ZKIZ Archives


【TMT】內外網分離不再“高枕無憂”:勒索病毒席卷全球 網絡安全背後的隱憂與思考

來源: http://www.ikuyu.cn/indexinfo?type=1&id=12850&summary=

【TMT】內外網分離不再“高枕無憂”:勒索病毒席卷全球 網絡安全背後的隱憂與思考

索蠕蟲軟件襲擊網絡


國內2.8萬家機構被攻陷 蘇浙粵較嚴重


5月12日開始,WannaCry(永恒之藍)勒索蠕蟲突然爆發,影響遍及全球近百國家,包括英國醫療系統、快遞公司FedEx、俄羅斯電信公司Megafon都成為受害者,我國的校園網和多家能源企業、政府機構也中招,被勒索支付高額贖金才能解密恢複文件,對重要數據造成嚴重損失,全球超10萬臺機器被感染。


360威脅情報中心顯示,截至到5月13日下午19:00,國內有28388個機構被“永恒之藍”勒索蠕蟲感染,覆蓋了國內幾乎所有地區。在受影響的地區中,江蘇、浙江、廣東、江西、上海、山東、北京和廣西排名前八位。



5月12日,全球性的Wannacry勒索蠕蟲攻擊網絡,根據360威脅情報中心顯示,截至5月13日19:00,國內有28388個機構被感染,其中江蘇為受災最嚴重地區。



黑客利用windows漏洞


黑客利用了Windows電腦上一個關於文件分享的MS17-010漏洞。微軟現在已經停止對XP和Vista兩個系統提供安全更新,而國內使用XP的用戶又不在少數,因此這類用戶很容易被黑客利用該漏洞進行突破。其實,微軟早在兩個月前就發布了針對該漏洞的安全更新,而很多用戶沒有及時打補丁的習慣,這也給了黑客可乘之機。


中毒後只有“認輸”別無它法


勒索軟件(ransomware)其實是一種病毒,而這種病毒的作用是破壞你的電腦文件。不過這種破壞是可逆的,黑客可以幫你把破壞的文件還原回去,當然你需要付給黑客一筆費用才行。黑客為了增加震懾效果,還對受害者給出一定的期限,超過期限費用將成倍增長,甚至停止給用戶提供恢複服務。


勒索軟件在破壞過程中對電腦進行RSA加密。這種加密方式的特點是,只要加密密鑰足夠長,用戶幾乎是不可能破解的。一般來說,這類病毒密鑰位數長達2048,傳統電腦需要數十萬年才能夠破解。所以一旦電腦中毒,基本沒有挽回余地,如果實在有重要資料需要恢複,只能乖乖向黑客付錢。


目前恢複文件除了交贖金外暫無其他辦法,如果文件特別重要,可以嘗試交贖金,以免過期被“撕票”,但此舉無法得到保障。選擇等待也有希望,待全球安全專家破解黑客的加密算法。


與傳統黑客不同以比特幣為贖


比特幣是一種非政府發行的虛擬貨幣,它的特點是加密並分布存儲在網絡上,所以具有很好的匿名性。一方面,黑客索要比特幣能夠很好地隱匿身份,給警方追蹤犯罪分子帶來很大困難;另一方面,比特幣自誕生以來價格不斷上漲,現在的價格相比幾年前已翻數倍,本周甚至一度超過1800美元。


我們認為用比特幣支付的原因有以下幾點:


一是比特幣是無國界無限制全球自由流通;

二是比特幣賬戶是匿名的,無法追查有利於洗黑錢;

三是近期比特幣行情持續走高,索要比特幣有利於事後保值;

四是借此事件推廣比特幣,不排除此黑客是比特幣玩家。


打安全補丁預防勒索軟件攻擊


針對此次攻擊,應該確認影響範圍,確保Win7及以上版本的系統安裝MS17-010補丁。Win7以下的Windows XP/2003關閉SMB服務。


考慮到windows系統SMB遠程命令執行漏洞的危險性,國內外不少雲服務廠商在4月封掉了445端口,但是不少個人電腦仍然存在大量暴露445端口的機器,這給了黑客可乘之機。


