【IT168 评论】5月12日,全球爆发大规模WannaCry勒索病毒感染事件,此次病毒影响之大、传播之快,更像是一场网络空间战的预演。得意于各大安全厂商及时对勒索病毒事件做了详尽的应急处理指南,在病毒肆虐两天后得到了有效的控制和削减。细数国内各大厂商给出的应急指南,无外乎打补丁、关端口、加策略等看似基础不能再基础的安全防护加固方案,可见网络安全无银弹,增强安全意识、夯实基础、策略落地是关键。本文将从事件反思的角度阐明增强安全意识、夯实安全基础的重要性和一些具体落地方法,希望能给读者或企业带来一些启发。
一、勒索病毒到底是怎么回事
互联网上关于WannaCry勒索病毒的介绍、分析、应对等相关的文章已经铺天盖地,但我相信广大非专业人士不一定能读懂看明白。接下来,我先通过一个类比的方式给大家讲讲此次勒索病毒事件的前世今生。
【专业人士直接跳过此段】 小C家里买了一个W牌的保险柜,里面存放了小C的一些重要证件,突然有一天,某职业开锁公司SB在网上公布了W牌的保险柜存在一个严重后门,并将如何通过后门开启或破坏保险柜的方法公布于众。W牌的保险柜公司还是算良心企业,及时发布了封堵后门的方法,并告知其用户尽快按照方法进行加固各自的保险柜。可小C还有大量的W牌的保险柜用户觉得保险柜放在家里有后门也没啥事,并没有及时加固保险柜。时隔一个多月之后,一个叫WC的坏蛋通过小C家窗口的一个小洞溜到了家里,并按照SB公司的方法打开了小C的W牌保险柜,并对保险柜中的重要文件用密码锁给锁上了,同时还给小C留了个小字条:给我比特币账号(非实名,无法追溯)打300刀美元,密码锁会自动打开,否则一周后密码锁失效,被锁上的重要证件永远无法打开。然后,小C上网想百度一下看看有没有什么解决办法,但令他伤心欲绝的是各路专家都表示打开WC的锁基本没戏,可能唯一让小C有点欣慰的是不止他一个受害者,全球有数以千万跟他一样的受害者。再然后,小C开始嚎啕大哭,还不停的骂:坏蛋该死!坏蛋该死!
勒索病毒懂不懂没关系,上面的故事能读懂就好啦。在现实生活中,企业的围墙、窗户的小洞还有保险柜的后门想必都会很重视,有问题都会及时的修复和加固。但对应到网络环境中,一些系统的漏洞补丁却不能及时的修补,网络边界敞口不能有效缩紧和控制是很常见的现象,这也是造成此次勒索病毒感染事件的主要原因之一。
二、勒索病毒带给我们的反思
系统漏洞补丁未及时修复,企业边界敞口未有效缩紧和控制是造成此次勒索病毒感染事件的罪魁祸首,但不难分析,这跟企业员工安全意识和企业安全信息安全防护基础不扎实、不落地有很大关系。因此,当前企业信息安全工作还需要在增强员工安全意识,夯实安全防护基础以及安全策略落地等方面加大重视并增加相应投入。
1、增强员工安全意识
毋庸置疑,数据、信息已经成为一个企业最核心资产之一,特别是一些大中型企业已经认识到了信息安全对于企业发展的重要性,并逐年增加网络安全项目的经费投入;通过参加各种培训机构的培训努力提升IT人员的信息安全水平和能力,成立专门的信息安全组织和团队,任命信息安全总监去把好企业“信息安全的大门”。但尽管这样,信息安全事件仍然层出不穷。企业应该深刻的认识到,企业信息安全问题不是能够通过单一的安全管理系统、安全设备等方式和手段可以解决的,不是只需要培养专业的安全人员就可以疏而不漏,随着企业云计算、移动应用、BYOD等应用场景的兴起和普及,企业信息安全威胁的敞口越来越大,企业任何一员均有可能为企业带来叫严重的信息安全事件。正如此次勒索病毒在很多企业内网疯狂传播,但其源头很有可能是某些安全意识薄弱的员工携带感染了该病毒的笔记本电脑带入公司并接入了企业内网,从而开始在内网进行肆无忌惮的传播开来。
