黑客組織“影子經(jīng)紀人”日前再度發(fā)出警告稱，將在6月披露更多竊自美國國家安全局的黑客工具, 瞄準Windows 10、路由器、瀏覽器甚至是手機。這意味著，接下來全球可能面臨新的網(wǎng)絡安全威脅。

勒索病毒瞄準手機。

日前在全球肆掠的勒索軟件“想哭”(WannaCry)據(jù)稱即源自該組織外泄的黑客工具，上一波網(wǎng)絡攻擊發(fā)生時，全球150個國家的30萬臺電腦遭到攻擊，其中，攻擊對我國很多行業(yè)網(wǎng)絡也造成極大影響，包括教育、石油、交通、公安等。

復旦大學網(wǎng)絡空間治理研究中心主任沈逸對此給予了警告般的評估認為，“想哭”勒索軟件是一次準網(wǎng)絡戰(zhàn)級別的攻擊，“如果發(fā)生在戰(zhàn)時，敵方對后勤系統(tǒng)及基礎設施發(fā)動更為大型和專業(yè)化的網(wǎng)絡攻擊，其后果難以想象。”他對澎湃新聞說。

“中國此番中招，一方面說明中國互聯(lián)網(wǎng)的普及程度正迅速提高，但另一方面也說明從終端用戶到政府部門對網(wǎng)絡安全的重視程度還是不夠，推進網(wǎng)絡安全事業(yè)的發(fā)展需要科學合理的指導原則與方法。”中國國際戰(zhàn)略學會學術部主任虞爽說。

對國家網(wǎng)絡戰(zhàn)能力的實戰(zhàn)化檢驗

就在黑客組織“影子經(jīng)紀人”再度發(fā)出警告之際，據(jù)聯(lián)合早報18日報道，國際網(wǎng)絡專家警告，一款名為Adylkuzz的惡意軟件可能會以更隱秘的方式發(fā)動襲擊，用戶甚至無法立即發(fā)現(xiàn)電腦已受感染。

報道援引網(wǎng)絡安全機構Proofpoint研究員戈迪耶的話報道說，他們發(fā)現(xiàn)新一波的網(wǎng)絡攻擊行動，“黑客利用美國國安局最近被揭露的黑客工具，雖然微軟已修復了該漏洞，但(黑客)以更隱秘的方式(發(fā)動襲擊)，其目的也不同。” 他說，不同的是，Adylkuzz軟件并不會為受感染電腦的文件加密，然后要求用戶支付贖金，而是利用受感染的電腦來“挖掘”虛擬門羅幣，然后把錢轉入自己的戶頭。

Proofpoint還透露，受感染的電腦將無法進入視窗系統(tǒng)的分享資源，電腦和服務器的速度也會減弱，一些用戶或許無法立即發(fā)現(xiàn)電腦已受感染。

如果以上警告成真，這將是對全世界網(wǎng)絡安全的又一次新的考驗。而距12日勒索病毒席卷全球150個國家，僅僅不到一周，對于這場網(wǎng)絡襲擊的定性仍有不同看法。

根據(jù)中國工業(yè)和信息化部國家互聯(lián)網(wǎng)應急中心公布的數(shù)據(jù)顯示，從5月13日9:30到5月14日10:30分的監(jiān)測期間，監(jiān)測發(fā)現(xiàn)全球約242.3萬個IP地址遭受勒索軟件“想哭”蠕蟲病毒利用SMB漏洞攻擊，被該勒索軟件感染的ip地址數(shù)量近3.5萬個，其中中國境內IP約1.8萬個。

“從武器級的網(wǎng)絡攻擊能力擴散、以及對國家維護網(wǎng)絡安全能力的考驗來看，這就是一次準網(wǎng)絡戰(zhàn)級別的攻擊，對所有國家網(wǎng)絡戰(zhàn)能力的一次實戰(zhàn)化檢驗，因為它直接挑戰(zhàn)了國家對網(wǎng)絡攻擊的防御及響應能力。”復旦大學網(wǎng)絡空間治理研究中心主任沈逸對澎湃新聞表示。

不同于大多數(shù)學者及研究人員對此次事件黑客犯罪行為的定性，沈逸認為本次由“勒索”病毒引發(fā)的網(wǎng)絡危機是一次國家框架下的網(wǎng)絡安全事件，對中國的應對也構成直接挑戰(zhàn)。

“這次事件發(fā)生后，不少公共服務機構、加油站隨即紛紛中招。如果發(fā)生在戰(zhàn)時，敵方對后勤系統(tǒng)及基礎設施發(fā)動更為大型和專業(yè)化的網(wǎng)絡攻擊，其后果難以想象。”沈逸進一步說。