國家網絡與信息安全信息通報中心緊急通報:2017年5月12日20時左右,新型“蠕蟲”式勒索病毒爆發,目前已有100多個國家和地區的數萬臺電腦遭該勒索病毒感染,我國部分Windows系列操作系統用戶已經遭到感染。請廣大計算機用戶盡快升級安裝補丁。


國內網絡安全廠商提出方案


針對此次病毒事件,國內A股網絡安全上市公司給出了解決方案。例如啟明星辰給出的解決方案。


針對未部署端點安全的終端應急解決方案:做好重要文件的備份工作(非本地備份)。開啟系統防火墻。利用系統防火墻高級設置阻止向445端口進行連接(該操作會影響使用445端口的服務)。打開系統自動更新,並檢測更新進行安裝。停止使用Windows XP、Windows 2003等微軟已不再提供安全更新的操作系統。如無需使用共享服務建議關閉該服務。




已部署端點安全的終端應急解決方案:如果用戶已經部署終端管理類產品,如北信源,天珣、聯軟等;通過終端管理軟件進行內網打補丁。通過主機防火墻關閉入棧流量。主機防火墻關閉到445出棧流量。開啟文件審計,只允許word.exe,explore.exe等對文件訪問。升級病毒庫,已部署天珣防病毒的用戶,支持查殺。




無法關閉服務端口的應急解決方案:若用戶已部署UTM/IPS入侵防禦類產品,可聯系廠商獲得最新事件庫的支持。已部署啟明星辰天清入侵防護類產品(IPS/UTM)的用戶,請大家升級至最新事件庫並下發相應規則即可實現對內部Windows主機的防護。未部署相關產品的用戶,可聯系廠商獲得產品試用應急。


北信源認為由於以前國內多次爆發利用445端口傳播的蠕蟲,部分運營商在主幹網絡上封禁了445端口,但是教育網並沒有此限制,因此導致目前蠕蟲的泛濫。北信源基於SMB文件共享傳播的病毒攻擊手動防範方案也是給windows終端打上MS17-010補丁、禁用135,137,139,445端口。



初始病毒已被阻止WannaCry2.0已出現


初始病毒“自殺開關”被發現


英國一網絡安全人員發現者該病毒代碼一開始有一個特殊的域名地址:www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。該域名地址是病毒制作者給自己留的一個緊急停止開關,防止事情失去他自己的控制。該域名涉及到的代碼邏輯:


訪問這個域名——如果域名存在——退出;


訪問這個域名——如果域名不存在——開始繼續攻擊;


也就是說,每一個感染了病毒的機器,在發作之前都會事先訪問一下這個域名,如果這個域名不存在,那就繼續傳播。如果被人註冊了,無論是病毒制作者還是被其他人,那就停止傳播。


這種方法目前只是暫時阻止了勒索軟件的進一步發作和傳播,但幫不了那些勒索軟件已經發作的用戶,也並非徹底破解這種勒索軟件,新版本的勒索軟件很可能不帶這種“自殺開關”而卷土重來,用戶應當盡快更新電腦系統的安全補丁。



WannaCry2.0傳播速度更快


國家網絡與信息安全信息通報中心緊急通報:監測發現,在全球範圍內爆發的WannaCry 勒索病毒出現了變種:WannaCry 2.0,與之前版本的不同是,這個變種取消了Kill Switch,不能通過註冊某個域名來關閉變種勒索病毒的傳播,該變種傳播速度可能會更快。請廣大網民盡快升級安裝Windows操作系統相關補丁,已感染病毒機器請立即斷網,避免進一步傳播感染。


網絡安全事件頻發


維基解密:CIA可入侵用戶各種電子設備甚至汽車


3月8日消息,維基解密披露9000頁機密文件,這些文件證明美國中央情報局(CIA)開發了大量入侵工具。維基解密公布一批CIA文檔,這批文檔的代號為“Vault 7”,它介紹了CIA的黑客技術。安全研究人員從文檔中找不到任何實際的代碼,不過文檔描述的技術相當驚人,CIA找到了幾十個漏洞,攻擊者可以通過漏洞入侵Android、iOS、PC。CIA曾經嘗試入侵三星智能電視,將它變成監聽設備。


