【51CTO.com原創(chuàng)稿件】5月12日晚上8點開始肆虐的“蠕蟲”式勒索病毒軟件攻擊事件仍在持續(xù)發(fā)酵，雖然5月15日工作日第一天并沒有爆發(fā)預(yù)期中的攻擊高峰，但是該勒索軟件還在傳播，攻擊范圍仍在緩慢擴散。

　　記者發(fā)現(xiàn)，目前網(wǎng)絡(luò)安全廠商應(yīng)對措施主要分為兩種，一種是下載微軟補丁，更新病毒庫，例如金山安全軟件、360、Mcafee紛紛更新病毒庫，有的還提供了修復(fù)工具;另一種是利用防火墻端口控制，將445端口隔離，例如亞信安全、賽門鐵克，就采取封堵端口，有的還采取加裝IPS措施。

　　不可否認(rèn)，這些措施是有效果的，“WannaCry”勒索軟件沒有在周一發(fā)生更大規(guī)模爆發(fā)，與安全廠商提供的這些補救措施有莫大關(guān)系。但是我們也必須看到，正是這次“蠕蟲”式勒索病毒軟件攻擊事件，暴露出傳統(tǒng)殺毒軟件的軟肋——永遠(yuǎn)慢人一步，只能被動防御。

　　記者第一時間想到了Sophos 公司，這家有著30 年防病毒和網(wǎng)絡(luò)防護(hù)經(jīng)驗的老牌安全廠商，2年前曾在全球推出首款反勒索軟件產(chǎn)品。那么Sophos的反勒索軟件經(jīng)受住本次考驗了嗎?他們采取的安全措施與其他安全廠商有何不同?Sophos的安全策劃是否可以為其他安全廠商所借鑒?記者采訪了Sophos中國總經(jīng)理鐘明輝、高級工程師李黎，請他們分享了對本次事件的觀點與深度思考。

[[191474]]

Sophos中國總經(jīng)理鐘明輝

　　鐘明輝告訴記者，就目前中國市場而言，凡是部署了Sophos反勒索軟件產(chǎn)品的用戶，目前沒有被勒索軟件攻擊的反饋。

　　為什么WannaCry會攻擊成功?

　　人們現(xiàn)在已經(jīng)了解，WannaCry 勒索軟件是利用了微軟在445 端口的MS17-010漏洞傳播擴散的。然而，就在今年3月，微軟已經(jīng)發(fā)布了該漏洞的補丁，那么在大多數(shù)企業(yè)都已經(jīng)部署了安全產(chǎn)品的現(xiàn)狀下，為什么勒索軟件還是能成功進(jìn)入?

　　高級工程師李黎認(rèn)為成功進(jìn)入的最主要的原因是，攻擊者成功地使用了釣魚郵件，利用社會工程學(xué)方式，勒索軟件從這個途徑進(jìn)入內(nèi)部網(wǎng)絡(luò)。

　　其次，本次勒索軟件，與以往勒索軟件不同，其嵌套了一個黑客攻擊工具，利用微軟操作系統(tǒng)445端口漏洞，從被感染主機對內(nèi)部其他主機進(jìn)行了蠕蟲式傳播。內(nèi)部的不同網(wǎng)絡(luò)通訊區(qū)域間，沒有屏蔽掉用于內(nèi)部網(wǎng)絡(luò)共享的445端口，防火墻策略形同虛設(shè)，而且操作系統(tǒng)補丁更新不及時。雖然不少企業(yè)IT管理員已經(jīng)認(rèn)識到及時更新補丁的重要性，但是打補丁后的系統(tǒng)穩(wěn)定性，業(yè)務(wù)可用性都需要時間與精力去評估，因此打補丁執(zhí)行力度上大打折扣。因此，綜合因素混雜在一起，就出現(xiàn)了用戶內(nèi)網(wǎng)被大規(guī)模攻陷的情況。

　　第三， 缺乏先進(jìn)的預(yù)見性防御技術(shù)。勒索軟件的出現(xiàn)暴露了傳統(tǒng)殺毒軟件的“軟肋”，勒索軟件不是傳統(tǒng)的病毒，而是有針對性的惡意程序，并開始借助黑客工具、利用系統(tǒng)高危漏洞來快速傳播。這是非常典型的零日威脅攻擊。

　　為什么Sophos能防得住?

　　記者了解到，Sophos這款反勒索軟件產(chǎn)品叫做Sophos Intercept X，正如鐘明輝所言，已經(jīng)部署這款產(chǎn)品的用戶，無需做任何操作即可抵御WannaCry的攻擊。為什么Sophos Intercept X可以做到主動防御零日威脅呢?

