如何从网络准入控制的角度看“wannacry”事件?
责任编辑:盈高科技 时间:2017-05-18 浏览次数:6253
文章来源:比特网
这次肆虐全球的WannaCry勒索软件又一次让人们充分理解了“网络安全”这个词的含义。如同过往的每次大规模病毒木马发作一样,各家安全厂商和服务商纷纷为广大用户支招解难,但是冷静下来以后,我们也需要对国内网络安全的现状进行一些反思。
1、 安全漏洞是一种客观存在,更应该从持续性监控和预防的层面进行主动防范
随着系统规模越来越庞大,其结构也越来越复杂性,即使各种安全测试技术和工具的先进程度已经今非昔比,软件bug和安全漏洞也不可能完全避免,因此系统安全不能够仅仅依靠事后的漏洞分析和补救,被动地对威胁进行防范,而更应该从整体的安全体系和网络维护机制层面去保证,即持续地对进入网络的各种终端进行安全规范性检查和风险预防。
事实上,WannaCry勒索软件和以往的木马软件或其它勒索软件在攻击原理上没有什么大的差异,无非就是利用系统漏洞向用户终端中注入木马,然后通过木马程序对用户数据进行加密,并勒索用户付费以获取解密工具。
目前主流的应对方案也是典型的传统结构:分析恶意软件的工作原理、建议关闭445端口、为系统打上相关补丁、安装和升级杀毒软件等,而这些都是网络准入控制提供的基础功能,也是本次事件中网络准入使用者们几乎未受影响的重要原因。但我们看到国内依然有很多单位中招,用户的事后补救和求助也证明了当前国内许多用户在网络接入控制和终端安全规范性检查这方面的认识和措施十分薄弱,全面提高接入网络的终端安全基线任重道远。
2、详细分析和针对性补救措施必不可少,但是自动化的安全缓解机制也十分重要
每次病毒、木马等安全事件发生后,安全厂商和服务商都会针对事件个案进行详细的分析和解读,然后提供专业的原理分析文档和操作工具包。
客观的说,这些事后的补救措施都是必要的,也会起到一定的效果。但即使是安全专业人士,在一次次突发的安全事件面前,在面对网络中分散各地的成千上万台终端时,也会有一种疲于奔命的感觉,更何况一般的用户。
因此,能够在事件发生的第一时间提供自动化的缓解方案将使用户首先吃下定心丸,并大大降低网络安全的运维强度。从这个角度来看,网络准入控制由于掌握着全网的接入边界,在对终端进行自动化缓解控制方面具有无可替代的作用。
3、 关闭端口不是长久之策,提高各类终端的自身安全水平才是关键
从某种程度上说,WannaCry和2016年的Dyn服务器被DDoS攻击在原理上非常类似,都是利用了各种终端——不管是传统PC还是物联网设备——的开放端口进入系统,然后抓住漏洞进行攻击,但是简单的关闭端口并不能从根本上解决问题,关闭了一个445,还会有下一个446、447被开放,这种围堵型的安全管理思路会使系统的可用性和存在价值大打折扣。
正如人类自身一样,计算机系统不能靠与外界隔离来保证健康和安全,而要靠提高自身的免疫能力,提高自身的安全健壮程度,才能享受网络带来的便利和好处。传统PC、移动智能终端、甚至是物联网设备和摄像头,在网络中的自身安全能力如何?如何快速补强终端的安全短板?这些都是用户在规划和运维传统网络/物联网络时必须考虑的问题,也是网络准入控制技术框架所解决的核心问题之一。
Wannacry事件的影响还远未结束,盈高科技将持续关注该事件并提供专业的网络准入控制解决方案。