涉及美國軍方、企業等上千萬條員工信息的數據庫泄露


3月16日消息,近日美國商業服務巨頭Dun & Bradstreet的52GB數據庫遭到泄露,這套數據庫中包含超過3300萬條記錄,具體包括政府部門與大型企業客戶。這套數據庫包含九十條字段,其中一部分包含多項個人信息,例如姓名、職稱與職能、工作電子郵箱地址以及電話號碼等。有證據證實,該數據庫曾面向營銷廠商出售過,但尚不清楚完整數據集的購買價格。


美國空軍數千份高度機密文件被泄,備份服務器竟無秘鑰


3月16日消息,據外媒報道,沒有設置密碼驗證的備份服務器暴露了數千份美國空軍的文件,包括高級軍官的高度敏感個人文件資料。國外新聞網站查看文件後發現,這些文件包含一系列個人文件,例如4000多名軍官的姓名、地址、職級和社保號。這個備份驅動還包含數GB的Outlook電子郵件文件,包含好幾年的電子郵件。安全研究人員發現,任何人都可以訪問數GB的文件,因為聯網備份服務未設置密碼保護。


上百萬已被破解的谷歌Gmail和雅虎賬戶在暗網低價出售


3月7日消息,最近,暗網市場成了黑客和網絡犯罪分子銷售數據庫(從互聯網巨頭處竊取)的最佳場所。一位昵稱叫“SunTzu583”的黑客正在暗網銷售數百萬Gmail和Yahoo賬號。其中,銷售的Yahoo賬號共計超過24.5萬個,包括用戶名、電子郵箱和破解密碼,這些賬戶來自2012年Last.FM被泄的數據、2013年10月Adobe遭遇黑客入侵以及2008年MySpace遭遇入侵。被出售的Gmail賬戶共計超過95萬個,包括用戶名、電子郵件和明文密碼,數據主要來自三起黑客事件:比特幣安全論壇(2014.9)、MySpace(2008)和Tumblr(2013)遭遇入侵。


黑客在暗網出售中國10億賬戶數據:主要來自騰訊、網易、新浪等


1月26日消息,在最近的一份列表當中,名為“DoubleFlag”的知名暗網供應商正在出售竊取自多家中國互聯網公司的用戶數據。根據這份列表、此套數據集包括來自網易及其子公司126.com、163.com與Yeah.net,騰訊控股公司旗下的QQ.com,TOM集團的Tom.com、163.net,新浪集團的Sina.com/ Sina.com.cn,搜狐公司的Sohu.com以及由中國第一大郵件系統軟件及整體解決方案提供商北京億中郵信息技術有限公司(億郵)持有的eYou.com等。


網絡安全行業增長驅動因素


政策驅動網絡安全下遊需求


2016年11月7日十二屆全國人大常委會第二十四次會議正式的通過了《中華人民共和國網絡安全法》。網絡安全法將於2017年6月1日起施行。法律進一步界定關鍵信息基礎設施範圍;對攻擊、破壞我國關鍵信息基礎設施的境外組織和個人規定相應的懲治措施;增加懲治網絡詐騙等新型網絡違法犯罪活動的規定等。



目前我國面臨著三大網絡安全突出問題:國家網絡主權和國家安全戰略需求;企業數據、知識產權遭竊取難以維權;公民個人信息和隱私遭泄露、詐騙損失慘重。而我國網絡安全法律法規處於空白狀態,在網絡安全問題日益凸顯的當前,往往面臨無法可依的窘境。2017年6月1日,《網絡安全法》正式實施後,網絡安全工作將進入有法可依、有法必依的階段。


