5月12日，一個(gè)全球性的勒索病毒驚擾了整個(gè)周末。

截至界面新聞?dòng)浾甙l(fā)稿時(shí)，包括英國(guó)、意大利、俄羅斯等多個(gè)國(guó)家感染病毒。在國(guó)內(nèi)，阿里云安全部門(mén)發(fā)布報(bào)告稱(chēng)，我國(guó)受災(zāi)最嚴(yán)重的屬于大量行業(yè)企業(yè)內(nèi)網(wǎng)，教育網(wǎng)受損嚴(yán)重，攻擊造成了教學(xué)系統(tǒng)癱瘓、甚至包括校園一卡通系統(tǒng)。

一旦聞到了獵物的血腥味，成群的鯊魚(yú)會(huì)圍上來(lái)。

360針對(duì)校園網(wǎng)勒索病毒事件的監(jiān)測(cè)數(shù)據(jù)顯示，國(guó)內(nèi)首先出現(xiàn)的是ONION病毒，平均每小時(shí)攻擊約200次，夜間高峰期達(dá)到每小時(shí)1000多次;Wncry勒索病毒則是5月12日下午新出現(xiàn)的全球性攻擊，并在中國(guó)的校園網(wǎng)迅速擴(kuò)散，夜間高峰期每小時(shí)攻擊約4000次。

許多師生的電腦文件被病毒加密，只有支付贖金才能恢復(fù)，由于正值高校畢業(yè)季，勒索病毒已造成一些應(yīng)屆畢業(yè)生的論文被加密篡改，直接影響到畢業(yè)答辯。

這次勒索蠕蟲(chóng)事件爆發(fā)之后，家庭終端中招者相對(duì)較少，因?yàn)檫\(yùn)營(yíng)商在網(wǎng)絡(luò)上限制了對(duì)445端口的訪(fǎng)問(wèn)，另外云計(jì)算用戶(hù)也處于相對(duì)安全的狀態(tài)。

“勒索病毒”在校園網(wǎng)傳播速度之快，影響面之大主要原因是當(dāng)前大部分學(xué)校基本是一個(gè)大的內(nèi)網(wǎng)互通的局域網(wǎng)，不同的業(yè)務(wù)未劃分安全區(qū)域。例如:學(xué)生管理系統(tǒng)、教務(wù)系統(tǒng)等都可以通過(guò)任何一臺(tái)連入的設(shè)備訪(fǎng)問(wèn)。

同時(shí)，實(shí)驗(yàn)室、多媒體教室、機(jī)器IP分配多為公網(wǎng)IP，如果學(xué)校未做相關(guān)的權(quán)限限制，所有機(jī)器直接暴露在外面。

這次事件也直接反應(yīng)出高校在校內(nèi)網(wǎng)的安全管理上存在漏洞。

大連海事大學(xué)直接在微博上發(fā)文解釋病毒成因，并在微博留言中號(hào)召學(xué)生盡量不要使用校內(nèi)網(wǎng)。目前受影響的還有山東大學(xué)、賀州學(xué)院、桂林電子科技大學(xué)、桂林航天工業(yè)學(xué)院以及廣西等地區(qū)的大學(xué)。

以北京大學(xué)為例，在學(xué)校已經(jīng)發(fā)現(xiàn)幾起病毒感染事件后，5月13日，北京大學(xué)計(jì)算中心發(fā)布了《關(guān)于防范5月12日電腦勒索病毒的緊急通知》。通知除了介紹病毒產(chǎn)生的背景外，提示廣大校內(nèi)網(wǎng)用戶(hù)注意以下幾點(diǎn):

為計(jì)算機(jī)安裝最新的安全補(bǔ)丁，并提示微軟已經(jīng)發(fā)布了漏洞補(bǔ)丁;

關(guān)閉445、135、137、138、139端口、關(guān)閉網(wǎng)絡(luò)共享;

定期對(duì)電腦中的文件進(jìn)行備份;

強(qiáng)化網(wǎng)絡(luò)安全意識(shí):不明鏈接不要點(diǎn)擊、不明文件不要下載、不明郵件不要打開(kāi)。

這些措施基本都是起到預(yù)防效果，對(duì)于那些已經(jīng)感染病毒的同學(xué)，除了重裝系統(tǒng)，他們幾乎沒(méi)有特別好的解決辦法。

