吴秋玫

摘 要“WannaCry”勒索病毒已爆发了近2个月，针对这次事件，本着实事求是的理念，笔者细致地探讨分析了该事件所揭露出来在信息安全运维中存在的不足，并针对这些问题，提出了后续的改进方向和措施。

【关键词】勒索病毒 信息安全 运维 改进措施

1 背景

“WannaCry”勒索病毒是通過二次开发框架在美国国安局（NSA）开发的网络战武器“永恒之蓝”侵入模块（永恒之蓝侵入模块是美国国安局开发的网络战武器，并利用长达5年之久。而该武器泄露后被Shadow Brokers 黑客组织于2017年4月进行披露公布）上加入了加密和勒索显示功能，从而实现对用户磁盘数据的加密和经济勒索。2017年5月初，该病毒在全球的爆发给全球多国政府、企业机构以及个人带来了一次负面的震撼教育。通过这次事件所造成的影响，清晰的揭露出了我们在信息安全运维中存在的不足。如图1所示。

2 存在问题

首先我们分析这次“WannaCry”勒索病毒引出的四个技术层面的问题。

2.1 漏洞补丁管理不到位

据2017年1月16日Shavlik公司发布的调查报告中显示，59%的受调查者表示每月用于补丁和漏洞管理的时间少于8个小时。由此我们看到，尽管绝大多数用户都意识到漏洞管理的重要性，但在实践过程中，投入的精力和资源并没有相应的重视。此外，用户往往更多依赖于厂家或服务商来告知漏洞的修补。而在用户真正动手实施修补的时候，以下几个因素又往往影响到修补工作的时间进度和完成度。

（1）漏洞的危害及可利用程度；

（2）补丁的修补容易程度；

（3）受影响系统/软件的数量；

（4）受影响系统/软件的重要程度；

（5）受影响系统/软件的使用频率。

正是由于以上诸多因素的存在，使得用户IT业务环境中的漏洞修补时间与漏洞发布时间总是存在一定的时间差。在本次事件中，微软公司其实早在2017年3月就公布了针对“永恒之蓝”的漏洞补丁：MS17-010，但是由于企业机构中存在的漏洞补丁修补滞后的情况，该漏洞补丁并没有得到及时的修补，导致黑客利用漏洞发现和补丁修补之间的时间差进行了大肆的攻击和破坏。

此外，我们还应看到黑客团体针对零日和高危漏洞的开发和利用速度极快。以2015年6月23日发布的Adobe Flash应用软件CVE-2015-3113为例，黑客团体在一周内就在Magnitude、Angler、Nuclear、RIG、Neutrino漏洞利用平台上集成了该漏洞，其中最快的为Magnitude，4天后就进行了发布。两相对比，可以看到面对漏洞威胁，大多数企业总是落后黑客半拍。

2.2 用户安全意识薄弱

勒索病毒往往利用钓鱼邮件进行侵入。当前的钓鱼邮件通常采取点击诱骗、提供登录入口、内嵌附件、持续性欺骗以及高度定制化的方式来诱骗邮件接收者。而邮件接收者出于好奇、害怕和紧急这三个最主要的人为感情因素而遭遇欺诈。根据统计，在互联网中每125封邮件中就有1封邮件含有恶意软件。在2016年中，垃圾邮件及内含恶意软件的垃圾邮件数量都有上升。用户安全意识薄弱是导致钓鱼邮件实施成功的主要原因，当前很多机构都没有定期开展对员工的安全意识培训，培训内容没有针对性，没有把安全意识考核纳入绩效考核。如图2所示。

另外，正是由于部分个人和机构向勒索者的妥协，使得勒索软件的数量剧增。2015年针对个人消费者的勒索攻击占到总攻击的57%，针对机构的攻击为43%。Symantec公司在2014年新增发现77个家族，但在2015年则新增发现了100个家族。在以数据为核心的信息时代，数据已成为机构、个人正常运转的基础。所以当数据受到威胁时，很多机构和个人为了不造成更大的损失，只好向勒索者妥协，支付赎金赎回数据。

2.3 对网络应用的管控不严

“WannaCry”病毒在传播中利用了主要利用139，445端口进行传播感染。这2个端口涉及到网络共享、网络共享打印的应用。在互联网中，运营商已对个人关闭了这些端口，但在局域网中一些机构和个人对这2个端口和其它关联端口的管控不严，存在随意开启网络共享的情况，结果导致病毒的传播和侵入。

