為什么扁鵲的大哥是最好的醫(yī)生？

“在它發(fā)生之前”。

關(guān)于WannaCry爆發(fā)的思考。

5月12日

勒索者WannaCry幾乎一夜成名。據(jù)國(guó)外媒體報(bào)道，該病毒已經(jīng)嚴(yán)重影響了全球近100個(gè)國(guó)家的用戶。但是從作者周圍朋友和公司的反饋來看，WannaCry雖然厲害，但是造成的傷害似乎并沒有想象中的那么大。制造商和普通用戶都已經(jīng)為WannaCry做好了準(zhǔn)備。

5月14日

周日，我公司同事的QQ群發(fā)布了一個(gè)關(guān)于防止WannaCry的通知，殺毒的軟件和補(bǔ)丁。

5月15日

周一上班，一切安然無恙，同事一個(gè)都沒招。

勒索軟件真的是“臭名昭著”。一旦被抓住，文件將被“鎖定”。如果贖金不交，你想用的文件就成了純粹的“擺設(shè)”。然而，在WannaCry爆發(fā)之前，已經(jīng)發(fā)生了多起勒索軟件“害人”的事件，引起了全世界的警惕:

一方面，人們的安全意識(shí)比以前有了很大的提高。

另一方面，在WannaCry大規(guī)模爆發(fā)之前，微軟發(fā)布了補(bǔ)丁軟件，很多安全廠商給出了提示和解決方案。而且病毒爆發(fā)時(shí)，很多企業(yè)的網(wǎng)管和安全廠商都堅(jiān)守崗位，袖手旁觀。

正是這種積極的防御壓制了WannaCry的傲慢。

WannaCry這次真的陷入了“人民戰(zhàn)爭(zhēng)的海洋”。不僅安全供應(yīng)商采取了行動(dòng)，一些數(shù)據(jù)備份和災(zāi)難恢復(fù)供應(yīng)商也提供了“解鎖”文件的解決方案。正當(dāng)各廠商借WannaCry爆發(fā)之機(jī)宣傳安全防御的重要性以及自己的安全產(chǎn)品和解決方案的時(shí)候，有一家廠商卻一直默默守護(hù)著，那就是華為。

對(duì)于華為來說，是不是無關(guān)緊要，高高掛起？不。那是華為沒有“交出”WannaCry的產(chǎn)品或解決方案嗎？甚至更少。華為在安全網(wǎng)關(guān)領(lǐng)域的交換機(jī)和企業(yè)網(wǎng)關(guān)產(chǎn)品線總經(jīng)理宋端智解釋了原因。

小“沙盒”大反轉(zhuǎn)

先說個(gè)小故事。大家都知道神醫(yī)扁鵲，但是你知道扁鵲有兩個(gè)哥哥嗎？根據(jù)扁鵲自己的敘述，他的兩個(gè)哥哥在醫(yī)術(shù)上比他強(qiáng)。扁鵲的大哥能在病人發(fā)病前及時(shí)治療疾??；扁鵲的二哥在病人剛開始有輕微癥狀時(shí)就治療了這種疾病，病人已經(jīng)痊愈，沒有感到太大的疼痛；扁鵲通常在病人病情非常嚴(yán)重的時(shí)候采取行動(dòng)，這讓人們感嘆他以起死回生的神奇技巧而聞名。在你看來，他們?nèi)齻€(gè)誰的醫(yī)術(shù)最好？當(dāng)然是能夠“防患于未然”的大哥。

如果將扁鵲兄弟行醫(yī)的例子與當(dāng)前安全領(lǐng)域的形勢(shì)相比較，防范“未知威脅”是最具挑戰(zhàn)性的，也是當(dāng)前安全研究必須突破的重點(diǎn)和難點(diǎn)。華為也把這項(xiàng)工作作為核心任務(wù)，這也是華為成立以安全技術(shù)研究為重點(diǎn)的“預(yù)測(cè)試實(shí)驗(yàn)室”的原因。顧名思義，“在它發(fā)生之前”就是“在它發(fā)生之前”。

WannaCry的爆發(fā)，華為的客戶基本不受影響?！白鳛橐粋€(gè)專業(yè)的安全供應(yīng)商，我們不應(yīng)該把所有的精力放在談?wù)撐覀兊募夹g(shù)手段有多聰明上，這些技術(shù)手段可以做出緊急響應(yīng)并快速恢復(fù)文件。危害發(fā)生后，即使響應(yīng)速度更快，損失也無法挽回。”宋端志說:“網(wǎng)絡(luò)安全最重要的是預(yù)防。”

