一、背景

5月12日晚，一款名(míng)為(wèi)“WannaCry”的勒索病毒突然爆发，初步统计已有(yǒu)100多(duō)个國(guó)家和地區(qū)受害，造成全球7.5万台计算机被感染。根据360威胁情报中(zhōng)心的统计，从5月12日WannaCrypt(永恒之蓝)爆发的一天之内，该勒索蠕虫已经攻击了近百个國(guó)家的超过10万家企业和公(gōng)共组织，其中(zhōng)包括1600家美國(guó)组织，11200家俄罗斯组织。國(guó)内被感染的组织和机构已经覆盖了几乎所有(yǒu)地區(qū)，影响范围遍布高校、火車(chē)站、自助终端、邮政、加油站、医(yī)院、政府办(bàn)事终端等多(duō)个领域，被感染的電(diàn)脑数字还在不断增長(cháng)中(zhōng)。

勒索病毒由来已久，勒索病毒本质(zhì)上来说和以前肆虐过的‘冲击波’和‘震荡波’病毒并无區(qū)别，都是利用(yòng)系统漏洞结合遠(yuǎn)程控制服務(wù)器进行自动传播的蠕虫病毒。近年来，由于互联网经济的兴起，在巨大经济利益的驱使下，勒索病毒发展呈不断上升趋势。安(ān)全机构的统计数据：勒索病毒今年在全球的攻击量疯長(cháng)了3倍，平均每40秒(miǎo)就有(yǒu)一家企业被感染，个人端的情况更糟，平均每10秒(miǎo)就有(yǒu)一个无辜者中(zhōng)招。仅在2016年一年的时间里，就先后爆发了KeRanger、Petya、Maktub、Locky、CryptXXX等数起勒索病毒爆发事件，对大量的机构与个人造成了重大的损失。

勒索软件有(yǒu)多(duō)种传播途径与方式，大部分(fēn)传播都伴随着社交工(gōng)程學(xué)（比如带有(yǒu)诱惑性附件等）来进行。一般包括以下几种：

Ø  通过電(diàn)子邮件附带已感染文(wén)件进行传播。

Ø  通过用(yòng)户访问受感染的网页(yè)链接的方式传播。

Ø  通过用(yòng)户使用(yòng)的社交媒體(tǐ)、即时通信工(gōng)具(jù)进行传播。

Ø  通过用(yòng)户使用(yòng)U盘、移动硬盘等移动介质(zhì)进行传播。

Ø  通过利用(yòng)操作(zuò)系统或应用(yòng)软件自身的漏洞进行传播。

Ø  通过被感染的软件（如带有(yǒu)病毒的Downloader）进行传播。

不管采取哪种传播方式，勒索软件都需要寻找一个薄弱环节进行突破，只要稍有(yǒu)不慎就可(kě)能(néng)中(zhōng)招，真是防不胜防。

二、风险分(fēn)析

2.1.敲诈勒索软件大量涌现

近年，各类敲诈勒索软件在我國(guó)大量涌现、肆虐传播，成為(wèi)近两年增長(cháng)最快的网络威胁之一。数据泄露事件频繁发生，由网络攻击引发的数据泄露事件依旧猖獗，造成了巨大经济损失。网络攻击目标从政府机构扩大到民(mín)众社会生活各个方面，涉及電(diàn)信、金融、能(néng)源等多(duō)个领域。

勒索病毒WannaCry，事件反映了公(gōng)共信息安(ān)全乃至全球信息安(ān)全治理(lǐ)的欠缺。组织机构在大力发展新(xīn)型安(ān)全防护的同时，传统安(ān)全的防护不可(kě)轻视，我们在考虑移动互联网和物(wù)联网的防护體(tǐ)系时，必须与传统的信息安(ān)全防护體(tǐ)系无缝融合，只有(yǒu)同时保障传统和新(xīn)型IT架构的安(ān)全才是正确的发展方向。