企业的所有员工都不同程度的管理着企业的各种数据,企业应该加强安全意识教育,建立信息安全文化,以下是收集的一些好的实例,供大家参考借鉴:
√制作企业信息安全意识动画,在企业楼道、大厅等场所进行播放
√制作企业信息安全意识手册,发放给企业每一位员工进行深入学习
√制作一些形象、生动、活波的信息安全意识海报
√定期制作一些信息安全意识相关的电子刊物
√定期组织信息安全意识培训和专题讲座
2、夯实安全防护基础,确保安全策略落地落地再落地
面对此次勒索病毒,多少企业的安全团队都是没日没夜的忙于断网、打补丁、关端口,杀病毒,据网上新闻报答,中国石油2万多座加油站在此次勒索病毒事件期间进行了紧急断网排查处理。头疼医头、脚痛医脚,这已成为企业应当信息安全问题的无赖之举,可想而知,下一次还有类似病毒攻击时,还会是这样手忙脚乱。
其实不然,专家已经指明道路,正如公安部信息安全等级保护评估中心张振峰发表题为《应对勒索病毒 等保早有要求》的文章中指出,要应对这次的勒索病毒攻击,并不需要多么高深的“解决方案”、“专用工具”、“救灾专版”,《等级保护基本要求》早就给出了指路明灯,只需要真正落实等级保护制度,根据等级保护国家标准从技术和管理连个方面落实好信息系统的基线安全要求,根据要求做好防护策略和设置,任他什么病毒都会遁于无形。
作为企业安全管理者看着这里估计笑了,不对,也有可能是哭了。等级保护、防护策略说起来容易、落地难啊!多的不说,就举两个具体的例子吧,来看看等级保护和防护策略落地的难度和可行性。第一,等保要求“操作系统应遵循最小安全的原则”,一个大型企业少则上千台PC主机,多则数万台,当然这还不包括员工办公PC,全都按这个标准去执行或检查的话可想难度之大。第二,大型企业安全运维管理团队维护着数百台域间防火墙,防火墙上的策略经过多年累积达到上万条可谓毫不夸张,要逐一梳理检查缩紧策略、关闭无用策略也只能停留在想象层面了。
类似上述安全策略落地难的问题不胜枚举,不过作为企业安全管理者也不是就完全束手无策了,俗话说“工欲善其事必先利其器”,好在当下不乏一批专注在协助企业解决一些基础信息安全防护和策略落地的信息安全厂商提供了一些相关产品和工具。
北京安博通公司就是典型代表之一,该公司一直专注通过可视化的理念和技术协助企业客户解决一些基础信息安全问题。2017年,该公司新发布的流量安全可视平台与安全策略可视化两款产品将更大程度协助企业做好等级保护基本要求落地、安全策略落地的工作,同时在企业全网异常流量分析和监控、用户异常行为分析、安全域基础架构可视化、安全路径可视化分析、防火墙安全策略梳理和优化等方面均能给客户提供极大的便利,下面可以简单列举几个应用场景。
1) 通过防火墙策略管理和分析功能,对防火墙上配置的一些宽松策略、冗余策略、空策略等进行优化,实现防火墙策略最小化,缩小企业IT资产攻击面
2) 通过安全域基础架构可视化功能以及策略基线矩阵设定与监控,及时发现违规路径并进行封堵,让域间隔离不在停留在网络规划图上
3) 通过安全路径可视化分析与查询功能,可以轻松查找哪些核心业务开通了特定端口号,哪些区域或网段能访问到核心资产,从而全面掌握重要信息系统与核心关键数据的安全性和风险点。
三、总结
此次勒索病毒影响之大、传播之快,2天之内席卷全球100多个国家,必将列入信息安全史册。广大企业在紧密锣鼓修补完补丁、更新防火墙策略后,一方面可以借助此次事件进行全员信息安全意识教育,增强员工安全意识;另一方面也可以多关注并采用一些辅助企业等级保护基本要求与安全策略落地的产品和工具,做好企业基础安全防护工作。总之,网络安全无银弹,增强安全意识、夯实基础、策略落地是关键。