這將催生一個不斷擴大的網絡安全市場空間,產業投入和建設也將步入持續穩定的發展軌道。


2017年黨政機關需求帶動


美國2017財年網絡安全預算增長35.7%:美國2017財年政府預算(自2016年10月1日開始)美國聯邦政府支出總計4.1萬億美元,比上一財年上漲約5%。


其中,“網絡安全”支出比上一財年增加35%。美國政府在預算說明中認為網絡威脅是美國經濟和國家安全面臨的“最迫切”危險之一,急需加強信息安全。他提出的190億美元網絡安全計劃能解決美國面臨的短期和長期挑戰,政府將建立網絡安全高級別委員會,了解技術革新趨勢和網絡威脅發展趨勢。


我們認為考慮到今年召開的十九大,以及對標美國政府對網絡安全的預算,中國各級黨政機關、軍隊今年對網絡安全需求也會大幅增長。


安全事故超預期實際需求超預期


我們認為,每年的網絡安全事件總是超預期,導致每年實際需求經常超出年初對需求預測。保守預測無法跟上網絡犯罪的急劇增長勢頭的原因如下:


1.網絡犯罪呈高發勢頭;

2.勒索軟件日益猖獗;

3.PC、筆記本電腦和移動設備的惡意軟件泛濫;

4.數十億受保護的物聯網設備被部署用來實施大規模攻擊;


攻擊者對全球的企業、政府、教育機構和消費者發起網絡攻擊。


技術更新驅動需求和創投並購


2017前2月已有5家AI網絡安全企業被收購


2017年才過去兩個月,就有三家AI網絡安全創業企業被科技巨頭重金收購。


在打擊網絡犯罪領域,人工智能技術正變得越來越重要。2017年前2個月已經有3家關註AI的網絡安全創業企業已被收購。


這三家網絡安全創業企業都針對機器學習技術,即一組用來訓練機器從數據中學習並預測趨勢和結果的算法。包括利用機器學習算法來進行自然語言處理、預測分析、圖像識別等種種功能。


CB Insights的數據庫顯示2017年前兩個月中被大型科技公司收購的3家AI網絡安全創企。


另外,埃森哲於2月8日收購了AI網絡安全公司Endgame的聯邦服務部門。LRR Partners於1月9日收購了BluVector。BluVector是從國防承包商諾斯羅普·格魯曼公司分離出的子公司,其使用機器學習算法來實時檢測企業網絡中的安全威脅。


防止未知威脅的Invincea被Sophos收購


Invincea提供高級惡意軟件威脅檢測、網絡漏洞預防和預漏洞法醫情報。公司的旗艦產品“X by Invincea”是一個機器學習的終端解決方案,旨在防止新的、未知的威脅類型。Invincea擁有不少使用沙盒環境檢測威脅的專利,沙盒環境可以讓軟件開發人員在為測試代碼發布之前先將其孤立等等。



Sophos以1億美元現金收購了Invincea,同時還有2000萬美元的盈利能力支付計劃,績效目標由Sophos設置。公司的研發部門Invincea Labs不再此收購之列。


UEBA技術的被惠普收購


Niara提供的用戶和實體行為分析(UEBA)技術,該技術使用監督和非監督機器學習技術來分析用戶行為,發現可能導致安全問題的異常現象。


Niara的行為分析軟件可以自動檢測組織機構內的攻擊和風險行為。其User and Entity Behavioral Analytics (UEBA)軟件依賴機器學習和大數據分析,增強安全性以防止那些可能滲透傳統防火墻和其他外圍系統的威脅。


收購後,Niara將在HPE Aruba下運營,並整合Aruba的ClearPass網絡安全產品組合用於有線和無線網絡基礎設施。Aruba部門一直是HPE計劃構建實現物聯網服務平臺的一部分。而收購和整合Niara將會特別加強HPE針對物聯網的網絡安全產品組合。當Niara發現安全事件後,客戶可以利用ClearPass隔離或者斷開用戶或者設備與易受攻擊網絡的連接。