2.2.安(ān)全威胁向移动终端转移

勒索软件除了在PC端猖獗之外，在移动端也已经形成产(chǎn)业规模。勒索病毒在智能(néng)手机端也有(yǒu)类似病毒持续活跃。2016高峰时期全球半月感染用(yòng)户数高达40万，而國(guó)内也是此类病毒的重灾區(qū)。2016年，360共截获Android平台勒索软件新(xīn)增恶意程序样本17万个，从感染量看，2016年共170万台手机遭到攻击。在给用(yòng)户造成财产(chǎn)损失方面，制马人通过勒索软件的日收益在100到300元不等，整个黑色产(chǎn)业在16年已达到千万级别。且随着用(yòng)户时间从PC向手机迁移，有(yǒu)继续增長(cháng)的趋势。

移动设备已经取代传统个人電(diàn)脑成為(wèi)主流上网工(gōng)具(jù)，智能(néng)手机等移动终端，实时在線(xiàn)率高，联系人之间的信任强度更大。加之移动终端与传统PC存储的信息具(jù)有(yǒu)差异性，如電(diàn)话簿、短信息、地理(lǐ)位置信息等都是从传统PC端无法获取的。因此，各类安(ān)全威胁纷纷向移动终端转移，移动安(ān)全已经成為(wèi)安(ān)全领域的焦点话题。智能(néng)终端的操作(zuò)系统存在安(ān)全漏洞、防病毒软件功能(néng)还不够完善，加之用(yòng)户防范意识不足，受攻击的概率大大高于传统PC机。近年移动终端网络钓鱼事件大幅度上涨、勒索软件大量涌现。基于安(ān)卓系统的恶意应用(yòng)和恶意软件数量急剧增加，IOS也走下神坛，不再是坚不可(kě)摧。

三、安(ān)全防御机制

勒索病毒WannaCry，通过windows操作(zuò)系统漏洞发起攻击。很(hěn)多(duō)受害者没有(yǒu)及时安(ān)装(zhuāng)补丁，导致被病毒攻击，计算机中(zhōng)的文(wén)件被加密。预防此类事件，其最好的防范手段就是最好事前防护，各机构组织应加强内部安(ān)全基線(xiàn)建设，加强安(ān)全巡检，落实安(ān)全策略，建立动态有(yǒu)效的、多(duō)维度的信息安(ān)全保障體(tǐ)系。

3.1.安(ān)全基線(xiàn)管理(lǐ)

本次勒索病毒利用(yòng)windows操作(zuò)系统漏洞发起攻击，由此可(kě)见组织内信息安(ān)全风险漏洞危害越来越严重，由于病毒木(mù)马扩散，黑客入侵等导致的数据丢失、机密信息泄露、服務(wù)器瘫痪日益频繁；由于管理(lǐ)人员产(chǎn)生的安(ān)全配置漏洞频出，已成為(wèi)网络安(ān)全要面对的严重威胁。组织内安(ān)全基線(xiàn)建立与落实做不好，其薄弱环节被突破后都会造成很(hěn)大的影响。信息安(ān)全基線(xiàn)是信息系统的最小(xiǎo)安(ān)全保证，是组织信息安(ān)全总體(tǐ)水平的量化，信息安(ān)全基線(xiàn)管理(lǐ)是保证信息系统正常稳定运行的前提和基础，对提高组织网络与信息系统的安(ān)全起到了至关重要的作(zuò)用(yòng)。

