圖片來源：網(wǎng)絡(luò)

5月12日，一個(gè)全球性的勒索病毒驚擾了整個(gè)周末。

此次勒索軟件的主角“WannaCry”，它會(huì)掃描開放445文件共享端口的Windows機(jī)器，無需用戶任何操作，只要開機(jī)上網(wǎng)，不法分子就能在電腦和服務(wù)器中植入執(zhí)行勒索程序、遠(yuǎn)程控制木馬，需要用戶使用比特幣解鎖文件。很多用戶產(chǎn)生了恐慌心理。

截至界面新聞?dòng)浾甙l(fā)稿時(shí)，包括英國、意大利、俄羅斯等多個(gè)國家感染病毒。在國內(nèi)，阿里云安全部門發(fā)布報(bào)告稱，我國受災(zāi)最嚴(yán)重的屬于大量行業(yè)企業(yè)內(nèi)網(wǎng)，教育網(wǎng)受損嚴(yán)重，攻擊造成了教學(xué)系統(tǒng)癱瘓、甚至包括校園一卡通系統(tǒng)。

一旦聞到了獵物的血腥味，成群的鯊魚會(huì)圍上來。

360針對校園網(wǎng)勒索病毒事件的監(jiān)測數(shù)據(jù)顯示，國內(nèi)首先出現(xiàn)的是ONION病毒，平均每小時(shí)攻擊約200次，夜間高峰期達(dá)到每小時(shí)1000多次；Wncry勒索病毒則是5月12日下午新出現(xiàn)的全球性攻擊，并在中國的校園網(wǎng)迅速擴(kuò)散，夜間高峰期每小時(shí)攻擊約4000次。

許多師生的電腦文件被病毒加密，只有支付贖金才能恢復(fù)，由于正值高校畢業(yè)季，勒索病毒已造成一些應(yīng)屆畢業(yè)生的論文被加密篡改，直接影響到畢業(yè)答辯。

這次勒索蠕蟲事件爆發(fā)之后，家庭終端中招者相對較少，因?yàn)檫\(yùn)營商在網(wǎng)絡(luò)上限制了對445端口的訪問，另外云計(jì)算用戶也處于相對安全的狀態(tài)。

“勒索病毒”在校園網(wǎng)傳播速度之快，影響面之大主要原因是當(dāng)前大部分學(xué)校基本是一個(gè)大的內(nèi)網(wǎng)互通的局域網(wǎng)，不同的業(yè)務(wù)未劃分安全區(qū)域。例如：學(xué)生管理系統(tǒng)、教務(wù)系統(tǒng)等都可以通過任何一臺(tái)連入的設(shè)備訪問。

同時(shí)，實(shí)驗(yàn)室、多媒體教室、機(jī)器IP分配多為公網(wǎng)IP，如果學(xué)校未做相關(guān)的權(quán)限限制，所有機(jī)器直接暴露在外面。

這次事件也直接反應(yīng)出高校在校內(nèi)網(wǎng)的安全管理上存在漏洞。

大連海事大學(xué)直接在微博上發(fā)文解釋病毒成因，并在微博留言中號(hào)召學(xué)生盡量不要使用校內(nèi)網(wǎng)。目前受影響的還有山東大學(xué)、賀州學(xué)院、桂林電子科技大學(xué)、桂林航天工業(yè)學(xué)院以及廣西等地區(qū)的大學(xué)。

以北京大學(xué)為例，在學(xué)校已經(jīng)發(fā)現(xiàn)幾起病毒感染事件后，5月13日，北京大學(xué)計(jì)算中心發(fā)布了《關(guān)于防范5月12日電腦勒索病毒的緊急通知》。通知除了介紹病毒產(chǎn)生的背景外，提示廣大校內(nèi)網(wǎng)用戶注意以下幾點(diǎn)：

