5月16日��,CCFYOCSEF 設置了一場特別研討會���,主題是“勒索病毒:憑什么能綁架我們的系統���?”�����,在該議程上����,綠盟科技、奇虎360����、安天三家廠商作特別報告����。
上午10點左右����,雷鋒網才得到該論壇的消息,在下午1點半���,也就是該論壇召開的前半小時��,雷鋒網趕到了現場���,發現連一些廠商公關都是中午臨時得到的消息�,該論壇的橫幅在開始前十幾分鐘才掛上���,但現場60個座位幾乎全部坐滿�,有嘉賓會前 5 分鐘趕過來時,主辦方不得不臨時加了一些椅子。
由于此前幾天漫天消息飛�,各方響應十分及時���。各個廠商的發布信息對雷鋒網而言����,已經不算新鮮��。但是�,今天風勢顯然已經轉變����,一些媒體開始發布“反轉信息”,質疑這場轟轟烈烈的網絡安全大事件究竟是否名過其實。
雷鋒網在會議間隙“抓住了”綠盟科技的副總裁李晨與安全研究部總監左磊(今天的三位特別主講人之一),拋出了今天大熱的一些“質疑”����。
以下為采訪實錄:
1�、雷鋒網:最近有人說“想哭”勒索病毒是一場炒作,實際上感染沒有這么嚴重,我想知道咱們這邊監測到的具體數據。
綠盟科技:根據英國MalwareTech機構發布的數據,目前在該事件中�����,全球約16萬個主機受到蠕蟲感染�,整個事件還是很嚴重的。綠盟科技主要服務大型機構�����,由于保密性��,具體用戶數據不方便提供,但可以肯定的是,綠盟用戶總體受影響不大�。
在第一次開關域名被注冊后�����,該事件的態勢已經受到了遏制,即使現在有一個病毒變種開關被刪除,因為該事件受到重視����,感染態勢也放緩了�。
有一點要說明的是��,因為這次“病毒勒索”事件本身技術性很強�����,可能會造成很多“外行”對于各種渠道傳播的各類信息存在解讀誤區。
2�、雷鋒網:怎么評價該勒索蠕蟲作者的水平��?有人說他是朝鮮黑客,因為有段代碼與曾經疑似朝鮮黑客組織的代碼類似��,您怎么看����?
綠盟科技:作者水平一般,利用的是公開漏洞和已捕獲的勒索軟件,沒有值得稱道的地方��。關于作者的身份���,現在沒有確鑿證據支撐他是朝鮮黑客���。
3��、雷鋒網:如何評價 5 月 12 日以來各個廠商的響應?
綠盟科技:業內大部分安全公司都非常嚴謹和負責����,其實���,針對每一次安全事件��,安全廠商都有這樣的流程:預警通告—預警建議—產品升級—為客戶提供相應的服務支撐,對這次事件的響應我們采取的也正常工作流程���。
比如:
5月12日晚間,綠盟威脅情報中心監測到可疑攻擊�;
5月13日凌晨�,陸續接到來自各地的服務工程師的通報���,隨后截獲惡意樣本�����;
5月13日上午10時�,經過梳理驗證���,預警通告正式發送給各大客戶����;
5月13日上午10時,綠盟未知威脅分析系統TAC實現WannaCry勒索病毒檢測��,并隨后給出檢測報告����;
5月13日上午12時,NIPS/NIDS/NF/RSAS產品防護能力已經確認就緒����;
5月13日下午1時��,安全服務團隊經過慎重驗證,發布一鍵加固腳本����,當天持續更新3個版本�����;
5月13日下午1時,各地服務團隊開始實施修補加固動作����,協助用戶升級產品����,安裝補?。?/p>
5月13日下午5時��,NTI威脅情報中心發布WannaCry勒索病毒監測及分析報告��;
5月14日�,根據威脅情報中心NTI及各地客戶反饋的信息���,綠盟科技應急指揮中心決定���,緊急調配500臺入侵防范NIPS和脆弱性評估RSAS設備馳援客戶一線為不具備網絡邊界防范能力的客戶免費提供設備�����,協助客戶完成應急處置。
5月16日,根據樣本進行深入研究分析�,并出具WannaCry勒索軟件溯源分析報告�;
4����、雷鋒網:有人說無非就是拔網線、打補丁、關端口之類,業內有人各種方案頻出��,淪為了公關戰���,你們怎么看����?
綠盟科技:各個安全公司都出方案,都寫應急工具是好事����。正常情況下����,安全廠商都會第一時間發布工具����,為更快的服務客戶,進行應急響應,但這種緊急開發的工具���,很可能不夠完善,例如不能適應所有系統,后續會再更新和完善,出另外一些版本。所以每家安全公司都可能出來好幾個版本��,顯得很亂�����,但對具體客戶而言�����,特別是有固定安全廠商服務的客戶��,就不會產生壞的影響����,也不排除有個別廠商過度宣傳。
事實上���,對于普通用戶而言,拔網線�����、打補丁�����、關閉 445 端口基本是足夠的��,當然,有些領域有其特殊性,有些系統比較老舊�,補丁都打不上�����,要進行另外的設置。
5、雷鋒網:目前也有磁盤修復的文件修復思路,但一直也沒什么數據可以說明效果����,你們怎么看���?
綠盟科技:本次事件中的勒索軟件采用了文件刪除����,而非覆蓋重寫的方式�����,正常的數據恢復工具,應該可以起到一定的效果�����。
6���、有人認為��,根本就沒被勒索多少錢�,但是助力了中國安全股市的上漲�,這種論點會讓安全行業很尷尬嗎?
綠盟科技:確實沒有被勒索多少錢�����,現在也就折合人民幣40多萬元���。不過�����,明明3月份微軟就發布了相關補丁�����,許多安全公司也推送了嚴重漏洞公告,但是全球還有這么多人中招�����,說明大家不重視基礎安全服務�����。因此,企業用戶要重視網絡安全�,做好基礎安全建設�,并具備基本的運營能力����,個人用戶要好好打補丁���。
李晨
左磊
