张健:对勒索病毒事件的一些思考

张健:各位来宾、各位专家下午好!我今天是结合着前一阶段勒索病毒的一些事件做了一些回顾和思考这里面讲的一些内容谨代表个人的意见,来的很多都是反病毒行业的相关的同仁,一些观点也许有一些碰撞,也请大家见谅。

张健

主要是从这三个方面。第一是把整个的事件做一个简单的回顾。这个病毒是MS17-010等于是3月14日在微软公布的,永恒之蓝黑客工具是在4月14日整个病毒在WannaCry爆发是在5月12日,这是整个的时间轴,它本身还是利用系统的漏洞,通过蠕虫的方式来传播,实际上这个时因为我过去一直在做病毒,最早是在国家病毒应急处理中心我在2001年的时候就开始处理包括像冲击波、振荡波等很多的病毒。只不过它可能是和勒索软件这些新的方式叠加在一起,也就是说蠕虫叠加了一些新的模式,其他没有太多的东西。针对这个事情我们回顾一下从12号开始出现了这个病毒,我们国内包括了全球也有100多个国家受到了这种攻击,360也给了监测的报告,有2.9万多个机构都会感染,国内有一些医院和公安等很多相关的行业像中石油都出了一些问题。

5月14日恰好是我们国家“一带一路”峰会召开的时间,我们国家遇到重大的事件都要启动网络安保。包括G20峰会以及在奥运会的时候我们就开始了这项工作。这几年随着网络的重要性越来越强,针对重大事件的时候我们都有一些相关的部门一直对网络加强安全防范,这个病毒恰好是属于我们在高度警惕和戒备期间出现的。当然也有很多人说病毒是不是和我们的一些大事相关,这个我们先不好评说,但是通过它发生的时段和我们国内当时对我们的警戒的级别是处于高警戒级别的状态。这时候我们应该处理得是比较快的,而且对整个的事件可以有很好的反应的速度,包括后期会降低它造成的影响和破坏,它不像原来的病毒是在放假期间出现的病毒的攻击,上班之后造成了很多的破坏。正好它时间是比较特殊的。这里面可以看一下,可以看一下整体的各个部门的反应,因为中央网信办是在5月13日的时候接受了一个采访,提到了很多相关行业受到的攻击和破坏,而且有相应的360等很多的企业提供的一些数据,各个部门按照行业的管理也都是在自己所属的行业范围内开展了相应的应急处置工作。但还有一些地方受到了攻击和破坏。

这是工信部的安全中心,这边应该是5月13日的时候发布了相应的处理的情况,这里面也提到了,360、安天等相关企业的报告,还有他们自己监测的数据对下面的分析和相应的处置意见。这是我们国家网络与信息安全信息通报中心,这个中心是在我们公安部的网安局,专门对国内出现的重大的一些事件要及时进行通报,所以是在5月13日的时候正式发布了一个相应的处置的意见,12号出了这个病毒要求安装补丁提供了一些建议。国家病毒应急除了中心这里面也是在5月13日发布了相应的预警,同时下面也提供了安天的、360等7家安全企业所提供的一些处置的包括工具和现在的一些方法。前面这几个都是国家队所做相应的一些反应,后面这里面专门提到了国家队里面有几个地方分别提到了安天和360,我又把他们两家的情况提取了出来,因为在事件过程中,这两家发挥的作用确实是比较大。安天这儿专门提到了有一个说明,为什么选用了魔窟作为WannaCry的名字。他们在这个报告中提到了经过跟360这些友商协议了之后决定以魔窟为名字,这是安天和其他的厂商协商确定而不是前面的几个国家队决定的。360叫的名字叫“永恒之蓝”,美国利用了漏洞为网络站的工具,所以起名字叫“永恒之蓝”,这里面也公布了一些处置的意见和建议。这里面可以看一下我们通过这个事件简单地进行回顾,我们都有哪些存在的问题。我这里面也梳理了一下。

第一是说名称的问题,名称不统一,这不是今天的新问题我在过去一直在做病毒的应急处置,在那个时候我们就已经意识到,病毒在大规模的事件爆发之后,它的处置必须得要有一个统一的名称,甚至我们还建议中文的命名是不是要搞一个标准和规范,那时候反病毒的企业我们都形成了一种机制,这种机制实际上到现在并没有真正地落实运行起来。所以现在我们可以看到整个在实践的过程中,媒体有很多的名字,我们的厂家也有不同的名字。不同的名字对于应急处置就会带来一个问题很多人不知道到底是一个事还是两个事,所以这是现在亟待解决的,未来可能还会出现各类的安全事件。这个事件应该是由谁来做,我觉得将来是由国家相关的部门来组织和认定,而不是说像刚才提到的几个厂家大家商量了一个名字作为一个官方的名字来使用。