為計(jì)算機(jī)安裝最新的安全補(bǔ)丁，并提示微軟已經(jīng)發(fā)布了漏洞補(bǔ)丁；

關(guān)閉445、135、137、138、139端口、關(guān)閉網(wǎng)絡(luò)共享；

定期對電腦中的文件進(jìn)行備份；

強(qiáng)化網(wǎng)絡(luò)安全意識(shí)：不明鏈接不要點(diǎn)擊、不明文件不要下載、不明郵件不要打開。

這些措施基本都是起到預(yù)防效果，對于那些已經(jīng)感染病毒的同學(xué)，除了重裝系統(tǒng)，他們幾乎沒有特別好的解決辦法。

而目前教育部官方網(wǎng)站上，還沒有任何關(guān)于該病毒的風(fēng)險(xiǎn)提示。

知道創(chuàng)宇余弦在接受界面新聞?dòng)浾卟稍L時(shí)表示，這次病毒勒索的影響力和影響范圍都是“可以載入史冊的。”同時(shí)，學(xué)校醫(yī)院等企業(yè)成為主要的攻擊對象，還在于“他們的安全系統(tǒng)薄弱、安全意識(shí)滯后，認(rèn)為內(nèi)網(wǎng)就是安全的。”

阿里云安全部人士向界面新聞?dòng)浾叻治觯@次出事的很多都是組織內(nèi)部的IT環(huán)境，一般這些都是組織自己搭建IT構(gòu)架，或者報(bào)給IT方案提供商。

最明顯的例證是，很多學(xué)校、加油站都還在使用微軟停止補(bǔ)丁更新的XP系統(tǒng)，根本沒有辦法討論安全問題。

這是一起本不該發(fā)生的事件，Windows 系統(tǒng)遠(yuǎn)程共享445端口的漏洞也不是今天才發(fā)現(xiàn)的，在安全領(lǐng)域，445遠(yuǎn)程需要關(guān)閉也強(qiáng)調(diào)過多次。

2017年3月，445端口漏洞就曾被曝光。一個(gè)名為“Shadow Brokers” 的黑客組織泄露了機(jī)密文檔，其中包含了多個(gè)對Windows系統(tǒng)的遠(yuǎn)程漏洞利用工具，可以覆蓋70%以上的服務(wù)器。微軟已經(jīng)及時(shí)發(fā)布了該漏洞補(bǔ)丁。

有人用“網(wǎng)絡(luò)大地震”來形容該漏洞發(fā)生時(shí)的嚴(yán)重程度。考慮到Windows系統(tǒng) SMB/RDP遠(yuǎn)程命令執(zhí)行漏洞的危險(xiǎn)性，國內(nèi)外不少云服務(wù)廠商都在4月封掉了445端口。但全球不少個(gè)人電腦、IDC物理機(jī)房仍存在大量暴露著445端口的機(jī)器，這給了黑客可乘之機(jī)。

黑客在微軟補(bǔ)丁發(fā)布后、企業(yè)個(gè)人打補(bǔ)丁前的“時(shí)間差”，發(fā)動(dòng)了這次惡意滿滿的攻擊。

就是這樣一個(gè)嚴(yán)重的漏洞，卻并沒有引起高校內(nèi)網(wǎng)和網(wǎng)絡(luò)安全管理人員的重視，至少從這次受損的高校互聯(lián)網(wǎng)網(wǎng)絡(luò)來看。有很多個(gè)人用戶甚至有直接關(guān)閉Windows補(bǔ)丁自動(dòng)更新的電腦使用習(xí)慣。

從病毒發(fā)生的短期反應(yīng)看，安全是被重視的，但長期來看安全是被忽視的。這也導(dǎo)致了，原本無差別的勒索，但事實(shí)上卻出現(xiàn)組織內(nèi)網(wǎng)受影響最大。

阿里云安全人員分析稱，因?yàn)?45是個(gè)網(wǎng)絡(luò)共享端口，一般學(xué)校等組織的局域網(wǎng)會(huì)開放用于共享文件。盡管理論上，這些組織都是內(nèi)網(wǎng)，不是直接暴露在公共互聯(lián)網(wǎng)下。但這個(gè)病毒的傳播方式是具備傳染能力的，所以一旦內(nèi)網(wǎng)某個(gè)機(jī)器感染，就會(huì)成片擴(kuò)散。

因此也不是說公共互聯(lián)網(wǎng)就不安全，物理內(nèi)網(wǎng)就是安全的。關(guān)鍵還是看內(nèi)網(wǎng)的安全策略，以及內(nèi)網(wǎng)是不是有“安全守夜人”。

而這并不是第一次發(fā)生數(shù)據(jù)庫勒索事件了。

2017年1月，阿里云就曾發(fā)布一次MongoDB數(shù)據(jù)庫發(fā)起大規(guī)模攻擊的預(yù)警。并給出了預(yù)防進(jìn)攻的方法。

