天行新闻

严控边界,扼住勒索病毒WannaCry的咽喉

2017512日,勒索蠕虫病毒WannaCry利用NSA“永恒之蓝EternalBlue漏洞,通过互联网对全球运行Windows操作系统的计算机进行爆发式攻击,短短几小时内即感染全球,仅我国就有数百万台设备被感染,对高校、能源、医疗、政府机构等多个行业领域造成了无法修复的损坏,经济损失无法估量。

回顾本次病毒肆虐事件,WannaCry病毒在短时间内在全球迅速传播,进而对我国某些教育机构、大型能源企业的内部网络和政府机构内部专网造成了严重破坏。

WannaCry蠕虫病毒利用Windows系统在445等高危端口漏洞,通过自我复制主动感染进行传播,受害主机内所有文件将被加密,需要支付比特币进行解密,否则文件将被彻底删除。我国曾经有过蠕虫病毒在公共网络中肆虐的惨痛教训,因此网络运营商对个人用户封闭了445等高危端口,所以本次病毒攻击并未对接入互联网的个人计算机造成过多损坏。反而对政府、大型企事业单位的内部网络造成了严重破坏,不得不反思我们的安全防御手段究竟是哪里出了问题?

大型专网网络边界防御

校园网没有严格的边界管理措施,管理相对开放,笔者大学时宿舍就有2个网络接入点,接入运营商网络可以游戏、看视频,接入教育网可以进行文献检索、分享资源。因此教育网络被入侵的过程可能是——某台被病毒感染的计算机设备(通过钓鱼邮件等社工手段被感染)接入校园网,造成了病毒的疯狂传播。

而大型企业、政府机构内网都已采取了严格的安全防控措施,为何仍成为此次病毒肆虐的重灾区呢?大型企业、政府机构内网具有覆盖区域广、终端用户多、应用复杂等特点,管理如此规模的网络,除了建立完善的管理制度、齐备的防护设备,更重要的是制度的执行和设备的维护,笔者分析了部分受害用户的网络防护体系,推测企业和政府内网被入侵的原因:

1、企业和政府机构内网严格限定计算机终端和移动载体的使用,但不排除部分人员心存侥幸,违规交叉使用计算机或移动载体,导致病毒侵入内网;

2、“互联网+”建设如火如荼,管理者很容易忽略了同步提升安全边界防护措施,导致在内网边界上暴露了如445这样的高危端口,存在违规的代理通道,甚至将内网直接和互联网相连接,病毒通过这些通道侵入内网;

3、内网终端维护不及时,未及时安装最新系统补丁,也是导致病毒扩散的重要原因。

严控边界,扼住病毒的咽喉

本次事件对大型企业和政府机构内部网络安全建设与管理带来了惨痛的教训。“亡羊补牢,未为迟也”,我们该如何“扎好篱笆”,抵御未来可能的威胁呢?笔者采访了北京天行网安信息技术有限责任公司技术总监李志鹏先生,李志鹏作为我国安全隔离网闸发明人,曾多次参与我国电子政务网络安全技术规范的起草工作。

明确边界,主动防御

大型企业、政府机关网络应建立明确的网络边界,明确接入对象和交互模式,采用符合国家技术标准的网络安全隔离与防护设备,构建网络边界防御体系。根据接入对象和数据交互需求的不同,针对性制定严格的边界数据进出策略,阻断基于网络协议的访问、探测和扫描行为。特别是“互联网+”业务,应当仅允许静态数据出入网络,并制定全面和有效安全监测与过滤策略,严禁存在内网和互联网间的协议通道和访问行为。对于某些大型专网,这次WannaCry蠕虫病毒攻击造成的影响,就是边界防御策略未严格实施的缘故。

集中管理,策略统一

大型企业、政府机关网络覆盖区域广,网络边界接入点众多,需贯彻统一的安全策略,监测边界出入数据,管理网络边界上的各类设备,建设集中管理中心,下发安全策略与收集边界状态信息,及早发现边界上的违规业务,保障边界防护体系的稳定运行。

网络安全威胁不断变化,防御措施需要持续投入和改进完善,网络边界作为内部网络的首道防线,应严防死守,扼住病毒入侵的咽喉,我们不必因为本次的肆虐就否定现有防御手段,而是立刻收拾战场,完善并重新建立新的防线。

加强监测,立体防御

目前网络安全威胁发展趋势来看,水涨船高,防御措施再严格,也有挂一漏万的情况发生,千里之堤毁于蚁穴。对于大型专网来说,这是难以避免的。而一旦网络病毒进入内网,将会如入无人之境,快速传播。因此,在严格实施边界防范措施的基础上,还要立足于已经被入侵的假设前提,在内网采取积极防御措施,主动布防,内外结合,形成立体化安全体系。

 

公司动态