2.4 使用停止维护的操作系统

尽管微软公司的个人桌面终端操作系统已经更新到win10，并早已停止对windowsXP操作系统版本的漏洞补丁修补维护，但是我们看到windowsxp系统仍然被一部分个人用户和企业用户所使用。根据市场研究公司Net Applications的统计截至2016年6月仍有9.78%的全球用户使用windows xp系统。如图3所示。

对于仍在继续使用已经停止维护更新的操作系统的用户而言，在没有其他安全辅助措施（如前置的网络入侵防护设备、本机安装杀毒软件）的情况下，意味着其因后续漏洞的发现而遭遇入侵的可能性几乎是100%。针对本次事件，微软公司的发言人就发表声明声称：微软已发布了Win32.WannaCrypt，对抗恶意软件Ransom。但相当一部分用户因为使用XP系统或更老的系统，或者关闭了微软升级推送，导致PC在高风险状况下运行。

3 解决建议

根据以上信息安全运维中存在的问题，我们认为对于企业机构而言，今后应该在以下方面加强信息安全建设。

3.1 完善漏洞安全闭环管理

企业需要建立包括IT资产管理、安全漏洞发送与处置跟踪、安全漏洞定期评估检测、安全漏洞威胁情报引入、安全漏洞补丁修补与验证在内的安全漏洞闭环管理手段和机制。通过闭环管理，实现对IT资产的全方位掌握，了解安全漏洞对所属IT资产的影响面和影响程度，减少漏洞发布与补丁修补之间的时间差，最大程度降低因安全漏洞未及时修补而遭受入侵攻击的可能性。

3.2 定期安全意识培训

企业需要定期对企业员工开展信息安全意识培训，在培训内容中应该尽可能关注和讲解最新的安全威胁手段，让员工掌握一些日常工作中应知、应会的信息安全知识及操作方法。此外，建议通过不定期的内部安全测试来验证和考核员工的安全意识，这种安全测试可以聘请专业第三方以不公开的方式进行，也可以由内部机构通过书面考试等方式实现，其核宗旨就是让每一员工都能具有最基本的信息安全意识，确保本人岗位范围内所有数据的安全。

3.3 提升未知威胁安全检测能力

鉴于目前基于特征码、特征库的传统安全防护手段无法检测和识别利用0day漏洞和特殊恶意代码进行攻击的情况，建议增加通过沙箱运行检测、威胁情报获知等方式和手段来提升对未知威胁的感知及检测阻断。在这其中尤其需要加强网络的未知威胁安全检测以及邮件系统的未知威胁检测。

3.4 加强网络安全基线管控

建议定期开展网络安全评估和资产梳理，对网络行为、网络应用、网络安全配置制定安全基线，杜绝网络中开启不必要的端口和应用、避免出现弱口令等危险安全配置，降低网络入侵攻击的攻击面和攻击途径。

3.5 淘汰和更新陈旧操作系统

建议对机构中存在的陈旧windows操作系統进行系统更迭或将原有单机系统部署使用的方式更替为瘦客户机或云桌面的方式。但是以上的方式中如将陈旧windows系统进行更迭将存在着投入费用巨大的情况（购买正版）。而廋客户机和云桌面的方式将意味着使用习惯的改变以及可能的业务运行模式变更。因此以上方式在实践中需要斟酌考量。

4 结束语

“WannaCry”勒索病毒尽管已过去近一个多月，但是该病毒暴露出了部分企业机构在未建立漏洞闭环管理、安全意识教育不到位、缺乏有效应对未知威胁检测的手段、网络安全基线管控不严以及使用已无厂商维护的操作系统这些方面存在的信息安全运维问题。因此，企业应该吸取此次事件给予的教训和经验，立即着手解决以上安全问题，弥补信息安全管理手段和机制上的漏洞，进一步提升信息安全管控能力。

参考文献

[1]https：//intel.malwaretech.com/WannaCrypt.html.

[2]http：//www.realwire.com/releases/Shavlik-and-AppSense-survey-Security-and-patch-management.

[3]“Enterprise Phishing Susceptibility and Resiliency Report 2016”.

[4]“Cisco 2017 Annual Cybersecurity Report”.

[5]http：//geek.csdn.net/news/detail/88195.

作者单位

云南电网有限责任公司普洱供电局 云南省普洱市 665000