在美國著名智庫蘭德公司早在9月發(fā)表的名為《美中軍事記分卡：武力、地理和力量平衡的變遷》的報告中，就曾明確指出，美軍如果對中國發(fā)起網(wǎng)絡進攻，首選目標很可能就是軍民共用的關鍵基礎設施(如交通運輸、導航、醫(yī)療、電力等相關領域的基礎設施，和平時期為民用，戰(zhàn)爭時期可為軍隊提供保障)。

安天實驗室的主要創(chuàng)始人兼首席技術架構師肖新光對澎湃新聞表示，這次事件的嚴重后果源自美國國家安全局(NSA)的網(wǎng)絡武器失竊，這些網(wǎng)絡武器用于攻擊時的穿透性很強，在非戰(zhàn)爭條件下，網(wǎng)絡武器通常是在情報作業(yè)中高度定向、謹慎使用的。

“但一旦網(wǎng)絡武器流失到第三方，被大規(guī)模使用，就會造成大面積安全災難。”肖新光說。

中國國際戰(zhàn)略學會學術部主任虞爽認為，在過去，我們一些關鍵的基礎設施與部門一直寄希望于內外網(wǎng)分離的方式，但目前看來這種想法已不符合網(wǎng)絡攻防技術的發(fā)展潮流。“通過早前伊朗核設施遭遇 震網(wǎng) 病毒的攻擊一事也可以看出，物理隔離早已非萬全之策。”他說。

不過，肖新光也強調，值得一提的是，在網(wǎng)絡安全主管部門、行業(yè)機構和各安全企業(yè)的協(xié)力應對下，病毒在行業(yè)內網(wǎng)的傳播擴散得到了快速遏制，度過了周一的“開機大考”。

網(wǎng)絡領域應加強和民間融合

值得注意的是，在“勒索”病毒于5月12日爆發(fā)后，數(shù)家中國網(wǎng)絡安全企業(yè)反應迅速，對于病毒特性、感染方式做出詳細分析，并給互聯(lián)網(wǎng)用戶提供若干解決方案。

但是，盡管中國互聯(lián)網(wǎng)公司近年來發(fā)展迅速，但在網(wǎng)絡安全技術領域，中國企業(yè)在世界上排名仍然靠后。根據(jù)美國網(wǎng)絡安全風險投資公司(Cybersecurity Ventures)發(fā)布的、獲得業(yè)內普遍認可的全球安全企業(yè)創(chuàng)新500強榜單，在今年第一季度的排名上，一共只有5家中國大陸企業(yè)進入榜單，且均在前100名開外。其中，奇虎360位居第126位，其余還有瀚思、安天等。相比之下，美國有上百家企業(yè)進入榜單，且排名靠前。

據(jù)《北京晚報》16日報道，360企業(yè)安全集團總裁吳云坤15日在媒體通氣會上表示，如果沒有這次勒索病毒，大家仍會覺得網(wǎng)絡安全問題離自己非常遠。根據(jù)很多咨詢機構的數(shù)據(jù)，中國政企機構安全投入占整個IT投入只有2%，而發(fā)達國家占到9%。所以，根本上還是要解決投入問題、意識問題和廠商的問題。

“目前，我國一些網(wǎng)絡安全企業(yè)的生存狀態(tài)并不是很樂觀。一部分企業(yè)，從市場角度來說，它們能夠獲得的生存土壤是有限的，需要快速盈利的能力。但是，很多網(wǎng)絡安全公司所做的事情是一個長線的問題，并不能獲得短平快的收益，這種情況下國家就應該對網(wǎng)絡安全企業(yè)的生態(tài)進行主動的塑造。”虞爽表示。

肖新光認為，我國當前網(wǎng)絡安全產(chǎn)業(yè)最需要進行的是需求側改革，即如何使我們的網(wǎng)絡安全需求導向轉為能有效應對威脅。從網(wǎng)絡安全的屬性來說，真正的高級威脅和深度威脅的一個特點是具有極大的定向性和隱蔽性，是一種客戶不易看到的威脅。如果我們整個社會的認知與安全建設導向是以“眼不見為凈”為標準，即看不見的威脅就不是威脅，只有產(chǎn)生社會影響的威脅才會收到重視，那將是極其危險的。“因為對手竊取我們相關的技術成果和情報之后，它是不會公開說出來的。”

虞爽也認為，應該從國家層面做一個規(guī)劃和扶持。“以美國為例，它有專門的風投公司In-Q-Tel (IQT)代表國家對初創(chuàng)的網(wǎng)絡安全公司進行注資和扶持，例如現(xiàn)在聞名世界的火眼(Fire Eyes)及谷歌地球的前身Keyhole，其發(fā)展都離不開國家的扶持。”