而目前教育部官方網(wǎng)站上，還沒(méi)有任何關(guān)于該病毒的風(fēng)險(xiǎn)提示。

知道創(chuàng)宇余弦在接受界面新聞?dòng)浾卟稍L(fǎng)時(shí)表示，這次病毒勒索的影響力和影響范圍都是“可以載入史冊(cè)的?！蓖瑫r(shí)，學(xué)校醫(yī)院等企業(yè)成為主要的攻擊對(duì)象，還在于“他們的安全系統(tǒng)薄弱、安全意識(shí)滯后，認(rèn)為內(nèi)網(wǎng)就是安全的。”

阿里云安全部人士向界面新聞?dòng)浾叻治?，這次出事的很多都是組織內(nèi)部的IT環(huán)境，一般這些都是組織自己搭建IT構(gòu)架，或者報(bào)給IT方案提供商。

最明顯的例證是，很多學(xué)校、加油站都還在使用微軟停止補(bǔ)丁更新的XP系統(tǒng)，根本沒(méi)有辦法討論安全問(wèn)題。

這是一起本不該發(fā)生的事件，Windows 系統(tǒng)遠(yuǎn)程共享445端口的漏洞也不是今天才發(fā)現(xiàn)的，在安全領(lǐng)域，445遠(yuǎn)程需要關(guān)閉也強(qiáng)調(diào)過(guò)多次。

2017年3月，445端口漏洞就曾被曝光。一個(gè)名為“Shadow Brokers” 的黑客組織泄露了機(jī)密文檔，其中包含了多個(gè)對(duì)Windows系統(tǒng)的遠(yuǎn)程漏洞利用工具，可以覆蓋70%以上的服務(wù)器。微軟已經(jīng)及時(shí)發(fā)布了該漏洞補(bǔ)丁。

有人用“網(wǎng)絡(luò)大地震”來(lái)形容該漏洞發(fā)生時(shí)的嚴(yán)重程度?？紤]到Windows系統(tǒng) SMB/RDP遠(yuǎn)程命令執(zhí)行漏洞的危險(xiǎn)性，國(guó)內(nèi)外不少云服務(wù)廠(chǎng)商都在4月封掉了445端口。但全球不少個(gè)人電腦、IDC物理機(jī)房仍存在大量暴露著445端口的機(jī)器，這給了黑客可乘之機(jī)。

黑客在微軟補(bǔ)丁發(fā)布后、企業(yè)個(gè)人打補(bǔ)丁前的“時(shí)間差”，發(fā)動(dòng)了這次惡意滿(mǎn)滿(mǎn)的攻擊。

就是這樣一個(gè)嚴(yán)重的漏洞，卻并沒(méi)有引起高校內(nèi)網(wǎng)和網(wǎng)絡(luò)安全管理人員的重視，至少?gòu)倪@次受損的高?；ヂ?lián)網(wǎng)網(wǎng)絡(luò)來(lái)看。有很多個(gè)人用戶(hù)甚至有直接關(guān)閉Windows補(bǔ)丁自動(dòng)更新的電腦使用習(xí)慣。

從病毒發(fā)生的短期反應(yīng)看，安全是被重視的，但長(zhǎng)期來(lái)看安全是被忽視的。這也導(dǎo)致了，原本無(wú)差別的勒索，但事實(shí)上卻出現(xiàn)組織內(nèi)網(wǎng)受影響最大。

阿里云安全人員分析稱(chēng)，因?yàn)?45是個(gè)網(wǎng)絡(luò)共享端口，一般學(xué)校等組織的局域網(wǎng)會(huì)開(kāi)放用于共享文件。盡管理論上，這些組織都是內(nèi)網(wǎng)，不是直接暴露在公共互聯(lián)網(wǎng)下。但這個(gè)病毒的傳播方式是具備傳染能力的，所以一旦內(nèi)網(wǎng)某個(gè)機(jī)器感染，就會(huì)成片擴(kuò)散。

因此也不是說(shuō)公共互聯(lián)網(wǎng)就不安全，物理內(nèi)網(wǎng)就是安全的。關(guān)鍵還是看內(nèi)網(wǎng)的安全策略，以及內(nèi)網(wǎng)是不是有“安全守夜人”。

而這并不是第一次發(fā)生數(shù)據(jù)庫(kù)勒索事件了。

2017年1月，阿里云就曾發(fā)布一次MongoDB數(shù)據(jù)庫(kù)發(fā)起大規(guī)模攻擊的預(yù)警。并給出了預(yù)防進(jìn)攻的方法。

