“辛苦了一年的畢業(yè)設(shè)計都沒了!”、“為什么不能用加油卡，現(xiàn)在誰會帶那么多現(xiàn)金”、“大老遠(yuǎn)趕過來不能說不辦就不辦吧。你找個不中毒的電腦不行嗎?”

比特幣勒索軟件攻擊以來，無數(shù)人在學(xué)校、加油站、辦事廳發(fā)出類似的抱怨。這場攻擊讓經(jīng)歷者進(jìn)入了科幻片中的一場第三次世界大戰(zhàn)。

而本周一，毫無例外幾乎所有的企業(yè)組織都給雇員發(fā)郵件要求開電腦之前先拔網(wǎng)線，并挨個安裝補(bǔ)丁。雖然沒有具體的損失統(tǒng)計，可想而知，整個社會的人力物力成本高昂。

為什么這些原本并不直接連互聯(lián)網(wǎng)的內(nèi)網(wǎng)電腦成為這場勒索攻擊的重災(zāi)區(qū)?是什么讓一向被認(rèn)為安全的業(yè)務(wù)系統(tǒng)陷入絕境?為什么反而個人電腦更安全，企業(yè)的安全這成為大多數(shù)人想要知道的問題。

從技術(shù)角度來說，這次攻擊方式是文件加密和內(nèi)網(wǎng)蠕蟲病毒的合體。這兩個分別來看都不是新鮮事，文件加密攻擊之前多數(shù)通過郵件附件來完成，蠕蟲也常見。但這次蠕蟲病毒非常好地利用了3月份泄露出來的445端口漏洞實現(xiàn)指數(shù)級傳染。

雖然運營商和很多的云計算平臺都提前封殺了這個445。但企業(yè)內(nèi)網(wǎng)對這個重大漏洞無動于衷!

換句話說，當(dāng)全世界都在修復(fù)這個爆炸級漏洞時，大部分企業(yè)還對自己的防火墻沾沾自喜，直到大廈崩塌。

不是還有防火墻和物理隔離嗎?為什么沒防住?

這就要說到一種傳統(tǒng)安全思維和攻擊者思維的差異了。傳統(tǒng)上認(rèn)為只要我把墻修得足夠高，把壁搞的足夠厚，多鋒利的矛都沒法刺穿，那我就安全了。

黑客其實不是這么想的，他的目的是獲利，而不是跟你打陣地戰(zhàn)。勢單力孤的黑客哪能跟你玩這個，他們壓根不走正門。有一句話：堡壘容易從內(nèi)部攻破。

舉個震古爍今的例子。2006年，伊朗在嚴(yán)密的物理隔絕狀態(tài)下重啟核計劃開始生產(chǎn)濃縮鈾。美國和以色列發(fā)現(xiàn)很難正面入侵。于是雙方研發(fā)一種震網(wǎng)病毒，并通過馬來西亞軟件公司，使伊朗購入了夾帶“震網(wǎng)”病毒的離心機(jī)控制軟件。“震網(wǎng)”病毒于2010年6月爆發(fā)。控制并破壞伊朗核設(shè)施的離心機(jī)設(shè)備，使其運行失控、高溫自毀。伊方不得不暫停濃縮鈾進(jìn)程。

從中可以看到，幾乎沒有一個系統(tǒng)可以真正在物理隔絕狀態(tài)下獨立運作。只要需要跟這個世界進(jìn)行某種關(guān)聯(lián)，總是會以各種形式被滲透。

當(dāng)然，這次的勒索事件沒有震網(wǎng)病毒那么復(fù)雜，更常見的是使用u盤就把外網(wǎng)的病毒帶入內(nèi)網(wǎng)。

進(jìn)入內(nèi)網(wǎng)之后，當(dāng)然是長驅(qū)直入，如入無人之境。更何況但凡一臺電腦被感染，即通過445端口自動搜尋同一個內(nèi)網(wǎng)環(huán)境下的其他電腦，以指數(shù)級方式傳染開來，成片淪陷。

根源在于防火墻和物理隔絕就是對外重兵陳防，卻防不住歪門邪道。而越是依賴于對外防御的，往往內(nèi)部就越是空虛。這就是公共服務(wù)系統(tǒng)、高校、以及一些央企業(yè)務(wù)幾乎崩盤的原因。

也有人說，大部分公司組織的內(nèi)網(wǎng)之弱，一個10年前的病毒都能肆虐。原因——在安全的虛幻感下，內(nèi)網(wǎng)電腦幾乎不更新系統(tǒng)。好比是無菌房里的花，一有風(fēng)吹草動就枯萎。

拋開那些需要提升安全意識的空頭話。如果說對本次攻擊事件有什么反思的話，最重要的是改變思路。

首先，絕對的安全是不存在的，不存在的，不存在的。硬件隔離帶來的安全感是幻覺，也是紙老虎。在虛假的安全感之下最大的損失就是丟失了足夠的安全風(fēng)險意識。甚至隔離有多好，內(nèi)網(wǎng)就有多脆弱。

其次，安全是有限度的，有限安全=安全意識+安全工具+安全機(jī)制。三者缺一不可。安全意識根治每個用戶的意識。安全工具像把劍，使用者的能力決定了能不能用好他。而安全機(jī)制更為關(guān)鍵：決定了是死板的還是積極的。

再次，積極的安全機(jī)制是指，專業(yè)機(jī)構(gòu)治理下的環(huán)境通常會及時修復(fù)漏洞，從而使得運行的系統(tǒng)處于“當(dāng)前最安全”的狀態(tài)，這是一個保持進(jìn)化的系統(tǒng)。但普通企業(yè)組織經(jīng)常對補(bǔ)丁視而不見，停止了更新，對外部攻擊的抵抗能力更低，一旦出現(xiàn)問題，反而更為脆弱。

最后，從運營商和云計算廠商提前封禁高危端口的處置策略來看，也能發(fā)現(xiàn)一點，任何大規(guī)模行動都在事先有跡可循，偵察兵對于打贏戰(zhàn)爭起到關(guān)鍵作用。大規(guī)模的云計算廠商往往能夠從歷史信息結(jié)合當(dāng)前的情勢有一個更加全面的態(tài)勢感知能力。從而可以提前預(yù)知和盡早防御。也可能也是未來安全防御的重要趨勢。