网络安全能力建设:意识、管理和技术的协同

——"永恒之蓝"勒索蠕虫爆发事件引发的思考(来源:《信息安全研究》,2017年第8期)2017年5月12日,一个名为WannaCry的勒索蠕虫病毒在全球大范围传播,波及100多个国家和地区,包括政府部门、教育、医院、能源、通信、制造业等多个行业的数十万用户的网络和电脑受到攻击感染.
这是一次波及全球、影响恶劣、危害严重的网络安全事件.
勒索软件以前出现主要通过电子邮件等社交工程学方式传播,这一次是蠕虫技术和勒索软件结合,所以传播感染的速度很快,影响面大,造成的后果影响也较为严重.
事件发生以来,业界反应极为迅速,一批网络安全企业和科研单位通过官方网站和社交媒体等多种渠道,不断更新发布威胁动态,共享技术情报,及时发布技术保护措施和应对方案;政府部门和专业机构也及时发布公告和处置指南,增进了社会公众的关注度,加强了对基本防护信息的认知,降低了本次事件的影响程度.
由于各方应对及时,"永恒之蓝"勒索蠕虫爆发在第2天(周六上午)达到高峰后,感染率快速下降,周一工作日并未出现更大规模的爆发,总体传播感染趋势得到快速控制.
对这次事件,个人有几点感受,分享出来,请大家批评指正.
"永恒之蓝"安全事件解决方案时间排序1)预警提示:2017年4月期间,微软以及国内的主要安全公司都已经提示客户升级微软的相关补丁修复"永恒之蓝"漏洞,部分IPS技术提供厂商也提供了IPS规则阻止利用"永恒之蓝"的网络行为.
2)开始:2017年5月12日下午,病毒爆发.
3)围堵:2017年5月12日爆发后几个小时,大部分网络安全厂商包括360企业安全、安天、亚信安全、深信服等均发出防护通告,提醒用户关闭445等敏感端口.
4)补漏:2017年5月13日,微软总部决定公开发布已停服的XP特别安全补丁;国内瑞星、360企业安全、腾讯、深信服、蓝盾等均推出病毒免疫工具,用于防御永恒之蓝病毒.
5)分析:2017年5月13日晚,来自英国的网络安全工程师分析了其行为,注册了MalwareTech域名,使勒索蠕虫攻击暂缓了攻击的脚步.
6)删除文件恢复:2017年5月15日,厂商陆续发布"文件恢复"工具,工作机制本质上是采用"删除文件"恢复原理/机制,即恢复"非粉碎性删除文件".
7)侥幸解密恢复:2017年5月20日,阿里云安全团队推出"从内存中提取私钥"的方法,试图解密加密文件;生效的前提是中毒后电脑没重启、中毒后运行时间不能过长(否则会造成粉碎性文件删除).
8)未知变种预防:2017年5月20日至今,亚信安全等网络安全公司推出基于该病毒行为分析的病毒防护工具,用于预防该病毒变种入侵.
9)2017年6月2日,国内网络安全企业找到了简单灵活的、可以解决类似网络攻击(勒索病毒)方法的防护方案,需要进一步软件开发.
"永恒之蓝"事件处理表现我国网络安全综合能力的提升1)我国网络安全产业有能力应对这次"永恒之蓝"勒索蠕虫事件在事件爆发之前,早在4月15日,NSA泄漏永恒之蓝利用工具,国内不少主力网络安全企业就针对勒索软件等新安全威胁进行了技术和产品的准备,例如深信服等部分企业就提取了永恒之蓝的防护规则,并部分升级产品;还有部分企业识别并提前向客户和社会发布了预警信息,例如,在这次事件爆发时,亚信安全等网络安全企业保证了客户的"零损失".
在5月12日事件发生后,国内网络安全企业积极行动,各主要网络安全企业都进行了紧急动员,全力应对WannaCry/Wcry等勒索病毒及其变种的入侵,帮助受到侵害的客户尽快恢复数据和业务,尽量减少损失.
同时,也积极更新未受到侵害客户的系统和安全策略,提高其防护能力.
360企业安全集团、安天等公司及时发布病毒防范信息,并持续更新补丁工具.
此次"永恒之蓝"勒索蠕虫被迅速遏制,我国网络安全企业发挥了重要作用,帮助客户避免被病毒侵害而遭受损失,帮助受到感染的客户最大限度地减少损失.