第二是预防措施的不到位。从4月份、5月份,3月14日正式出来的我发布了不定了,一直到5月份这个病毒才出现,中间有2个月的时间,包括了展览以及很多的地方都有介绍,我们有各类的威胁横暴的系统,这些系统究竟在发挥什么作用,我们有很多的单位都做了安全的等级保护的测评,建立了新的安全制度,出了预警之后,应该有相应的措施。我们可能有很多时候都是在转发,我把相应的一些安全的报告或者是一些预警相应的渠道转发给各个单位了。但各个单位是不是真正落实了,谁来抓落实和落定还有一个监管的问题,谁来监管?是病毒来监管,只要是没有真正落实,逃不过病毒的魔爪,只要是落实了,防范体系就会存在问题。

第三,病毒分析不够深入。包括最早对这个病毒的分析我们都能看到很多时候各个厂家确实都发挥了很大的作用。这次病毒的处置在前几个国家队了都提到了,很多公司的名字都能看得到。但是,我们可以看到在分析的报告里有很多是亦步亦趋,是跟着国外的一些分析机构包括一些安全研究的人员,他们发现了说里面有一个KillWeat(音)就有一个安全域名的问题,到后来有一个密码的问题,本身病毒有一个漏洞,这也是包括我们有很多的厂家在报告里也如实地声明了,确实是按照国外分析者的发现,我们作出了相应的工具。这里里面可以看到,一是预防没有到位,而是真正出现了问题之后,我们的分析能力,像总书记在4·19讲话中提到的要有杀手锏技术,要有自己核心的技术,可是我们目前看出来还是技不如人,还有很大要做的工作。

第四,管理部门的问题,任务职责不明确,协作分工也不够有相应的统一协调的机制,目前不健全,我现在也举了一个例子,我觉得各个部门都是全科医生。为什么?每个部门,包括行业主管都提到了,要管好你的行业,得从病毒的分析、预警、发布包括督促落实,后期的应急处置都要全做。有很多相应的,甭管是刚才提到了很多的国家队、很多的部门,也都是同样做的同样的工作大家身上有高度的融合。这些相关的部门在做工作的同时可以看到背后的技术支撑是来源于谁?来源于几个核心的反病毒的企业和安全的企业。自身在能力的建设,包括很多的工作这方面可能还存在诸多不尽如人意的地方。

第五,缺乏全球的协作机制。我们也可以看到,一个病毒来了不是针对一个国家,而是针对全球的网络,全球究竟是如何进行信息的共享和相互的协作,共同处置我们共同的敌人?现在看也许这种机制还远远不够,过去我们有一个First组织,但国际间是不是应该有针对政府的合作有官方的组织来做这项工作,现在来看也许没有真正地浮现出来。

所以我们总结有这么几个问题。我提到我们要走入一个新的时代,应急工作从1.0的时代过渡到2.0的时代。1.0时代我是这样定义的,过去我们对病毒认为是一些黑客、组织或者是个人的工具,现在的应急工作可能已经发生了质的变化,因为网络空间已经发生了质的变化已经变成了人类社会重要的组成部分。各类的攻击和破坏未必是一种黑客的行为,也可能是一种国家行为,或者就是一种网络站的行为。我们在应急的同时,可不是像过去简单地只是说打补丁、杀毒,重新把网络恢复起来,极有可能对你的攻击是关键基础设施的攻击,有可能造成国家整个的瘫痪带来重大的灾难,所以我们应该有一个新的2.0的时代,我们应该重新去反思,重新去认识我们应该如何去应急,不是一种简单的技术的应急,还应该有更高层面的应急。

我们可以回顾一下刚才提到的网络空间,可以看到从第一代计算机一直到现在第五代计算机,形成了真正现在的网络空间。网络空间这个词最早可以追溯到科幻小说里,在网络空间中相关的定义,ISO给了一个定义,不以任何物理形式存在的,通过信息设备和网络,相互衔接的互联网中人和软件服务相互作用形成的复杂环境。

我们国内现在也有一个定义,因为很多时候不同的地方、不同的国家都有不同的定义。这个定义也可以看,一方面强调是有很多是一个人造的电磁空间,有很多的设备连接起来,更重要的是这里面又有一些对数据进行创造、存储、改变、传输、使用、展示等相关的工作,来实现特定的信息通信工作的活动。也就是说人类电磁空间中有一些数据的活动,进行交换存储的服务,把它称之为网络空间。