為(wèi)降低组织网络安(ān)全风险，提高信息安(ān)全保证水平，爱加密咨询团队主要运用(yòng)系统工(gōng)程法和IT治理(lǐ)理(lǐ)念，结合各组织安(ān)全现状，协助组织从安(ān)全配置、安(ān)全漏洞两个层面建立符合自身业務(wù)发展的信息安(ān)全基線(xiàn)；针对组织内不同的操作(zuò)系统、数据库，建立统一的服務(wù)器、网络设备、数据库、引用(yòng)系统安(ān)全配置规范，并确保其落地执行；通过安(ān)全基線(xiàn)来量化组织内信息安(ān)全总體(tǐ)水平，有(yǒu)效管理(lǐ)组织信息安(ān)全状态，跟踪未达标的信息安(ān)全要求或存在的信息安(ān)全隐患，控制组织安(ān)全变更对其安(ān)全保障水平的影响。协助组织通过常态化的推进运行机制，确保组织信息安(ān)全保障水平在一个安(ān)全可(kě)控层次，并為(wèi)组织信息安(ān)全管理(lǐ)提供依据。

3.2.安(ān)全技(jì )术防护體(tǐ)系加固

此次病毒事件，对传统安(ān)全防护敲响了警钟，组织内传统安(ān)全技(jì )术防护需全面展开，应确保基本的安(ān)全防护措施（如防火墙、IPS、防病毒、防垃圾邮件、网络准入、终端安(ān)全防护等）部署到位，并有(yǒu)效落地发挥作(zuò)用(yòng)。

爱加密基于组织信安(ān)全现状，对组织安(ān)全防护情况进行检查，识别组织内系统运行信息安(ān)全风险，提供安(ān)全整改建议，為(wèi)组织的各种操作(zuò)系统、网络设备、数据库和应用(yòng)系统、安(ān)全设备进行安(ān)全加固，在满足组织实用(yòng)的基础上增加其安(ān)全性。

3.2.1.网络架构调整

协助组织调整网络性能(néng)，对网络进行合理(lǐ)优化。在切实可(kě)行的方案下帮助组织提高整个网络的性能(néng)，组织通过合理(lǐ)的调整网络结构建立良好的安(ān)全區(qū)域划分(fēn)。

3.2.2.安(ān)全策略加固

安(ān)全策略加固主要指根据前期风险评估的结果对组织已有(yǒu)的策略其中(zhōng)不适合当前实际工(gōng)作(zuò)状况以及未有(yǒu)效落实的部分(fēn)进行相应的调整，以期望在技(jì )术和管理(lǐ)两个层面上对用(yòng)户的安(ān)全策略进行一次综合的调整。

3.2.3.网络设备加固

根据安(ān)全策略中(zhōng)相关的网络安(ān)全策略，对已有(yǒu)的网络设备做加固措施。确认组织现有(yǒu)安(ān)全策略，在组织相关人员协同下制定相应的加固方案。其主要包括：

Ø 访问控制加固。

Ø 反入侵加固。

Ø 防火墙设备加固。

Ø 灾难恢复及审计加固。

3.2.4.主机加固

主机系统加固是根据专业安(ān)全评估结果，制定相应的系统加固方案，针对不同目标系统，通过打补丁、修改安(ān)全配置、增加安(ān)全机制等方法，合理(lǐ)进行安(ān)全性加强。服務(wù)主要内容：

Ø  微软操作(zuò)系统：补丁、文(wén)件系统、帐号管理(lǐ)、网络及服務(wù)、注册表、共享、应用(yòng)软件、审计/日志(zhì)，其它（包括紧急恢复、数字签名(míng)等）。

Ø  UNIX操作(zuò)系统：补丁、文(wén)件系统、配置文(wén)件、帐号管理(lǐ)、网络及服務(wù)、NFS系统、应用(yòng)软件、审计/日志(zhì)，其它（包括专用(yòng)安(ān)全软件、加密通信，及数字签名(míng)等）。

3.2.5.数据库加固

根据组织安(ān)全策略中(zhōng)相关的数据库安(ān)全策略，对已有(yǒu)的网络数据库系统做加固措施其策略的主要依据是根据前期安(ān)全策略的定制结果。主要内容包括主流数据库系统（包括Oracle、SQL Server、Sybase、MySQL、Informix）的补丁、账号管理(lǐ)、口令强度和有(yǒu)效期检查、遠(yuǎn)程登陆和遠(yuǎn)程服務(wù)、存储过程、审核层次、备份过程、角色和权限审核、并发事件资源限制、访问时间限制、审核跟踪、特洛依木(mù)马等。