2)我国网络安全防护组织架构体系科学、组织协调得力随着《中国人民共和国网络安全法》的颁布实施,我国已经初步建立了一个以网信部门负责统筹协调和监督管理,以工信、公安、保密等其他相关部门依法在各自职责范围内负责网络安全保护和监督管理工作的管理体系.
既统筹协调又各自分工,我国的网络安全管理体系在应对此次事件中发挥了重要作用.
依照相关法律规范,在有关部门指导下,众多网信企业与国家网络安全应急响应机构积极协同,快速开展威胁情报、技术方案、发布通道、宣传资源、客户服务等方面的协作,有效地遏制住了事态发展减少了损失.
"永恒之蓝"安全事件中暴露的问题1)网络安全意识不强,对安全威胁(漏洞)重视不够2017年4月14日,ShadowBrokers再次公布了1批新的NSA黑客工具,其中包含了1个攻击框架和多个Windows漏洞利用工具.
攻击者利用这些漏洞可以远程获取Windows系统权限并植入后门.
针对此次泄露的漏洞,微软提前发布了安全公告MS17-010,修复了泄露的多个SMB远程命令执行漏洞.
国内网络安全厂商也提前发布了针对此次漏洞的安全公告和安全预警.
但是国内大部分行业及企事业单位并没有给予足够的重视,没有及时对系统打补丁,导致"永恒之蓝"大范围爆发后,遭受到"永恒之蓝"及其变种勒索软件的攻击,数据被挟持勒索,业务被中断.
在服务过程中发现,大量用户没有"数据备份"的习惯,这些用户遭受"永恒之蓝"攻击侵入后,损失很大.
2)安全技术有待提高(安全攻防工具)继2016年8月黑客组织ShadowBrokers放出第1批NSA"方程式小组"内部黑客工具后,2017年4月14日,ShadowBrokers再次公布了1批新的NSA黑客工具,其中包含了1个攻击框架和多个Windows漏洞利用工具.
攻击者利用这些漏洞可以远程获取Windows系统权限并植入后门.
我国在网络安全攻防工具方面的研发与欧美国家相比还存在较大差距,我国在网络安全漏洞分析、安全防护能力上需进一步加强.
3)勒索蠕虫入侵一些行业和单位表明不少单位的安全运维水平较低实际上,防御这次勒索蠕虫攻击并不需要特别的网络安全新技术,各单位只需要踏踏实实地做好网络安全运维工作就可以基本避免受到侵害.
具体而言,各单位切实落实好安全管理的基础性工作——漏洞闭环管理和防火墙或网络核心交换设备策略最小化,就可以基本防御此次安全事件.
在漏洞管理中运用系统论的观点和方法,按照时间和工作顺序,通过引入过程反馈机制,实现整个管理链条的闭环衔接.
也就是运用PDCA的管理模式,实现漏洞管理中,计划、实施、检查、改进各工作环节的衔接、叠加和演进.
要尽力避免重发现、轻修复的情况出现.
及时总结问题处置经验,进行能力和经验积累,不断优化安全管理制度体系,落实严格、明确的责任制度.
需要从脆弱性管理的高度,对系统和软件补丁、配置缺陷、应用系统问题、业务逻辑缺陷等问题进行集中管理.
通过这些规范、扎实的工作,切实地提升安全运维能力.
基础工作做到位,防护能力确保了,可以有效避免大量网络安全事件.
提高我国网络安全防护能力的几点建议1)完善隔离网的纵深防御,不能一隔了之——内网没有免死金牌!
这次事件的爆发也反映出不少行业和单位的网络安全管理意识陈旧落后.
部分决策者和运维管理人员盲目地认为网络隔离是解决安全问题最有效的方式,简单地认为只要采取了隔离方案就可以高枕无忧.
一些单位在内网中没有设置有效的网络安全防护手段,一旦被入侵,内网可谓千疮百孔、一泻千里.
部分单位的内网甚至还缺乏有效的集中化管理手段和工具,对于网络设备、网络拓扑、数据资产等不能实现有效的统一管理,这给系统排查、业务恢复、应急响应都带来了很大的困难,也大幅度地增加了响应时间和响应成本.
这次事件中一些使用网络隔离手段的行业损失惨重,这种情况需要高度警醒.
习近平总书记在4·19重要讲话中专门指出:"'物理隔离'防线可被跨网入侵,电力调配指令可被恶意篡改,金融交易信息可被窃取,这些都是重大风险隐患.
"一定要破除"物理隔离就安全"的迷信.