此前，虞爽曾在《世界知識》撰文指出，網(wǎng)絡安全博弈的根本在于技術，而技術發(fā)展與提升源自互聯(lián)網(wǎng)產(chǎn)業(yè)。支撐美國在互聯(lián)網(wǎng)技術上絕對優(yōu)勢地位的，既不是美國國防部，也不是白宮，而是像“八大金剛”(思科、IBM、谷歌、高通、英特爾、蘋果、甲骨文、微軟)、賽門鐵克、火眼這樣的互聯(lián)網(wǎng)技術公司。

“中國的網(wǎng)絡安全公司要想取得突破，必須讓敢于并能夠在危機出現(xiàn)時頂上去、抗住威脅壓力的企業(yè)和機構獲得支援，取得良好的生存環(huán)境。”沈逸表示，“美國網(wǎng)絡技術的真正優(yōu)勢在于其整體生態(tài)，使需要得到支持的公司與機構能夠得到支援。”

此外，虞爽還認為，“網(wǎng)絡安全具有非常強的特殊性，傳統(tǒng)武器的高精尖技術人才一般都在體制內;但在網(wǎng)絡方面，掌握先進的網(wǎng)絡攻防技術、乃至系統(tǒng)漏洞的人才，相當一部分都在民間。這反映了我國網(wǎng)絡領域的官民兩股力量之間需要攜起手來，做到融合發(fā)展。”

建立網(wǎng)絡空間防擴散機制的契機

勒索病毒瞄準手機。

但是，維護國家網(wǎng)絡安全，除了需要在國內建立良好的網(wǎng)絡安全產(chǎn)業(yè)整體生態(tài)，還需要有效的國際合作。有趣的是，“勒索”病毒肆虐全球后，盡管諸多專業(yè)機構及分析人士均把工具的源頭指向美國國安局，但是美國卻矢口否認。

美國國家安全顧問湯姆·波塞特15日對外表示，勒索贖金的代碼不是由美國國安局的工具開發(fā)出來的。但是，他卻回避了“勒索”病毒與國安局此前開發(fā)的網(wǎng)絡間諜工具之間的關系。到16日，又傳出“勒索”病毒可能與朝鮮有關的消息。

“對比美國政府在之前網(wǎng)絡安全議題上高調的姿態(tài)，美國政府此次可以說是非常地低調。”沈逸說，“這說明，美國政府心虛了。”

事實上，對美國政府的指責還包括美國本土的互聯(lián)網(wǎng)公司。微軟總裁以及首席律師史密斯14日坦承微軟公司對“勒索”病毒襲擊負有最大責任，但同時指責美國政府存在過失，認為政府在發(fā)現(xiàn)系統(tǒng)漏洞后應告知微軟公司，而不是儲備、售賣或者利用它們。

但是，美國《外交政策》網(wǎng)站15日刊文認為，微軟的要求無疑是讓美國國安局單方面解除所有武裝，而這是國安局絕對不可能做的——“就像即便 戰(zhàn)斧 巡航導彈落入敵手，美國也不會放棄使用 戰(zhàn)斧 一樣。國安局也不會因為一種網(wǎng)絡武器的遺失而就此放棄。”

“美國政府在此次病毒事件中當然有應被指責之處，但是有效的指責并不應源自康德式的理想主義的出發(fā)點。”沈逸強調，“網(wǎng)絡武器的研發(fā)是普遍存在的事實，道德主義的口號無助于解決網(wǎng)絡軍控的現(xiàn)實問題。美國政府在網(wǎng)絡空間武器出現(xiàn)擴散后應對不當，才是外界應當抓住的痛點。”

沈逸認為，在原有網(wǎng)絡間諜武器丟失后，美國政府除了應將漏洞告知微軟公司，還應盡到通知各國政府、機構及個體用戶的義務，以防止網(wǎng)絡武器擴散在全球造成不可估量的損失。但是，美國政府的失職，使之成為各方指責的焦點所在。

“這是推進全球網(wǎng)絡空間防擴散機制的好機會。”沈逸表示，“這既是中國彰顯在網(wǎng)絡安全問題上的大國地位的良機，也反襯出中國從開始向全球倡導的建設網(wǎng)絡空間命運共同體的必要性、正當性以及迫切性。”

但是，“網(wǎng)絡空間不同于物理空間，又與物理空間緊密相連，因此地緣政治、大國博弈等物理空間的問題也會映射到網(wǎng)絡空間，使虛擬空間的全球治理更為復雜，也更難。”虞爽認為，“目前，中美歐等國及發(fā)展中國家圍繞全球網(wǎng)絡治理體系的討論，還沒發(fā)展到怎么治理的議題，而是卡在誰來治的問題上。但這個問題不解決，其余的問題也很難向下延伸。”

據(jù)路透社報道，網(wǎng)絡安全評級公司BitSight進行的一項調查發(fā)現(xiàn)，過去一周遭全球勒索軟件攻擊的用戶中，有三分之二運行的是微軟Windows 7操作系統(tǒng)，并且沒有進行最新的安全更新。