關鍵IP用戶行為分析的Harvest.ai日被亞馬遜收購


Harvest.ai使用機器學習和AI圍繞公司的關鍵IP分析用戶行為,從而在客戶重要數據被竊取之前識別並阻止針對性攻擊。Harvest.ai的旗艦產品是一個正在等待專利審核通過的AI產品,名叫MACIE Analytics,可以實時監測知識產權的訪問情況。


根據媒體報道,亞馬遜可能從2016年初就開始了針對Harvest.ai的收購流程,只不過收購細節現在才公開。有傳言表示,亞馬遜以2000萬美元收購了該公司,讓公司背後的唯一風投Trinity Ventures大賺了一筆。



值得關註的人工智能與網絡安全公司


國外已經有公司將機器學習或者人工智能融入安全技術,我們從CBInsights找出13家值得關註的公司,具體情況如下表所示。



重新認識網絡安全


事件驅動網絡安全下一輪繁榮


對於網絡安全行業來說,勒索病毒軟件的爆發是推動行業發展的契機,很多時候說網絡安全的重要性,大家是不信的。政府以及企業的信息部門主管可能早就意識到漏洞和網絡安全問題的嚴重性,但是還是需要有一些事情去推動他,向上去推動預算和決策。網絡安全行業長期以來是政策和關鍵事件驅動,這一次的事件一定會對整個安全行業造成非常大的影響。因為就是最基礎的漏洞沒有補而造成了如此大範圍的不可逆轉的影響,我們認為這個事件會極大的促進整個網絡安全市場,啟動下一輪的行業繁榮。


內外網分開不再安全


本次病毒入侵公安、石油、邊防檢查、校園、醫院等傳統意義上的安全系統,此類系統是內外網分開的,內網系統是不暴露在互聯網上,中間有一個鴻溝,不會受到攻擊,或者說病毒根本進不來。但是,可以通過U盤、郵件的傳播病毒,而一進去發現所有的機器沒有防護,這就是此次事件的真是情況。


一般情況下,網絡安全投入是純成本投入,沒有任何產出。中國信息安全投入占IT投入就2%左右,而西方發達國家是百分之十幾。特別是對企業來說很在乎網絡安全的投入產出比,特別是核心業務不依賴信息化的用戶,對網絡安全的投入很少,只是簡單的在邊界上做個防火墻。但是,這樣的防控級別對於本次病毒來說是無效的,因為它是通過基礎軟件的漏洞在內網傳播的。


投資建議


網絡安全


雖然本次勒索軟件病毒事件並未直接給大陸的網絡安全廠商帶來直接收益,但是,由此事件將社會對網絡安全的重視程度大幅提升。


我們認為,隨著事件的發展,各級安全部門、政府部門、企業組織都將加大自身網絡安全建設,由此引發的後續的網絡安全需求將會快速增加,從而給A股網絡安全公司帶來業績。


此次網絡安全事件全球性的突然爆發,也應征了我們3月份的判斷——2017年是網絡安全大年,計算機行業的投資機會之一。


我們推薦A股網絡安全龍頭啟明星辰,綠盟科技、美亞柏科、北信源。


自主可控基礎軟硬件


此次網絡安全事件的根源還是基礎操作系統出現漏洞,微軟掌握了主動權。要是微軟不提供補丁,任何用戶都沒有辦法。這充分說明我國要必須堅定不移的加速國產自主可控基礎軟硬件的研制應用和推廣工作。例如國產的操作系統、國產的CPU這是核心,軟件操作系統有漏洞,芯片同樣有漏洞。在芯片里面植入程序後是無法事後維護修改的,後果更可怕。


所以我們認為,除了關註網絡安全之外,我們更需要關註自主可控的基礎軟硬件,這是值得投資人長期關註的。


我們推薦高性能計算機龍頭中科曙光、中間件龍頭東方通。


風險提示


外部競爭者進入網絡安全領域。(完)


股市有風險,投資需謹慎。本文僅供受眾參考,不代表任何投資建議,任何參考本文所作的投資決策皆為受眾自行獨立作出,造成的經濟、財務或其他風險均由受眾自擔。

PermaLink: https://articles.zkiz.com/?id=249954

Next Page

ZKIZ Archives @ 2019