。且随着系统持续运行，恢复类工具恢复数据的可能性会显著降低。

　　1.2传播途径和攻击方式：

　　据火绒实验室技术分析追溯发现，该病毒分蠕虫部分及勒索病毒部分，前者用于传播和释放病毒，后者攻击用户加密文件。

　　其实，蠕虫病毒是一种常见的计算机病毒。通过网络和电子邮件进行传播，具有自我复制和传播迅速等特点。此次病毒制造者正是利用了前段时间美国国家安全局(NSA) 泄漏的Windows SMB远程漏洞利用工具“永恒之蓝”来进行传播的。

　　小结：最后，从网络安全即国家安全的角度看，本次勒索病毒的肆虐暴露出我国整体缺乏针对网络安全的有效预警和紧急防护机制。当然如果大家还想了解更多相关方面的详细内容的话呢，课课家教育平台欢迎大家咨询~