5月16日,CCFYOCSEF 设置了一场特别研讨会,主题是“勒索病毒:凭什么能绑架我们的系统?”,在该议程上,绿盟科技、奇虎 360、安天三家厂商作特别报告。上午 10 点左右,雷锋网才得到该论坛的消息,在下午 1 点半,也就是该论坛召开的前半小时,雷锋网赶到了现场,发现连一些厂商公关都是中午临时得到的消息,该论坛的横幅在开始前十几分钟才挂上,但现场 60 个座位几乎全部坐满,有嘉宾会前 5 分钟赶过来时,主办方不得不临时加了一些椅子。
由于此前几天漫天消息飞,各方响应十分及时。各个厂商的发布信息对雷锋网而言,已经不算新鲜。但是,今天风势显然已经转变,一些媒体开始发布“反转信息”,质疑这场轰轰烈烈的网络安全大事件究竟是否名过其实。
雷锋网在会议间隙“抓住了”绿盟科技的副总裁李晨与安全研究部总监左磊(今天的三位特别主讲人之一),抛出了今天大热的一些“质疑”。
以下为采访实录:
1.雷锋网:最近有人说“想哭”勒索病毒是一场炒作,实际上感染没有这么严重,我想知道咱们这边监测到的具体数据。
绿盟科技:根据英国MalwareTech机构发布的数据,目前在该事件中,全球约16万个主机受到蠕虫感染,整个事件还是很严重的。绿盟科技主要服务大型机构,由于保密性,具体用户数据不方便提供,但可以肯定的是,绿盟用户总体受影响不大。
在第一次开关域名被注册后,该事件的态势已经受到了遏制,即使现在有一个病毒变种开关被删除,因为该事件受到重视,感染态势也放缓了。
有一点要说明的是,因为这次“病毒勒索”事件本身技术性很强,可能会造成很多“外行”对于各种渠道传播的各类信息存在解读误区。
2.雷锋网:怎么评价该勒索蠕虫作者的水平?有人说他是朝鲜黑客,因为有段代码与曾经疑似朝鲜黑客组织的代码类似,您怎么看?
绿盟科技:作者水平一般,利用的是公开漏洞和已捕获的勒索软件,没有值得称道的地方。关于作者的身份,现在没有确凿证据支撑他是朝鲜黑客。
3.雷锋网:如何评价 5 月 12 日以来各个厂商的响应?
绿盟科技:业内大部分安全公司都非常严谨和负责,其实,针对每一次安全事件,安全厂商都有这样的流程:预警通告—预警建议—产品升级—为客户提供相应的服务支撑,对这次事件的响应我们采取的也正常工作流程。
比如:
5月12日晚间,绿盟威胁情报中心监测到可疑攻击;
5月13日凌晨,陆续接到来自各地的服务工程师的通报,随后截获恶意样本;
5月13日上午10时,经过梳理验证,预警通告正式发送给各大客户;
5月13日上午10时,绿盟未知威胁分析系统TAC实现WannaCry勒索病毒检测,并随后给出检测报告;
5月13日上午12时,NIPS/NIDS/NF/RSAS产品防护能力已经确认就绪;
5月13日下午1时,安全服务团队经过慎重验证,发布一键加固脚本,当天持续更新3个版本;
5月13日下午1时,各地服务团队开始实施修补加固动作,协助用户升级产品,安装补丁;
5月13日下午5时,NTI威胁情报中心发布WannaCry勒索病毒监测及分析报告;
5月14日,根据威胁情报中心NTI及各地客户反馈的信息,绿盟科技应急指挥中心决定,紧急调配500台入侵防范NIPS和脆弱性评估RSAS设备驰援客户一线为不具备网络边界防范能力的客户免费提供设备,协助客户完成应急处置。
5月16日,根据样本进行深入研究分析,并出具WannaCry勒索软件溯源分析报告;
4.雷锋网:有人说无非就是拔网线、打补丁、关端口之类,业内有人各种方案频出,沦为了公关战,你们怎么看?
绿盟科技:各个安全公司都出方案,都写应急工具是好事。正常情况下,安全厂商都会第一时间发布工具,为更快的服务客户,进行应急响应,但这种紧急开发的工具,很可能不够完善,例如不能适应所有系统,后续会再更新和完善,出另外一些版本。所以每家安全公司都可能出来好几个版本,显得很乱,但对具体客户而言,特别是有固定安全厂商服务的客户,就不会产生坏的影响,也不排除有个别厂商过度宣传。
事实上,对于普通用户而言,拔网线、打补丁、关闭 445 端口基本是足够的,当然,有些领域有其特殊性,有些系统比较老旧,补丁都打不上,要进行另外的设置。
5.雷锋网:目前也有磁盘修复的文件修复思路,但一直也没什么数据可以说明效果,你们怎么看?
绿盟科技:本次事件中的勒索软件采用了文件删除,而非覆盖重写的方式,正常的数据恢复工具,应该可以起到一定的效果。
6.有人认为,根本就没被勒索多少钱,但是助力了中国安全股市的上涨,这种论点会让安全行业很尴尬吗?
绿盟科技:确实没有被勒索多少钱,现在也就折合人民币40多万元。不过,明明3月份微软就发布了相关补丁,许多安全公司也推送了严重漏洞公告,但是全球还有这么多人中招,说明大家不重视基础安全服务。因此,企业用户要重视网络安全,做好基础安全建设,并具备基本的运营能力,个人用户要好好打补丁。
[李晨]
[左磊]