卡巴斯基在2016年12月份發(fā)布的年度熱門(mén)事件:加密勒索報(bào)告顯示，截止到2016年，全球有114個(gè)國(guó)家受到加密勒索事件的影響，共發(fā)現(xiàn)44000多個(gè)勒索軟件樣本。

在整個(gè)2016年的黑客攻擊事件監(jiān)控中，教育也成為了受到黑客攻擊最多的行業(yè):

從這些有類(lèi)似特性的勒索案件中，被勒索軟件入侵略的受害者基本都有兩大共性:

關(guān)鍵賬號(hào)存在弱口令或無(wú)認(rèn)證機(jī)制:服務(wù)器登錄關(guān)鍵賬號(hào)(root、administrator)密碼簡(jiǎn)單或空密碼;數(shù)據(jù)庫(kù)(Redis、MongoDB、MySQL、MSsql Server)等相關(guān)重要業(yè)務(wù)服務(wù)直接可以無(wú)密碼登錄。

業(yè)務(wù)直接“裸奔”在互聯(lián)網(wǎng)上:RDP、SSH、Redis、MongoDB、MySQL、MSsql Server等高危服務(wù)直接裸奔在互聯(lián)網(wǎng)上.

而學(xué)校、加油站、醫(yī)院等正好屬于高危群體。

除了提醒學(xué)生注意上網(wǎng)安全，各企業(yè)單位內(nèi)網(wǎng)管理者還可以有以下方法考慮提升內(nèi)網(wǎng)的安全性:

專(zhuān)業(yè)的事情交給專(zhuān)業(yè)的人:企業(yè)可以招聘獲得專(zhuān)業(yè)云計(jì)算人才證書(shū)，真正懂行的人來(lái)做。比如，美國(guó)計(jì)算機(jī)協(xié)會(huì)推出的CompTIA Cloud Essentials 證書(shū)、云安全聯(lián)盟提供的云安全知識(shí)認(rèn)證(CCSK)、和云計(jì)算大廠(chǎng)推出的專(zhuān)業(yè)人才認(rèn)證。、

引入第三方安全團(tuán)隊(duì):以更低的成本解決問(wèn)題(包括學(xué)習(xí)、開(kāi)發(fā)、運(yùn)維等成本)，可以引入靠譜的第三方安全團(tuán)隊(duì)，協(xié)助企業(yè)完善安全機(jī)制，排查潛在安全風(fēng)險(xiǎn)，防范于未然。

選用強(qiáng)安全性產(chǎn)品:不少開(kāi)源軟件的企業(yè)版都會(huì)特別做安全考慮。如果還是選用開(kāi)源軟件，可以自行配置相應(yīng)的安全產(chǎn)品。安全補(bǔ)丁對(duì)個(gè)人用戶(hù)來(lái)說(shuō)相對(duì)簡(jiǎn)單。只需自學(xué)裝載，就能完成止血。但是對(duì)大型企業(yè)or組織機(jī)構(gòu)而言，面對(duì)成百上千臺(tái)機(jī)器，最好還是能使用客戶(hù)端進(jìn)行集中管理。

在產(chǎn)品層面，還有更多關(guān)于定期備份數(shù)據(jù)、對(duì)服務(wù)器進(jìn)行合理的安全域規(guī)劃、設(shè)立遠(yuǎn)程訪(fǎng)問(wèn)權(quán)限等運(yùn)營(yíng)的細(xì)節(jié)建議。

安全領(lǐng)域有這樣一個(gè)比喻，黑客會(huì)在各個(gè)行業(yè)門(mén)口轉(zhuǎn)悠，就像小偷踩點(diǎn)一樣。如果防范做得好，小偷就會(huì)受到威懾，走了;但對(duì)于那些平時(shí)安全意識(shí)差的企業(yè)，被小偷踩點(diǎn)發(fā)現(xiàn)可能有大漏洞，黑客就會(huì)呼朋引伴過(guò)來(lái)。

一周前，巴菲特在伯克希爾哈撒韋股東大會(huì)上說(shuō):“我對(duì)大規(guī)模殺傷武器是很悲觀(guān)的，但我認(rèn)為發(fā)生核戰(zhàn)爭(zhēng)的可能性要低于生化武器與網(wǎng)絡(luò)攻擊?！闭l(shuí)曾想到，這句話(huà)如此快就成真了。對(duì)高校、企業(yè)來(lái)講，通過(guò)這次安全攻擊提高安全意識(shí)和日常防護(hù)標(biāo)準(zhǔn)，也未必完全是件壞事。