安全不要本末倒置 透过WannaCry说说安全之道 原创

半个多月前，“WannaCry”勒索蠕虫攻击如同一场“网络瘟疫”，短短两天时间内席卷全球范围百余个国家和地区，这在整个病毒发展史中是极少见的。时至今日，这场勒索蠕虫病毒带来的危害并没有消除，国家互联网应急中心（CNCERT）近日甚至发布了关于蠕虫病毒传播趋势上升的风险提示，不断有新的蠕虫变种在默默传播，整体互联网安全仍然面临巨大风险。

好在在整体产业链的协同配合下，WannaCry病毒本身在全网的传播态势得到控制，全球约304.1万个IP地址遭到此次攻击（截止5月16日上午7时，CNCERT监测分析数据），其感染终端的数量同其传播的速度和范围相比让人缓和了一丝压力。

其实勒索软件并不是新出现的木马病毒，已知最早的勒索软件出现于1989年（AIDS木马），之所以其愈演愈烈的原因一是黑客可利用的平台漏洞、传播途径在增多，二是近几年来有不少勒索软件家族因此挣的盆满钵满加大了利益驱使，三是以比特币进行勒索的方式同样规避了攻击者被追踪的风险。

有安全机构研究数据表明，在2016年就新出现了62种勒索软件家族，勒索软件攻击的频次在增多。此次WannaCry爆发如此之快的关键原因是它拥有自主传播的能力，也就是利用Windows的漏洞以蠕虫方式进行传播，这和以往勒索软件大多通过网页木马传播、电子邮件传播等截然不同。WannaCry致使一台计算机被感染，它就会设法自主传播到本地网络中的其他所有系统，即使用户没有任何操作。

WannaCry导致用户数据被加密的过程无需再多言，值得我们思考的是，在WannaCry发起攻击的近两个月前，微软已经发布了相关安全补丁（针对其支持更新的系统），以及近一个月前黑客组织影子经纪人公布了涉及此次攻击漏洞利用框架的工具包（ETERNALBLUE，永恒之蓝）。在这些预警信息前提下，WannaCry仍然让全球范围内的企业和个人猝不及防，我们不得不问，这是为什么？

在WannaCry已经肆虐整个互联网后，我们看到各种打补丁封端口的应急指南、网关防火墙配置策略、数据恢复工具等充斥着整个视线，我们常说的事前预防哪去了？面对事后的手忙脚乱同样不得不问，我们的安全防线什么时候这么脆弱了？

我们不要“本末倒置”的安全

就像华为安全网关领域总经理宋端智在接受至顶网采访时说的那样，“网络安全最重要的是预防。”这才是网络安全的“本”，如果事前安全预防做的好，有一个坚固的防线，何谈事后的手忙脚乱和承受损失。

无论事后做怎样的应急响应，威胁已经发生，即使做的再多，很多损失已经无法挽回。据介绍，此次WannaCry攻击事件中，华为安全客户并没有遭受损失，很重要的原因就是其坚持的“安全源自于防患于未然”的理念，也就是把事后的应急响应前置变为事前的安全防护。

让用户遭受攻击时没有感知，安全能力默默地为其保护了一切，这才是最有价值的。在WannaCry肆虐之时，华为沙箱展现了这一价值，它不依赖于传统签名库，而是使用虚拟执行并配合多维度的威胁分析技术，结合行为分析，准确地判断为勒索软件类恶意代码，发现传统方式无法检测的攻击。此次，华为沙箱准确地给出了WannaCry试图修改虚拟执行环境中的诱饵文件，从而阻断了其在局域网内的感染。

把未知变为已知

在很多勒索软件攻击中，终端之所以中招是因为对防御体系来说可能面临的是一个未知的攻击，这样的攻击在未来也许会逐渐增多，就像我们不知道的还未被泄露的NSA中的黑客武器库。试想，在未知攻击面前，它所带来的损失就不是如今WannaCry造成的后果了。这时候又该怎么去应对，所以只能安全防御体系第一时间把未知变成已知，才能降低它带来的危害。