研究人員仍在努力尋找“想哭”勒索病毒的早期痕跡，認為找到“零號病人”也就是第一個傳染源可能有助鎖定犯罪黑客。

安全專家警告稱，逾300000個互聯(lián)網(wǎng)地址的電腦受到勒索軟件病毒攻擊，而修補了“想哭”弱勢的更多攻擊還將接踵而來，波及更多的用戶，后果會更具毀滅性。

圖為5月13日，一臺位于北京的筆記本電腦屏幕上顯示的勒索病毒界面。

英國咨詢機構MWR InfoSecurity調查與事件響應主管普拉特利稱，“想哭”類似蠕蟲病毒，能夠在沒有人為干預的情況下傳染連在同一網(wǎng)絡中的其他電腦，Windows 7系統(tǒng)似乎成了理想的攻擊對象。

BitSight的調查覆蓋160000臺受到“想哭”攻擊的聯(lián)網(wǎng)電腦。結果顯示，Windows 7占到感染總數(shù)的67%，而該系統(tǒng)在全球Windows個人電腦用戶中占比不到一半。

運行較老版本系統(tǒng)的電腦，比如英國國民保健制度(NHS)體系所用的Windows XP，盡管本身而言容易遭受攻擊，但好像并不能傳播感染，所以在這次全球攻擊中的作用要比最初報導的小得多。

最近一個名為“想哭”的勒索病毒在全球爆發(fā)，150多個國家、數(shù)十萬臺電腦遭遇感染。然而在來勢洶洶的病毒面前，360安全衛(wèi)士的用戶安然無恙，基本無人中招。

據(jù)悉，360自從開始就已對勒索病毒進行監(jiān)控和防護技術研究，陸續(xù)研發(fā)出專門針對勒索病毒行為攔截的云主動防御、基于機器學習人工智能算法的數(shù)據(jù)流檢測，以及文檔保護、反勒索等一系列創(chuàng)新技術和服務，其中多項發(fā)明技術已經(jīng)申請國家專利。

在防御勒索病毒的產(chǎn)品研發(fā)方面，360安全衛(wèi)士首創(chuàng)了智能誘捕、行為追蹤、智能文件格式分析、數(shù)據(jù)流分析等安全技術，可以全面防御各類已知和未知的勒索病毒：

智能誘捕是捕獲勒索病毒的利器。通過設置在防護系統(tǒng)各處的陷阱文件，當有病毒加密文件時，就會命中設置的陷阱，用于發(fā)現(xiàn)各類試圖加密或破壞文件的惡意程序。

行為追蹤是基于360的云安全主動防御體系，通過多維度智能分析程序行為，對可疑的文件操作進行備份與內容檢測，發(fā)現(xiàn)惡意修改則立即阻斷并恢復文件內容，用于攔截各類文件加密和破壞攻擊，能夠主動防御最新出現(xiàn)的勒索病毒。

智能文件格式分析，識別數(shù)十種常用文檔格式，精準識別對文件內容的破壞而不影響正常文件操作，在確保數(shù)據(jù)安全的同時又不影響用戶體驗。

數(shù)據(jù)流分析，基于機器學習的數(shù)據(jù)流分析，過濾文件讀寫數(shù)據(jù)流，由人工智能戰(zhàn)士保衛(wèi)文檔安全。

數(shù)據(jù)顯示，在360超過5億用戶中，近期有大約20萬用戶系統(tǒng)沒有打補丁而被勒索病毒攻擊，已全都被360安全衛(wèi)士成功攔截，沒有受到損失。正常安裝開啟360的電腦，都可以第一時間防御勒索病毒，確保文件不會被病毒加密。

針對高度重視文檔數(shù)據(jù)安全的企業(yè)和辦公用戶，今年3月，360還發(fā)布了全球首個勒索病毒專防工具“360文檔衛(wèi)士”，目前已擁有超過百萬用戶。360文檔衛(wèi)士能夠自動免疫所有已知和未知的勒索病毒。

之所以不怕任何病毒破壞文檔，是因為360文檔衛(wèi)士獨創(chuàng)了一套“乾坤大挪移”防護機制。如果有任何程序對文檔進行修改，它都會第一時間把文檔自動備份在隔離區(qū)保護起來，用戶可以隨時恢復文件。

憑借國際領先的攻防技術實力，360成為全球獲得各大軟件廠商漏洞報告致謝最多的安全廠商，僅去年一年就幫助微軟、谷歌、蘋果等巨頭發(fā)現(xiàn)了超過400個漏洞而獲得官方致謝。在今年國際頂級黑客大賽Pwn2Own上，360安全團隊以最高積分獲得“Master of Pwn”世界總冠軍。