事實(shí)上，華為之前已經(jīng)默默做了很多工作，就像扁鵲的大哥一樣，在用戶意識(shí)到WannaCry的巨大殺傷力之前，非法侵權(quán)就無形中消失了。具體來說，華為有一款沙盒產(chǎn)品叫做FireHunter，可以檢測(cè)未知威脅，并根據(jù)其行為進(jìn)行分析。例如，當(dāng)所有電子郵件都通過沙箱時(shí)，沙箱可以準(zhǔn)確識(shí)別哪些電子郵件包含高風(fēng)險(xiǎn)軟件。因?yàn)檫@個(gè)判斷過程不是實(shí)時(shí)的，所以這個(gè)高風(fēng)險(xiǎn)的ransomware還是會(huì)通過防火墻進(jìn)入客戶的系統(tǒng)。這意味著可能會(huì)招到第一個(gè)客戶，但與此同時(shí)，華為的沙箱會(huì)將檢測(cè)到的高風(fēng)險(xiǎn)ransomware信息快速上傳到華為全球情報(bào)處理中心，這些流程會(huì)在首次發(fā)現(xiàn)未知攻擊到全球生成主動(dòng)防御措施的15分鐘內(nèi)完成。

▲常見的ransomware界面

WannaCry的爆發(fā)涉及到兩個(gè)安全問題:一個(gè)是ransomware本身，另一個(gè)是ransomware利用微軟的漏洞在局域網(wǎng)中傳播。幾乎每個(gè)人的防御策略都是從網(wǎng)絡(luò)中屏蔽相關(guān)端口。這有積極的作用，但會(huì)大大降低工作效率，比如文件共享性差?！癢annaCry爆發(fā)后，有客戶反映，因?yàn)橄嚓P(guān)端口被安全部門封鎖，導(dǎo)致打印機(jī)無法共享。由此可見，這并不是一個(gè)最優(yōu)的方法?！彼味酥菊f，“華為的原則之一就是讓安全無處不在，就是讓交換機(jī)、路由器、Wi-Fi接入點(diǎn)等網(wǎng)絡(luò)設(shè)備具備安全功能?！?/p>

華為的沙盒產(chǎn)品現(xiàn)在是第二代。根據(jù)計(jì)劃，華為第三代沙盒產(chǎn)品將于今年9月推出。最重要的改進(jìn)有兩個(gè)方面:一是增加了沙盒的防規(guī)避技術(shù)，使病毒不知道自己已經(jīng)進(jìn)入沙盒檢測(cè)過程；二是借助機(jī)器學(xué)習(xí)技術(shù)，多研究樣本，進(jìn)一步提高沙盒檢測(cè)的準(zhǔn)確率。

除了沙盒產(chǎn)品，華為還有基于大數(shù)據(jù)的安全分析平臺(tái)CIS(Cyber Security Intelligence System)，也是利用機(jī)器學(xué)習(xí)技術(shù)來分析判斷流量，確認(rèn)是惡意行為還是正常行為。

“正常的安全措施是必不可少的，比如打補(bǔ)丁軟件和升級(jí)殺毒軟件。華為希望進(jìn)一步提高網(wǎng)絡(luò)的基本安全門檻，讓大多數(shù)客戶都能得到保護(hù)?！彼味酥究偨Y(jié)道，“華為在安全方面的核心原則之一是把安全防御工作放在前面，而不是事后諸葛亮?！?/p>

為什么主動(dòng)防御不能快速普及？

其實(shí)，變被動(dòng)防御為主動(dòng)防御，是很多廠商都在談?wù)摰囊粋€(gè)安全概念，和華為說的“防患于未然”是一個(gè)道理。主動(dòng)防御并不是一個(gè)全新的概念，得到了用戶的廣泛認(rèn)可，但是為什么在實(shí)際應(yīng)用中很難實(shí)現(xiàn)這個(gè)概念呢？是技術(shù)問題，還是客戶背負(fù)歷史包袱？

“主要是意識(shí)的問題，或者用戶的注意力不夠?！彼味酥局毖?，“就像人的健康問題一樣，很多人在沒有身體問題的情況下，并沒有把更多的精力花在預(yù)防和保健上。例如，許多用戶不知道新的訂閱服務(wù)模式，支付年費(fèi)并更新防火墻功能數(shù)據(jù)庫(kù)。其實(shí)業(yè)界有很多很好的安全防范措施，但用戶并沒有完全應(yīng)用?！?/p>

話又說回來，廠商提前提供這種防范手段是有一定技術(shù)門檻的。首先，安全產(chǎn)品要有快速判斷未知威脅的能力。就像WannaCry ransomware一樣，這是一個(gè)全新的威脅。安全系統(tǒng)能否在第一時(shí)間判斷為高風(fēng)險(xiǎn)的ransomware，需要安全廠商具備一定的能力，而ransomware和病毒會(huì)“偽裝”自己，這就更加難以判斷，所以這種能力的培養(yǎng)需要漫長(zhǎng)而深刻的積累。

