天行新聞

嚴控邊界,扼住勒索病毒WannaCry的咽喉

2017512日,勒索蠕蟲病毒WannaCry利用NSA“永恒之藍EternalBlue漏洞,通過互聯網對全球運行Windows操作系統的計算機進行爆發式攻擊,短短幾小時內即感染全球,僅我國就有數百萬臺設備被感染,對高校、能源、醫療、政府機構等多個行業領域造成了無法修復的損壞,經濟損失無法估量。

回顧本次病毒肆虐事件,WannaCry病毒在短時間內在全球迅速傳播,進而對我國某些教育機構、大型能源企業的內部網絡和政府機構內部專網造成了嚴重破壞。

WannaCry蠕蟲病毒利用Windows系統在445等高危端口漏洞,通過自我復制主動感染進行傳播,受害主機內所有文件將被加密,需要支付比特幣進行解密,否則文件將被徹底刪除。我國曾經有過蠕蟲病毒在公共網絡中肆虐的慘痛教訓,因此網絡運營商對個人用戶封閉了445等高危端口,所以本次病毒攻擊并未對接入互聯網的個人計算機造成過多損壞。反而對政府、大型企事業單位的內部網絡造成了嚴重破壞,不得不反思我們的安全防御手段究竟是哪里出了問題?

大型專網網絡邊界防御

校園網沒有嚴格的邊界管理措施,管理相對開放,筆者大學時宿舍就有2個網絡接入點,接入運營商網絡可以游戲、看視頻,接入教育網可以進行文獻檢索、分享資源。因此教育網絡被入侵的過程可能是——某臺被病毒感染的計算機設備(通過釣魚郵件等社工手段被感染)接入校園網,造成了病毒的瘋狂傳播。

而大型企業、政府機構內網都已采取了嚴格的安全防控措施,為何仍成為此次病毒肆虐的重災區呢?大型企業、政府機構內網具有覆蓋區域廣、終端用戶多、應用復雜等特點,管理如此規模的網絡,除了建立完善的管理制度、齊備的防護設備,更重要的是制度的執行和設備的維護,筆者分析了部分受害用戶的網絡防護體系,推測企業和政府內網被入侵的原因:

1、企業和政府機構內網嚴格限定計算機終端和移動載體的使用,但不排除部分人員心存僥幸,違規交叉使用計算機或移動載體,導致病毒侵入內網;

2、“互聯網+”建設如火如荼,管理者很容易忽略了同步提升安全邊界防護措施,導致在內網邊界上暴露了如445這樣的高危端口,存在違規的代理通道,甚至將內網直接和互聯網相連接,病毒通過這些通道侵入內網;

3、內網終端維護不及時,未及時安裝最新系統補丁,也是導致病毒擴散的重要原因。

嚴控邊界,扼住病毒的咽喉

本次事件對大型企業和政府機構內部網絡安全建設與管理帶來了慘痛的教訓?!巴鲅蜓a牢,未為遲也”,我們該如何“扎好籬笆”,抵御未來可能的威脅呢?筆者采訪了北京天行網安信息技術有限責任公司技術總監李志鵬先生,李志鵬作為我國安全隔離網閘發明人,曾多次參與我國電子政務網絡安全技術規范的起草工作。

明確邊界,主動防御

大型企業、政府機關網絡應建立明確的網絡邊界,明確接入對象和交互模式,采用符合國家技術標準的網絡安全隔離與防護設備,構建網絡邊界防御體系。根據接入對象和數據交互需求的不同,針對性制定嚴格的邊界數據進出策略,阻斷基于網絡協議的訪問、探測和掃描行為。特別是“互聯網+”業務,應當僅允許靜態數據出入網絡,并制定全面和有效安全監測與過濾策略,嚴禁存在內網和互聯網間的協議通道和訪問行為。對于某些大型專網,這次WannaCry蠕蟲病毒攻擊造成的影響,就是邊界防御策略未嚴格實施的緣故。

集中管理,策略統一

大型企業、政府機關網絡覆蓋區域廣,網絡邊界接入點眾多,需貫徹統一的安全策略,監測邊界出入數據,管理網絡邊界上的各類設備,建設集中管理中心,下發安全策略與收集邊界狀態信息,及早發現邊界上的違規業務,保障邊界防護體系的穩定運行。

網絡安全威脅不斷變化,防御措施需要持續投入和改進完善,網絡邊界作為內部網絡的首道防線,應嚴防死守,扼住病毒入侵的咽喉,我們不必因為本次的肆虐就否定現有防御手段,而是立刻收拾戰場,完善并重新建立新的防線。

加強監測,立體防御

目前網絡安全威脅發展趨勢來看,水漲船高,防御措施再嚴格,也有掛一漏萬的情況發生,千里之堤毀于蟻穴。對于大型專網來說,這是難以避免的。而一旦網絡病毒進入內網,將會如入無人之境,快速傳播。因此,在嚴格實施邊界防范措施的基礎上,還要立足于已經被入侵的假設前提,在內網采取積極防御措施,主動布防,內外結合,形成立體化安全體系。

 

公司動態

 
学什么计算机技能能赚钱