随着IT新技术的不断涌现和信息化的深入发展,现实中的网络边界越来越模糊,业务应用场景越来越复杂,IT系统越来越庞大,管理疏忽、技术漏洞、人为失误等都可能被利用,有多种途径和方法突破隔离网的边界阻隔.
网络隔离不是万能的,不能一隔了之,隔离网依然需要完善其纵深防御体系.
在网络安全建设和运营中,一定要坚持实事求是的科学精神.
在全社会,特别是在政府、重点行业的企事业单位各级领导应树立正确的网络安全观仍是当今重要的紧迫工作.
2)强化协同协作,重大紧急网络安全事件中进一步发挥国家队的作用面对日益复杂的网络空间安全威胁,需要建立体系化的主动防御能力,既有全网安全态势感知和分析能力,又有纵深的响应和对抗能力.
动态防御、整体防御才能有效地应对未知的安全威胁.
体系化能力建设的关键在于协同和协作,协同协作不仅仅是在网络安全厂商之间、网信企业之间、网络安全厂商与客户之间、网信企业与专业机构之间,国家的相关部门也要参与其中.
国家的相关专业机构,如国家互联网应急中心(CNCERT)等应在其中承担重要角色.
在安全事件初期,各种信息比较繁杂,可能存在不准确的信息.
建议国家信息安全应急响应机构作为国家队的代表,在出现重大安全事件时,积极参与并给出一个更独立、权威的解决方案,必要时可以购买经过验证的第三方可靠解决方案,通过多种公众信息发布平台,免费提供给社会,以快速高效地应对大规模的网络攻击事件.
3)进一步加强网络安全意识建设和管理体系建设①三分技术、七分管理、十二分落实.
安全意识和责任制度是落实的基本保障.
②加强网络安全检查机制.
加强对国家关键基础设施的安全检查,特别是可能导致大规模安全事件的高危安全漏洞的检查.
定期开展网络安全巡检,把网络安全工作常态化.
把安全保障工作的重心放在事前,强化网络安全运营的理念和作业体系,把网络安全保障融入到日常工作和管理之中.
③采用科学的网络安全建设模型和工具,做好顶层设计,推进体系化和全生命周期的网络安全建设与运营.
尽力避免事后打补丁式的网络安全建设模式,把动态发展、整体的网络安全观念落实到信息化规划、建设和运营之中.
④安全建设不要仅考虑产品,同时要重视制度、流程和规范的建设,并要加强人的管理和培训.
⑤加强网络安全意识教育宣传.
通过互联网、微信、海报、报刊等各种形式的宣传,加强全民网络安全意识教育的普及与重视.
在中小学普及网络安全基础知识和意识教育.
借助"国家网络安全宣传周"等重大活动,发动社会资源进行全民宣传教育,让"网络安全为人民、网络安全靠人民"的思想深入人心.
4)进一步加强整体能力建设①切实落实4·19讲话精神,加快构建关键信息基础设施安全保障体系,建立全天候全方位感知网络安全态势的国家能力与产业能力,增强网络安全防御能力和威慑能力.
不仅要建立政府和企业网络安全信息共享机制,同时要积极推进企业之间的网络安全信息共享,探索产业组织在其中能够发挥的积极作用.
②加强网络安全核心技术攻关.
针对大型网络安全攻击,开发具有普适性的核心网络安全关键技术,例如可以有效防御各类数据破坏攻击(数据删除、数据加密、数据修改)的安全技术.
③完善国家网络安全产业结构.
按照国家网络安全战略方针、战略目标,加强网络某些安全产品(安全检测、数据防护等)的研发.
④加强网络安全高端人才培养.
加强网络安全高端人才培养,特别是网络安全管理、技术专家培养,尤其是网络安全事件分析、网络安全应急与防护,密码学等高级人才的培养.
⑤加强网络安全攻防演练.
演练优化安全协调机制,提高安全技能和安全应急响应效率.
5)加强对网络安全犯罪行为的惩罚依法对网络安全犯罪行为进行处罚,提高取证能力和执法力度,加大对网络安全犯罪行为的威慑力.
借助跨国司法专项合作,打击国际网络犯罪行为.
"永恒之蓝"勒索病毒攻击是首次把勒索软件与蠕虫病毒结合起来,这也充分展示了网络攻击将多种攻击技术结合、复杂度和攻击强度增加、传播更加快速等趋势.
潘多拉盒子已经打开,未来将面临更加复杂、更多样的网络空间威胁,未知的隐匿威胁是更加致命的挑战.
提升全社会的网络安全意识,建立整体的主动防御能力,是保障网络空间安全的重要举措.
(作者:陈兴跃)