在“互联网+”时代下,中华人民共和国海事局(以下简称:海事局)将海事信息化作为持续发展的核心要务之一,在推动各级单位落实创新工作的同时,紧抓信息安全管理工作。在2017年“一带一路”高峰论坛期间,海事局携手亚信安全共抗“永恒之蓝”勒索蠕虫,利用亚信安全信端病毒防护(OfficeScan)与信舱云主机安全(DeepSecurity)的智能化防御功能,对“一带一路”高峰论坛保障系统提供了应急处置与安全加固,确保相关业务系统的正常运行。
“永恒之蓝”突然来袭,海事局遇到棘手难题
2017年,是勒索软件在全球加速蔓延的一年,特别是5月12日,“永恒之蓝”勒索蠕虫(WannaCry)在全球多个国家爆发。在“永恒之蓝”事件中,至少有150个国家、30万名用户中招,造成的损失高达80亿美元,我国政府、教育、交通等多个行业也遭受不同程度的影响,这使人们对于勒索软件的关注达到了空前的高度。
WannaCry病毒爆发的时间点,正值“一带一路”高峰论坛举办之际。作为承担海事局重要业务系统安全运维保障工作的海事局信息科技处,在第一时间接到亚信安全的网络威胁预警后,立即启动了阻止该病毒爆发的紧急处理工作。
但是,通过对WannaCry病毒传播原理和自身网络情况的分析,海事局信息科技处发现这个勒索蠕虫并不容易应对:
第一,“永恒之蓝”主要利用445文件共享端口实施破坏,但由于海事局内网终端用户文件、打印共享等需求,之前并未作此限制,所以仍然存在大量开放的445端口。
第二,要应对“永恒之蓝”,就需要统一安装Windows操作系统补丁,为每台终端修补MS17-010漏洞。但面对数量庞大的内网终端,逐一安装部署补丁会耗用大量的时间,可能会给勒索蠕虫的攻击留有空间。
第三,作为企业级运行环境,海事局已经禁止了相关服务器的自动更新,以防止对生产服务器造成未经测试的变化。针对之前的漏洞,工程师都会在更新到业务服务器之前,在实验室环境中花时间来测试和验证软件补丁和更新,而在生产服务器上安装未经测试的MS17-010补丁是否会对业务造成影响,这是个未知数。
启动爆发阻止功能,“虚拟补丁”见奇效
在勒索软件事件爆发后,海事局第一时间更新了OfficeScan服务器病毒特征库,并通过策略和防毒代码推送的方式,在终端层实现了勒索软件的查杀。在此基础上,通过亚信安全工程师的辅助,海事局信息科技处有针对性的启用了OfficeScan内置的防御功能,成功封堵漏洞。
工程师首先通过防毒墙集中控制台,封闭所有终端的445端口,拒绝勒索软件相关文件的写入控制,快速实现了对勒索软件威胁扩散的有效防御,第一时间阻断了此病毒的网络通路。其次,启用OfficeScan的行为监控模块,对于异常加密的性能实现智能检测,实现了不依赖病毒码和补丁的情况下,也能抵御勒索软件攻击。最后,利用亚信安全OfficeScan产品的病毒爆发阻止功能,检测病毒和共享文件夹会话的阈值,在病毒代码未完成扩散之前,自动对网络中的病毒传播途径进行控制。
在服务器层面,海事局利用亚信安全信舱云主机安全(DeepSecurity)提供的虚拟补丁(Virtual Patch)功能,对物理和虚拟服务器进行病毒免疫加固,在无需重新启动系统的前提下,数分钟内就将这些规则应用到所有虚拟主机上,避免了黑客利用修补漏洞的“时间差”。值得一提是, DeepSecurity还自动保护了处于运行状态和休眠状态的虚拟机,让数据中心从容有序的完成了“永恒之蓝”防御工作。
应急服务十分到位,期待“机器学习”正式入驻
“一带一路”国际合作高峰论坛在北京召开,除了线下论坛的安全需要保障之外,线上网络安全也是重中之重。恰逢“永恒之蓝”勒索病毒的肆意爆发,亚信安全连夜应急处理,并协助海事局对全部服务器和桌面终端进行了安全防护,其技术和服务都赢得了客户的赞许。
海事局相关领导表示:“一带一路”战略的提出,是对“海洋强国”战略的具体化,使得“海洋强国”战略能够付诸实践。在此次勒索软件防御工作中,虽然我们以“零事件”的成绩完成了“一带一路”论坛的保障工作,但也发现了许多不足。未来,我们将进一步在自身安全管理上寻找问题,以更积极主动的安全管理能力去应对未知威胁,还希望借助亚信安全提供的机器学习引擎和人工智能技术,为安保助力。
据悉,在这场勒索病毒“防御战”的对抗中,除了中国海事局之外,所有亚信安全服务客户,都通过以机器学习技术为核心的安全解决方案,成功抵御住了这次勒索病毒的疯狂攻击,成为国内首个、广泛利用三代安全融合技术抗击大规模网络攻击的成功案例。