卡巴斯基在2016年12月份發(fā)布的年度熱門事件：加密勒索報(bào)告顯示，截止到2016年，全球有114個(gè)國家受到加密勒索事件的影響，共發(fā)現(xiàn)44000多個(gè)勒索軟件樣本。

在整個(gè)2016年的黑客攻擊事件監(jiān)控中，教育也成為了受到黑客攻擊最多的行業(yè)：

亞信安全發(fā)布的勒索軟件風(fēng)險(xiǎn)研究報(bào)告顯示，近十個(gè)月內(nèi)，全球傳播的勒索軟件數(shù)量增長了15倍，中國勒索軟件數(shù)量增長更是突破了67倍。

從這些有類似特性的勒索案件中，被勒索軟件入侵略的受害者基本都有兩大共性：

關(guān)鍵賬號(hào)存在弱口令或無認(rèn)證機(jī)制：服務(wù)器登錄關(guān)鍵賬號(hào)（root、administrator）密碼簡單或空密碼；數(shù)據(jù)庫（Redis、MongoDB、MySQL、MSsql Server）等相關(guān)重要業(yè)務(wù)服務(wù)直接可以無密碼登錄。

業(yè)務(wù)直接“裸奔”在互聯(lián)網(wǎng)上：RDP、SSH、Redis、MongoDB、MySQL、MSsql Server等高危服務(wù)直接裸奔在互聯(lián)網(wǎng)上。

而學(xué)校、加油站、醫(yī)院等正好屬于高危群體。

除了提醒學(xué)生注意上網(wǎng)安全，各企業(yè)單位內(nèi)網(wǎng)管理者還可以有以下方法考慮提升內(nèi)網(wǎng)的安全性：

專業(yè)的事情交給專業(yè)的人：企業(yè)可以招聘獲得專業(yè)云計(jì)算人才證書，真正懂行的人來做。比如，美國計(jì)算機(jī)協(xié)會(huì)推出的CompTIA Cloud Essentials 證書、云安全聯(lián)盟提供的云安全知識(shí)認(rèn)證（CCSK）、和云計(jì)算大廠推出的專業(yè)人才認(rèn)證。、

引入第三方安全團(tuán)隊(duì)：以更低的成本解決問題（包括學(xué)習(xí)、開發(fā)、運(yùn)維等成本），可以引入靠譜的第三方安全團(tuán)隊(duì)，協(xié)助企業(yè)完善安全機(jī)制，排查潛在安全風(fēng)險(xiǎn)，防范于未然。

選用強(qiáng)安全性產(chǎn)品：不少開源軟件的企業(yè)版都會(huì)特別做安全考慮。如果還是選用開源軟件，可以自行配置相應(yīng)的安全產(chǎn)品。安全補(bǔ)丁對個(gè)人用戶來說相對簡單。只需自學(xué)裝載，就能完成止血。但是對大型企業(yè)or組織機(jī)構(gòu)而言，面對成百上千臺(tái)機(jī)器，最好還是能使用客戶端進(jìn)行集中管理。

在產(chǎn)品層面，還有更多關(guān)于定期備份數(shù)據(jù)、對服務(wù)器進(jìn)行合理的安全域規(guī)劃、設(shè)立遠(yuǎn)程訪問權(quán)限等運(yùn)營的細(xì)節(jié)建議。

安全領(lǐng)域有這樣一個(gè)比喻，黑客會(huì)在各個(gè)行業(yè)門口轉(zhuǎn)悠，就像小偷踩點(diǎn)一樣。如果防范做得好，小偷就會(huì)受到威懾，走了；但對于那些平時(shí)安全意識(shí)差的企業(yè)，被小偷踩點(diǎn)發(fā)現(xiàn)可能有大漏洞，黑客就會(huì)呼朋引伴過來。

一周前，巴菲特在伯克希爾哈撒韋股東大會(huì)上說：“我對大規(guī)模殺傷武器是很悲觀的，但我認(rèn)為發(fā)生核戰(zhàn)爭的可能性要低于生化武器與網(wǎng)絡(luò)攻擊。”誰曾想到，這句話如此快就成真了。對高校、企業(yè)來講，通過這次安全攻擊提高安全意識(shí)和日常防護(hù)標(biāo)準(zhǔn)，也未必完全是件壞事。