3.2.6.安(ān)全产(chǎn)品优化

根据安(ān)全策略中(zhōng)相关的安(ān)全产(chǎn)品策略，对已有(yǒu)的安(ān)全产(chǎn)品做加固措施，提升安(ān)全产(chǎn)品性能(néng)及其安(ān)全功能(néng)。主要内容包括：

Ø  防火墙产(chǎn)品访问控制策略优化。

Ø  入侵检测产(chǎn)品策略库优化。

Ø  日志(zhì)审计系统的优化。

3.3.移动端安(ān)全防护

WannaCrypt病毒利用(yòng)的是微软Windows的系统漏洞，因此手机不会受到影响，除非你的手机使用(yòng)的是Windows操作(zuò)系统。但相关安(ān)全专家预测未来移动端也有(yǒu)可(kě)能(néng)爆发大规模的勒索病毒事件，将会影响到数十亿部智能(néng)手机。勒索病毒也一直在困扰着广大智能(néng)手机用(yòng)户。手机勒索软件是一种通过锁住用(yòng)户移动设备，使用(yòng)户无法正常使用(yòng)设备，并以此胁迫用(yòng)户支付解锁费用(yòng)的恶意软件。其表现為(wèi)手机触摸區(qū)域不响应触摸事件，频繁地强制置顶页(yè)面无法切换程序和设置手机PIN码。手机勒索软件的危害除了勒索用(yòng)户钱财，还会破坏用(yòng)户数据和手机系统。很(hěn)多(duō)用(yòng)户反映，自己从某网站下载软件后，手机被强制锁屏，页(yè)面上显示“解锁联系XXX”。如果不主动交赎金的话，就要承担手机重要资料丢失的风险。据此前发布的《锁机病毒报告》显示，2017年1-3月份手机锁屏勒索类病毒日均影响用(yòng)户量超过4万。这次WannaCrypt病毒不影响手机，并不意味着手机用(yòng)户就可(kě)以高枕无忧。在PC端，勒索软件可(kě)以利用(yòng)开放端口，自发传播和主动感染，而在移动端，勒索软件通常需要诱导用(yòng)户下载文(wén)件，用(yòng)户所下载文(wén)件及应用(yòng)的安(ān)全性，对移动端安(ān)全具(jù)有(yǒu)决定作(zuò)用(yòng)。

3.3.1.移动应用(yòng)MSOC平台

爱加密MSOC平台可(kě)以完成安(ān)全检测、安(ān)全加固、问题跟踪、数据展示，无需通过多(duō)套系统去实现不同的功能(néng)。检测发现的问题实时、自动提交到MSOC平台的问题跟踪模块，在MSOC平台即可(kě)实现对问题进行跟踪处理(lǐ)。安(ān)全检测与安(ān)全加固深度结合后更能(néng)防止不安(ān)全的应用(yòng)流入到应用(yòng)市场，从根源上确保移动端应用(yòng)安(ān)全，降低勒索病毒感染风险。

爱加密MSOC平台可(kě)以為(wèi)金融、运营商(shāng)、政府、能(néng)源、大型企业等提供移动应用(yòng)安(ān)全管控功能(néng)。通过对移动应用(yòng)的深入检测和分(fēn)析，给用(yòng)户提供移动应用(yòng)安(ān)全风险信息，辅助用(yòng)户对安(ān)全风险进行跟踪处理(lǐ)，同时对有(yǒu)安(ān)全风险的应用(yòng)进行安(ān)全加固。主要针对移动应用(yòng)的相关安(ān)全风险提供以下服務(wù)：