我们国家去年专门发布了国家的网络空间战略,战略中对网络空间也有很明确的一些定义,这里面就提到了是互联网通信网、计算机系统、自动化控制系统、数字设备机器承载的应用服务等组成的网络空间,而且网络空间在战略里明确地提到是我们信息传播的新渠道,生产生活的新空间,经济发展的新引擎,文化繁荣的新载体,社会治理的新平台,包括交流合作的新纽带和国家主权的新疆域,这是对网络空间的一个定义。从这个定义可以看到,网络空间确确实实不是虚拟社会,是真正人类社会未来的发展,而且对人类社会的影响将来是越来越大。

在这种情况下,网络空间的安全如何来定义,ISO里也有这样的定义,主要是强调保密性、完整性和可用性。在网络空间战略中也提得很高,事关人类的共同利益,事关世界和平和发展,事关各国的国家安全,是维护我国的网络安全是协调推进全面建成小康社会,全面深化改革、全面依法治国、全面从严治党战略布局的重要举措,是实现两个一百年奋斗目标的一个任务。这是在网络空间和网络战略里的定义。网络空间对国家和人类的发展都是至关重要的。

我们也可以再回溯一下这次“敲诈者”木马。早年的时候我们可以追溯到2006年,我们齐名叫敲诈者木马,当然也是把硬盘的数据加密,给你一个工商银行的账号,让你打91块钱或者是51块钱,我们觉得这像是网络绑票一样,所以齐名叫“敲诈者”,我们国家应急处理中心很快把相应的除了提供了出来。从敲诈开始到结束票渣合计人民币是7061.05元,最后被判了有期徒刑4年,这是银行加上人民币就悲剧了。银行是实名的我可以追溯它,要的是人民币也需要是真正的货币,这样在实名的情况下很快会悲剧,最后很快可以把人抓住。同时利用了比特比和Tor,Tor+比特币黑客就可以数钱了。Tor网络是美国海军研发的一种网络,现在这两样结合在一起,就成为了一种不能追溯、不能溯源的一种攻击的方式,这种方式只是用于勒索就非常有效,它形成了一种有效的盈利模式而且是安全的。过去如果是通过安全找你要直接的货币是不安全的,因为容易让人抓获,所以整个技术发展的趋势。

这样看来我们整个人类社会实际上在网络空间的发展过程中,面临着诸多的问题,一个是像网络事故,可以看到很多时候一个下去把施工和光缆给铲断了,我们也可以看到网络的犯罪,包括网上盗窃利用木马的攻击,已经是常年可见并且花样翻新,破坏性越来越强。而且网络恐怖活动也是越来越多,最重要是网络站实际上已经是迫在眉睫了,很多时候已经看到了在有一些地方已经发生了网络站相关的踪迹了。

随着整个网络空间的发展,可以看到一个是它的泛在化、智能化、融合化的趋势,同时针对的是军事化、政治化、碎片化。很多国家利用网络来达到自己独霸全球的目的。各国为了保护自身的利益,可能要和互联网断开,变成孤立的网,所以我们有很多不同的看法,实际上它就是一种碎片化的表现。

网络空间可以这样去看待,它不再是一个纯粹的技术乐园,最早是一个技术的产物,也不是我们纯粹的精神的家园和虚拟的社会,是真正人类社会的延伸,网络空间也不是法外之地,对国家有主权,对个人来说有隐私权、财产权,我们需要有法律的规则和标准来维护我们的权益。

我这了也有一个想法,原始是共产主义社会,大家可以进行信息的共享,大家可以彼此交流,好像其乐融融对人类经济和文化的发展起到了推动的作用。可是随着1.0的“原始社会”是不是会像进入人类的奴隶社会、封建社会、资本主义社会以及共产主义社会,我们网络是不是已经进入到了新的阶段和新的级别,有待大家讨论,形成新的共识。

全球在网络空间的治理说是博弈加剧,美国一直说把网络作为全球的工具,不愿意网络是有边界的,它可以通过网络可以自由地去传播各类的信息和观点,这是它以利益相关方的形式来维护网络的发展。北约从另一个角度专门出来了一个《塔林手册》,对网络战交战的规定做了一些界定,要承认有网络的网络是有主权的。

对我们国家网络空间的发展、网络安全的发展,在419的时候总书记有重要的讲话和精神,这里面都提到了,维护网络安全,要求首先要找出漏洞,及时通报关于应急处置里面有很多重要的观点,是很高的要求。但我们现在通过这次的事件,究竟做到了哪些?还有哪些差距和问题?