其次，廠商要有廣泛的客戶基礎(chǔ)。華為的客戶遍布全球。無論世界上哪里出現(xiàn)新的安全威脅，華為全球情報(bào)處理中心都能第一時(shí)間獲取信息，并及時(shí)發(fā)送給全球用戶，提前做好防范工作，避免損失。

現(xiàn)實(shí)中，沒有人能100%保證不會(huì)出現(xiàn)安全問題，也不可能某個(gè)安全產(chǎn)品或措施普遍適用于一勞永逸地解決所有問題。華為的策略是通過智能聯(lián)動(dòng)，在網(wǎng)絡(luò)層面上保證整個(gè)企業(yè)的安全，把安全墻建得盡可能高，相當(dāng)于增加了黑客和惡意攻擊者的攻擊成本，增加了攻擊的難度，從而減少了客戶可能遇到的安全威脅。

宋端志以社保為例:“我們每一個(gè)人，每一個(gè)家庭都會(huì)注意自己的安全，裝上安全鎖和防盜門，必要時(shí)還會(huì)請(qǐng)保鏢。其實(shí)網(wǎng)絡(luò)安全相當(dāng)于需要做什么才能保證整個(gè)社會(huì)的安全，比如建立公共安全體系，搞好社會(huì)治安，在大街小巷安裝攝像頭，警察不斷巡邏。這些安全措施使犯罪分子不敢輕易犯罪?？蛻舯M力保護(hù)自己的終端設(shè)備。我們幫助客戶做好網(wǎng)絡(luò)安全，讓安全防護(hù)無處不在?！?/p>

安全的理想境界

云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的快速發(fā)展，增加了安全的負(fù)擔(dān)。原來分散的安全保護(hù)策略不再適用。用戶應(yīng)該構(gòu)建一個(gè)新的安全體系結(jié)構(gòu)，用全面和集成的安全策略來保護(hù)應(yīng)用程序和數(shù)據(jù)。

宋端志認(rèn)為，安全領(lǐng)域正在發(fā)生一些新的變化和挑戰(zhàn):

一是未知威脅越來越多，特別是一些高級(jí)攻擊，現(xiàn)實(shí)中沒有現(xiàn)成有效的對(duì)策，需要邊研究邊解決。

第二，單點(diǎn)保護(hù)已經(jīng)失效，只在網(wǎng)關(guān)上保護(hù)是不夠的。

第三，越來越多的應(yīng)用和數(shù)據(jù)遷移到云中，公共云和工業(yè)云的安全保護(hù)是一個(gè)棘手的問題。以前只需要保護(hù)“企業(yè)邊界”，現(xiàn)在云沒有邊界，安全保護(hù)變得更加困難。

針對(duì)上述問題，華為的基本策略是:實(shí)現(xiàn)云、管道、終端對(duì)未知威脅的協(xié)同防護(hù)，通過智能技術(shù)手段，將未知威脅第一時(shí)間轉(zhuǎn)化為已知威脅，實(shí)現(xiàn)云與終端的聯(lián)動(dòng)。這樣才能更有效的防守；安全保護(hù)不應(yīng)該只停留在網(wǎng)關(guān)級(jí)別，而應(yīng)該無處不在。除終端之外的所有網(wǎng)絡(luò)元件，包括交換機(jī)和路由器，都必須具有安全功能。

“在過去，單一的保護(hù)點(diǎn)相當(dāng)于在城外的地方豎起一把刺刀?，F(xiàn)在雖然通道越來越多，但是所有通道上都有攝像頭，也就是說所有網(wǎng)元都有監(jiān)控執(zhí)行點(diǎn)和數(shù)據(jù)采集點(diǎn)，所有異常行為都可以檢測(cè)出來。這就是到處都是安全的效果?！彼味酥颈硎?“我們不僅提供安全產(chǎn)品，涵蓋云管理端的華為安全解決方案也為客戶提供了這種無處不在的安全能力，幫助他們實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的主動(dòng)三維安全保護(hù)?！?/p>

面對(duì)WannaCry的爆發(fā)，有效破解只是第一步。更重要的是，用戶應(yīng)該提高防御未知威脅的技能，建立無處不在的安全系統(tǒng)。能夠像扁鵲那樣及時(shí)解決和補(bǔ)救安全問題是件好事，但如果你能像扁鵲的大哥一樣在問題發(fā)生之前就預(yù)防問題，這不是更好的狀態(tài)嗎？

轉(zhuǎn)自|中國(guó)云新聞