永恒之蓝病毒入侵中国,“黑色星期一”遇阻
5月14日上午,360威胁情报中心发布了WannaCrypt(永恒之蓝)勒索蠕虫最新态势,截至到5月13日20点,国内也有29372家机构组织的数十万台机器感染,其中有教育科研机构4341家中招,是此次事件的重灾区。
- 1 -
永恒之蓝闯入,教育机构是重灾区
根据360威胁情报中心的统计,在短短一天多的时间,永恒之蓝已经攻击了近百个国家的超过10万家企业和公共组织,其中包括1600家美国组织,11200家俄罗斯组织。
有台湾网友中毒后,更是与黑客进行杀价,将赎金从0.345比特币一路杀到0.02比特币。
当然不仅仅是台湾,大陆被感染的组织和机构,也已经覆盖了几乎所有地区,影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域。
从行业分布来看,教育科研机构成为最大的重灾区。共有4316个教育机构IP被发现感染永恒之蓝勒索蠕虫,占比为14.7%;其次是生活服务类机构,3302个,占比11.2%;商业中心(办公楼、写字楼、购物中心等)3014个,占比10.3%,交通运输2686个,占比9.1%。
另有1053个政府、事业单位及社会团体,706个医疗卫生机构、422个企业,以及85个宗教设施的IP都被发现感染了永恒之蓝勒索蠕虫。
鉴于永恒之蓝影响呈现严重态势,业内人士普遍认为,5月15日因大型机构和政府机构上班,会迎来电脑开机高峰,国内机构将会被大规模感染。对此360企业安全专门制定应急响应,应对此次病毒攻击。
- 2 -
争分夺秒的七十二小时
据360企业安全集团总裁吴云坤介绍:“72小时内,我们在5月13日凌晨率先发布了预警通告,截止15日上午9点,360推送给政企客户的预警通告更新了8个版本,提供了7个修复指南,6个修复工具。出动近千人,提供上万次的上门支持服务,超两万多次电话支持服务,我们还制作了5000多个U盘和光盘发放到客户上手上,手把手教会客户修复电脑,配置网络。”
(360企业安全集团总裁吴云坤)
吴云坤认为,这次政府和企业在周一上班之所以没有被大规模的感染,和这些机构的全面、细致、严格的工作有很大关系。
据悉,某银行在周六上午六点半就建立了响应群,将免疫工具下发,八点半部署全国防护策略,到今天早晨十点半,全行无一例感染;有关部门也第一时间向全国发布了警示和处置指导视频,对全国进行指导。
最终,随着周一工作日电脑开机高峰的结束,360威胁情报中心发布的态势显示,经过72小时全国动员和应急响应,感染和影响得到了控制,周一受感染机构的增长速度比前两天明显放缓,之前被业界广泛担忧的国内机构被大规模感染的状况并没有出现。
- 3 -
周一仅有零星电脑遭感染
“从我们的实际反馈看,证明了之前所有处置和响应工作是有成效的,360威胁情报中心接到的求助信息看,周一只有个别机构和企业有零星电脑感染。”吴云坤说。
此外,这次的永恒之蓝的大规模爆发开始于上周五下午,周末正好是大型机构、政府机关使用电脑的低峰期,这在客观上避免了蠕虫病毒的快速扩散,也为相关机构和行业进行应急处置提供了48小时的缓冲时间。
- 4 -
隔离网不是安全的自留地
本次事件也使全行业开始反思,吴云坤认为,我们整体的网络安全工作主要存在三大问题:第一,国家在网络安全建设上,需要找到能力型厂商。这次勒索病毒爆发事件,是对我国网络安全防御体系的整体考验,这次从病毒爆发重灾区和应急响应上看,过去在基础架构上的安全规划较少,同时很多安全厂商集体失声或反应较慢。
第二,内网隔离不能一隔了之,隔离网不是安全的自留地。多年来,我们强调内外网隔离的思想,认为网络隔离是解决网络安全问题最有效的方式,有些单位的信息安全工作人员仍旧简单地以为,只要隔离就能安全解决问题。但随着互联网时代的日益兴盛,网络边界越来越不清晰,业务应用场景越来越复杂,也有更多的技术手段可以轻易突破网络边界。
第三,政企机构的安全意识需要提高。虽然网络安全已经上升了国家战略层面和法制层面,但是国内机构和企业整体安全意识还不强,此次事件发生前一个月,相关补丁和预警就已经发布,但此次被感染的大多数客户都是因为没有及时打补丁所导致了的。
关 于 本 文
请WX搜索“易简财经(ID:ejfinance)”关注我们
作者:简小编