网络安全法对监测预警和应急处置做了规定,国家要建立相应的一些预警和信息的通报制度,国家的网信部门应该统筹相应的一些信息的搜集分析以及发布安全预警,所以法理要受谁可以做,不是任何的单位都可以随便地发预警,这会造成社会的混乱。这次的事件很多媒体发布的信息是不准确的,有时候是夸大其词的。后面都有关键信息基础设施部门应该建立它的职责是有哪些,网信部门应该建立相应的风险评估和应急的机制,制定这种预案,定期组织演练,而且负责关键信息基础设施的部门,应该有自己本行业的要有相应的预案,要组织演练,所以这里都提到了很多很明确的要求。

反观这次事件我们也提到了很多的问题,离我们这次的网安法和4·19讲话,虽然处置的效果还是不错,但还有很多不尽如人意的地方,和我们法律的要求,和总书记对网络安全的要求,可能还有很大的一些差距。这里面正好最近也有很多的一些微信群都在传,美国专门是在应急响应上有这样一个计划,这个计划里特别强调了一些各个部门之间的协同分工,所以我就觉得这里面确实是他山之玉可以攻石。借助国外的一些经验和做法对我们实际上还是有作用的,这里面专门提到了几个工作,一个是威胁响应的领先部门是美国司法部,这里面强调了,要将它下述的FBI包括国家网络调查联合工作组要开展工作,对这个威胁要及时进行判定,同时采取相应的证据的留存。实际上我们为什么刚才一直在讲这个问题现在很重要,因为它2.0的应急工作,有可能我们遭受的是网络战的攻击,必须要有一个真正的协同部门和牵头部门对来的事件做准确的判定,而不是说单纯的技术应急,也许确实不是狼来了,而是真正的狼来了,另外对我们国家的关键基础设施发动了攻击,如果我们还按照现有的应急体制,将来会出大问题了。美国已经想到这儿了,有领衔的司法部来做这个工作,我们包括情报的支持还有很多重大事件涉及到的相关的部门甚至是包括了私营企业都有一套机制来保证。

这个报告和计划实际上我觉得有很高的参考价值,美国人也是在应对未来可能会遭受的网络战的攻击上有了相应的考虑。按照刚才网络安全法的相应的要求,我们觉得里面已经涉及到,但还可能需要有很多的具体的措施来真正落实到位,而不是说现在都是全科医生,什么都要做,相互之间没有协同和合作,必须得要根据自己承担的职责有专门化的团队来做专业的工作,然后来形成合力,对一个网络发生的事件做出准确的判定、及时的相应和实施的相应。

我也做一个小广告,我本身也是网络空间安全协会,这个协会是在去年3月25日正式成立的,主要是由行业各类的从业人员、研究机构包括大学共同来组建成立的。这是在3月25日成立的大会,王秀军部长来参加的。我们的发起单位有257个,会员单位190多个,现在会员数一直在不断地增加,这次都是安全界的朋友和同业的人员,希望大家可以加入这个协会,共同利用协会的平台促进社会的发展,维护国家网络空间的安全。中央网信办对协会也有具体的要求,这个协会上级的主管部门就是中央网信办,我们有很多的工作也要配合中央网信办来开展和实施。我们专门搞了一个“网安中国行”的系列活动,在天津已经正式启动了,包括我们有相应的高端论坛,同时我们目前还积极开展了一个网络社会的评议的活动,希望网民都来参加了解和形成一个网络安全的晴朗指数,我们知道到底网络安全不安全,通过这个活动来实施的,同时我们结合网络安全法的贯彻,组织协会的会员开展对照网安法对查的工作。作为行业的相关单位,我们率先垂范率先执行网安法,哪些责任我们的行业要率先去做。

这里我也希望通过平台的会议,也希望这个会今后开得越来越成功,我们也希望整个中国的网络空间的安全能得到有效的保障,促进我们整个网络安全行业的发展,因为行业现在实际上还比较弱,我们希望通过各种各样的平台和机会来推动行业的发展,让行业真正做大,只有网络空间的行业做大了,安全才能真正地得到保障。

在这里谢谢大家!

上一篇:公安部陈妍:等级保护2.0时代下的云上用户安全指引

下一篇:北信源钟力:大数据驱动的泛终端安全