　　據(jù)李黎介紹，Intercept X是Sophos 下一代端點安全解決方案之一，主要功能就是阻止未知的零日威脅攻擊。有別于傳統(tǒng)的防病毒軟件，Sophos Intercept X不需要病毒庫的支撐，而是分析程序?qū)σ阎┒醇夹g(shù)的使用和其自身的行為，例如分析可疑程序的復(fù)雜加密行為，并迅速阻止該行為。

　　面對當(dāng)今千變?nèi)f化的勒索軟件的攻擊，Intercept X可以阻止勒索軟件對文件的持續(xù)加密。通過獨特的技術(shù)在文件遭受加密前，自動創(chuàng)建文件副本，如文件已被加密，則會還原被加密的文件。用戶沒有任何損失。

　　李黎告訴記者，雖然目前這款WannaCry軟件已經(jīng)出現(xiàn)了近20余個變種，但是萬變不離其宗，所有勒索軟件都離不開最終對文件的破壞這一行為。Intercept X就是抓住這個特征，結(jié)合獨有的高級行為分析引擎，只要發(fā)現(xiàn)程序行為異常，就立即阻斷。除此之外，Intercept X還有阻止漏洞技術(shù)被利用功能，可以阻止惡意軟件利用漏洞技術(shù)進(jìn)行入侵。“我們的軟件還會自動進(jìn)行根源分析，幫助用戶真正了解威脅是從哪里來，到哪里去，干了什么事，實現(xiàn)從開始到結(jié)束可視化攻擊鏈的呈現(xiàn)。解決管理員亡羊不知如何補牢的現(xiàn)狀。”

　　記者獲悉，英國劍橋郡的金博爾頓學(xué)校在經(jīng)歷耗時的勒索軟件攻擊后安裝了 Intercept X，現(xiàn)在Intercept X 的 CryptoGuard 技術(shù)每天可以找出約 200 次的勒索軟件攻擊意圖，并將其攔截。該學(xué)校IT技術(shù)人員Alex Bradshaw表示，Intercept X讓他從繁重安全運維操作中解脫出來，每天有更多的時間投入到日常工作中。

　　在攻擊中反思

　　鐘明輝告訴記者，針對本次勒索軟件事件的高發(fā)區(qū)之一——英國醫(yī)療系統(tǒng)，Sophos已經(jīng)發(fā)布了一條免費服務(wù)來解決這個問題。英國政府也在第一時間發(fā)布規(guī)定，要求企業(yè)除了安裝殺毒軟件以外，還要安裝反勒索軟件。

　　他指出，本次攻擊事件從另外一個角度而言，也帶來了很多反思，不論對客戶還是安全廠商，都面臨同樣的問題：倘若下一次再發(fā)生一次零日威脅攻擊，還防得住嗎?現(xiàn)有的安全架構(gòu)，是否存在紕漏?安全策略能否需要調(diào)整?有沒有比打補丁更好的解決辦法?

　　鐘明輝認(rèn)為，雖然本次勒索軟件攻擊事件給全球的企業(yè)帶來了巨大的損失，但是從損失里可以汲取教訓(xùn)，相信很多人已經(jīng)意識到，提升安全意識不應(yīng)該是為了應(yīng)付而作。“如果一名IT從業(yè)者，沒有把安全當(dāng)做所有工作的重要基礎(chǔ)，那一定會有問題的。”他強調(diào)，安全是整個IT非常重要一環(huán)，不是被動的，而是主動的。

　　曾經(jīng)很多人認(rèn)為查殺病毒是一項非常虛無的工作，看不見摸不著，但是這次數(shù)額不小的比特幣勒索，讓很多客戶突然意識到安全的價值，也開始尋求更高效的安全技術(shù)產(chǎn)品。

　　Sophos的安全產(chǎn)品之所以能夠做到快人一步，和他們始終追求新的安全防護(hù)技術(shù)這一發(fā)展策略不無關(guān)系。他們最早提出“同步安全”的理念，在幾年前就做到端點和防火墻之間的聯(lián)動，實現(xiàn)從網(wǎng)絡(luò)邊界到內(nèi)網(wǎng)端點的立體化防護(hù)。今年二月，Sophos 還收購一家具有前瞻性的新一代惡意軟件防護(hù)廠商Invincea, 透過新一代機器學(xué)習(xí)技術(shù)，用于研究如何高效追蹤、查殺病毒及惡意程序。“我們愿意將新的技術(shù)帶給客戶，傳遞更先進(jìn)的安全理念，給客戶更好的選擇。”

　　采訪的最后，鐘明輝表示，他希望越來越多的企業(yè)用戶意識到，安全應(yīng)該是網(wǎng)絡(luò)架構(gòu)初期就開始設(shè)計考慮的重要因素，一旦前期沒有意識到安全的重要性，那么后期作為補充被部署到網(wǎng)絡(luò)中，就難免出現(xiàn)漏洞，為人所趁。“安全需要規(guī)劃，這個階段越提前效果越好。”

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】