作者:扈永正 焦斌 钱一飞
来源:《中国新通信》 2018年第4期
据BBC 报道,全球很多地方爆发了一种软件勒索病毒,只有缴纳高额赎金(有的要比特币)才能解密资料和数据,英国多家医院中招,病人资料威胁外泄,同时俄罗斯,意大利,整个欧洲,包括中国很多高校也受到波及。
北京时间2017 年5 月12 日20 时左右,全球爆发大规模勒索软件感染事件,我国大量行业企业内网大规模感染。随着事件推移,病毒影响范围进一步扩大,包括企业、医疗、电力、能源、银行、交通等多个行业均遭受不同程度的影响。经过分析得知该勒索软件是一个名称为“WannaCry”的新家族,该病毒加密方式虽然不是什么最新加密方式,但是该病毒造成如此大的影响的关键在于该病毒是利用基于445端口传播扩散的SMB 漏洞MS17-010,微软在今年3 月份已经发布了该漏洞并同时发布了补丁,通过对受影响的对象分析可以看出,造成损失最大的不是暴露在大众之下的互联网用户而是号称躲在物理隔离下的行业企业内网(以下简称“内网”)终端。并且内网受影响之大,行业损失之大超乎想象。
一、内网安全的现状
1.1 安全意识不强
很多内网为保证其安全性,原则上要求与外网物理隔离,在相对封闭的环境中,系统建设单位对于安全的重视程度普遍下降,web、数据库、操作系统等补丁更新相对滞后,这就造成现在很多内网存在“一点突破,全网暴露”的弱点,据一些从事安全维护的朋友在实际工作中发现很多内网充斥着弱口令、系统漏洞、sql 注入、xss 等漏洞,系统安全做的再全面,存在这些简单的漏洞,那么网络安全便无从谈起,内网网络安全管理人员及使用人员的网络安全意识薄弱是网络安全工作的短板所在。
1.2 内网边界接入点私搭乱建及“网中网”难以监测很多内网也采取了相应的安全措施,制定了相应了安全管理制度,但是由于实际工作需要仍然存在“网中网”,这也为内网的整体安全埋下隐患,不管是符合规范的“网中网”内部设备以及私搭乱建的网中网设备,由于网络特性(例如以NAT 方式等接入)很难监控内部终端设备网络行为, 这也导致现在内网设备终端不可控。
1.3 移动存储介质使用混乱
涉密与非涉密存储介质使用混乱,未能正确区分与标识,外部移动存储介质在单位内网使用时未能及时提前查杀病毒、木马等恶意代码,造成病毒传播、扩散。总体来说内网安全现状堪忧。私搭乱建边界接入口难以监测,存储介质(美国震网病毒)使用混乱,关键系统内部防护措施薄弱,参与系统建设人员安全意识不高,个别参与系统建设工程师掌握更高权限,安全事件发生后取证、溯源困难等一系列安全问题表现突出。
二、针对内网安全现状,采取相应安全防护措施刻不容缓。
1、加强安全队伍建设,组建本单位网络安全队伍,自身技术提高的同时,关注全国安全现状及趋势,对全国乃至全球安全的趋势做到了解,及时更新自身知识库,与时俱进,针对新出安全问题及时把控,自身检查,及时补救。
2、目前私搭乱建边界接入点、存储介质使用实时监测尚无有效手段,所以建议引入纵深防御概念,分割内网,逻辑隔离,即划分最小信任单元,这样能有效的减小危害范围。
3、重要系统、资源做到互联网防护级别,内网建立系统补丁库,及时扫描补全全网操作系统漏洞,web 漏洞由各地组织相关技术人员进行监测,对中间件及系统后门进行漏洞修补,同时日志审计针对安全事件发生,过程,后果做到可知,建议采取流量分析手段防范目前流行APT 网络攻击,做到及时发现攻击行为,及时阻断。
4、运维管理正规化,标准化。内网随着业务扩展日趋复杂,不同背景的运维人员会给内网安全带来较大潜在风险。应该设置专职安全运维人员,严格按照制定的规范、流程日常运维。
5、增加威胁监测预警机制。除了传统IPS 的基本安全风险过滤,还需要对内网增加对APT 等高级攻击威胁的监测预警。威胁监测的目的是通过对访问项目系统产生的网络流量进行深度分析,还原并监测网络流量中的文件、邮件、网页、恶意代码活跃行为等,结合大数据和机器学习建模、新一代文件虚拟执行分析、流量行为分析、多维关联分析等安全分析和检测技术,对高级攻击中广泛采用的0day/NDAY漏洞利用、特种木马等威胁进行分析,挖掘网络空间中的已知和未知威胁,实现对网络高级攻击全方位的预警。
总之,内网安全形势堪忧,内网安全管理运维人员必须转变思想、观念,引入互联网防护理念,分级分域,纵深防御,确保内网安全。
因篇幅问题不能全部显示,请点此查看更多更全内容