怎么做到？宋端智给出了答案：在一个用户遭受未知攻击时，安全网关+沙箱+大数据安全智能分析平台，进行前端判断文件的异常行为、后端进行智能分析，联动协同识别攻击样本，快速在云端智能情报处理中心将这个未知攻击变成已知攻击，并立即通知全球所有的节点在网络上进行防御。从第一次发现该未知攻击到全球生成主动防御措施，这些过程会在15分钟内完成。

华为客户遍及全球，客户越广，意味着带来的防御效果越好。宋端智表示：“我们正在激励客户分享攻击行为和特征，以实现一人防护、全球免疫的安全防御目的，并且正在推动厂商、行业之间的威胁信息共享，以实现安全产业联动。“

让安全无处不在

众所周知，任何时候安全防御都需要一个纵深的防护体系，而不是单点防护。就像防护WannaCry一样，事实上要实现对它的攻击阻断有几种方式，网关可以升级特征库防御、终端安全软件可以进行行为监控防御、最不济终端打了补丁也可以防御，突破了任何一道防线都有其他防护接替从而进行恶意软件的阻断。

假设某一个用户没有升级IPS特征库、打补丁，当WannaCry进入其内网时，这时恶意软件“如入无人之境”，即使很快发现开启网关防护，蠕虫病毒仍会在内网自动传播泛滥。这时难道束手无策？宋端智指出，应让安全无处不在，“安全能力不仅仅在网关，除了终端，所有的网元上都应具备安全能力，这里包括交换机、路由器、无线AP等，让安全的能力在网络上充分发挥作用。”

怎么去实现？有两种方式。一是利用SDN技术通过业务发放平台，把防火墙等专业安全设备上的安全能力变成了可以被交换机等其他网络设备调用的资源池。二是将防火墙的能力直接嵌在网元之中，例如把防火墙跑在容器中，或跑在虚拟机中，作为一个应用放进路由器、交换机中。简单地理解，传统的处于网络边界的防火墙盒子变成了一个无所不在的能力、服务。

宋端智进一步解释称，“以前安全在出城的位置设了一个卡口，现在安全让所有地方都有摄像头，网元的功能变成了一是数据的采集点，也是动作如流量阻断的执行点。这恰恰是我们的优势，拥有端到端的网络和安全产品，正在形成这种无所不在的安全机制。”

此外，华为安全正在通过机器学习、人工智能的技术强化这种无处不在的安全能力。

扁鹊的故事：一个安全之道

在宋端智对WannaCry的思考中，他用一个故事解释了安全之道，这恰恰也是值得业界反思的。

神医扁鹊的医术空前绝后，而当魏文王问他：“你们兄弟三人都精于医术，谁的医术最好呢？”扁鹊却答：“大哥最好，二哥次之，我最差”。魏王不解，扁鹊说：“大哥治病，是在病情发作之前，那时候病人自己还不觉得有病，但大哥就下药铲除了病根，使他的医术难以被人认可，所以没有名气，只是在我们家中被推崇备至。我的二哥治病，是在病初起之时，症状尚不十分明显，病人也没有觉得痛苦，二哥就能药到病除，使乡里人都认为二哥只是治小病很灵。我治病，都是在病情十分严重之时，病人痛苦万分，病人家属心急如焚。此时，他们看到我在经脉上穿刺，用针放血，或在患处敷以毒药以毒攻毒，或动大手术直指病灶，使重病人病情得到缓解或很快治愈，所以我名闻天下。”

做过软件工程的人都知道，在设计阶段就发现问题并解决，比在产品发布后再解决问题，代价小得多得多。

医学如此，工程如此，安全亦如此。安全甚至可以做的更早，防患于未然，才是安全之道，也是哲学之道。

由WannaCry这个技术含量并不太高明的攻击却掀起如此大的波浪，可以看出，安全应少一些嘈杂之声，无论对于厂商、用户来说，安全应植入产品、产业链的每一个环节，把安全前置、预防才是重中之重。