l  安(ān)全检测：检测移动应用(yòng)出现的安(ān)全风险，提供可(kě)靠的安(ān)全解决建议。

l  安(ān)全加固：针对检测出来的安(ān)全风险，提供移动应用(yòng)安(ān)全加固服務(wù)。

l  问题跟踪：对安(ān)全检测发现的安(ān)全风险进行跟踪管理(lǐ)。

l  数据展示：查看应用(yòng)的安(ān)全风险数据。

3.3.2.移动应用(yòng)安(ān)全态势感知

在传统安(ān)全终端部署威胁情报、网络流量分(fēn)析、APT防御、态势感知这些新(xīn)型安(ān)全防御系统，可(kě)对勒索软件进行防御、检测。爱加密移动应用(yòng)安(ān)全态势感知平台可(kě)為(wèi)移动端应用(yòng)安(ān)全保驾护航。

爱加密通过服務(wù)的7亿移动终端数量与1000多(duō)个应用(yòng)市场，形成國(guó)内最大规模的移动安(ān)全大数据基础。安(ān)全态势感知平台依据不同行业的移动业務(wù)特性与监管要求，形成不同行业的数据感知群。平台以数据為(wèi)核心驱动安(ān)全业務(wù)变革，将难以预测转变為(wèi)可(kě)以预测，化被动防御為(wèi)主动防御，建立企业智能(néng)安(ān)全防护體(tǐ)系。

快速提高企业移动安(ān)全防护能(néng)力。移动应安(ān)全态势感知平台可(kě)快速建立企业移动业務(wù)整體(tǐ)防御战線(xiàn)，通过平台管理(lǐ)与安(ān)全资源调配，让安(ān)全能(néng)力较低的移动业務(wù)与较高的移动业務(wù)共享安(ān)全资源与安(ān)全策略，对區(qū)域业務(wù)影响较大的问题和风险，可(kě)进行统一调度，同步解决。

与传统安(ān)全业務(wù)相互融合相互促进。移动应安(ān)全态势感知平台可(kě)以融合传统安(ān)全产(chǎn)品，渗透检测、基線(xiàn)检测、漏洞扫描和移动应用(yòng)加固等移动业務(wù)产(chǎn)品。融合后的平台同时支持威胁预警、态势感知、大数据分(fēn)析、任務(wù)流管理(lǐ)等大型业務(wù)运营管理(lǐ)功能(néng)需求。

安(ān)全量化与集中(zhōng)展示。移动应安(ān)全态势感知平台可(kě)综合且直观的效果来體(tǐ)现移动安(ān)全整體(tǐ)安(ān)全系数。體(tǐ)现的内容包括：整體(tǐ)业務(wù)安(ān)全态势展示，威胁态势展示、外部开发商(shāng)安(ān)全质(zhì)量展示等。整體(tǐ)展示，可(kě)直观了解企业整體(tǐ)移动安(ān)全状态；应用(yòng)系统综合展示，以安(ān)全漏洞数、危害性、漏洞整改状态以及安(ān)全红線(xiàn)；外外部开发商(shāng)安(ān)全质(zhì)量展示，涉及开发商(shāng)项目的安(ān)全能(néng)力展现，包括总體(tǐ)安(ān)全质(zhì)量、问题数以及问题整改状态。对生产(chǎn)，运营的各环节中(zhōng)的移动安(ān)全任務(wù)流程化。

勒索病毒确实给全球信息安(ān)全敲响了警钟，更是全球化时代的网络安(ān)全缩影。此次WannaCrypt的爆发让我们警醒的不该是及时升级，而是对于安(ān)全的思考，安(ān)全问题并不是某一个层面问题，安(ān)全应该是深入的、全面的。此处事件同时也说明了守护互联网信息安(ān)全是每个人的职责。面对网络安(ān)全，只要一次的疏忽，就有(yǒu)可(kě)能(néng)造成巨大的损失。这一次全球范围的攻击，应该让大家警醒，不光是電(diàn)脑病毒，移动端网络安(ān)全更应该不被忽视！