5月12日晚間開始，一種新型“蠕蟲式”勒索軟件WanaCrypt0r 2.0開始在互聯網上肆虐。如果你用的是Windows系統，又不巧沒有安裝今年3月微軟發布的相關安全補丁，那么只要開機聯網，無需任何操作，都有可能“中招”。

“中招”的電腦中，文件都被加密鎖定，黑客聲稱想要解密需要以比特幣支付贖金，但截至目前，尚未見到支付贖金后得以解密的案例報道。而除此之外的解決之道，就只能是重裝系統，再從恢復備份文件。——沒備份？那麻煩可就大了。

關鍵基礎設施中招，物理專網防御如同薄紙

高校、醫院、政府機關等基礎設施是這次網絡攻擊的重災區。據杭州都市快報報道，5月12日晚11時，下沙高教園區校園網被黑，浙江傳媒學院、中國計量大學，浙江理工大學等一一淪陷。每日經濟新聞報道稱，5月13日凌晨開始，受該蠕蟲病毒影響，全國2萬家加油站斷網，雖然能加油，但無法刷卡，無法使用在線支付。而就在同日，珠海市公積金系統也“緊急停辦”。

被病毒感染的電腦界面

短時間內造成如此大規模的影響，是這種蠕蟲病毒特別厲害嗎？并非如此。這種蠕蟲病毒的的傳播方式和2008年前后出現的“沖擊波”、“震蕩波”原理上如出一轍，都是利用共享文件445端口傳播，只不過因為它利用的是Windows系統的漏洞，而Windows系統在全球的普及度太高，因而受災范圍尤其驚人。

在全球互聯網化不斷加深的今天，安全不再是某一個節點或者某一個小范圍之內的問題，在這種大規模的病毒感染面前，全球的計算機都面臨風險。蠕蟲病毒不是今天才出現的，日常的蠕蟲攻擊甚至從未中斷過，但這次在如此大的范圍之內讓關鍵基礎設施停擺，這就是一個在國家層面非常值得警醒的問題：我們的安全觀念是否有偏差？我們的安全治理是否做得到位？

“很多基礎設施單位為了安全，通常建有物理隔離的專網，和互聯網不互通。但這一次的事件恰好暴露出物理隔離的專網安全性不堪一擊。”阿里云首席安全研究員吳翰清解釋了這類機構受災嚴重的原因。據他介紹，很多物理隔離的專網還在使用非常老舊的系統，補丁升級滯后，快速響應能力十分欠缺。“很多系統甚至是長期‘帶病運行’，這次只是漏洞被利用的后果更加嚴重，破壞性更大，這才引起了注意。”

事實上，由于以前國內多次爆發利用445端口傳播的蠕蟲，各大運營商對個人用戶已封掉445端口，這類用戶這次就都“逃過一劫”，反而是建有物理專網的單位，445端口未封，相當于“門戶大開”，因而成為了重災區。

物理隔離專網，聽上去隔絕了外部互聯網，是個安全的“小王國”，但其實防御十分脆弱。比如一個u盤，在連接上了互聯網的電腦上插拔之后，再插到物理隔離專網的電腦上，就可能造成外網的病毒感染。還有些單位為了方便，會給辦公電腦裝兩張網卡，一張連接互聯網，一張連接專網，病毒也可能通過這種電腦從外網滲入專網。

“物理隔離專網防御就像一張紙，一戳就破。”吳翰清說，“但大家對這個問題普遍缺乏認識，還是迷信專網的安全性，認為做了專網就可以高枕無憂了，然后就放松了內部的安全治理。這種觀念是非常糟糕的。”

防患未然比事后補救更重要

如果不幸“中招”，要如何補救？網上已經涌現出了多種“補救攻略”，但大部分都只是一些防患于未然的警告，只是在還未中招時教用戶如何關閉相關端口，或者打上微軟的補丁。

“假如沒有備份，現有的恢復軟件只能以一定概率恢復極少數的文件。”吳翰清說，“或者你能搞到黑客的云端加密秘鑰——無論對哪一種方式，我們都持悲觀態度。”

不過，也有很多用戶安然度過了危機。一家香港的銀行表示，因為采取了最先進的防火墻和殺毒軟件，并且建立了快速響應的安全機制，所以這次安然無恙。阿里云的客戶也幾乎沒有受到影響。目前，阿里云默認為ECS用戶關閉445端口，且默認安裝Windows官方補丁。

這其中并沒有很深的秘密，最大的不同在于，云上的數據帶來了可見性。而可見性是安全的基礎。只有看得見才能“料敵機先”、實施保護。

據阿里云的大數據分析，去年下半年開始，類似的勒索軟件就開始抬頭。今年1月，利用MongoDB 開源版數據庫的配置疏漏進行入侵的蠕蟲病毒也讓使用這種數據庫的企業經歷了一場新年驚魂，但相比于這次針對Windows漏洞的攻擊，范圍自然不可同日而語。

“今年4月14日，Windows遠程漏洞利用工具曝光，我們就預計今年會有一次大爆發。”吳翰清表示，阿里云覆蓋了全國37%的網站，客戶規模龐大，有任何攻擊的變種方式，都能第一時間獲知；而且還有快速響應的能力，第一時間推出相應的解決策略。

4月15日，距離高危漏洞曝光僅僅一天，阿里云官方微信就發布了Windows這個高危漏洞的修復方案，并且做好了“一鍵修復”的工具推送給用戶。

阿里云發布的高危漏洞一鍵修復工具

傳統的IDC很難有這樣的響應速度。一個有著上百臺服務器的機房，要即時維護系統打上補丁，工作量十分巨大，而且維護人員很難判斷問題究竟出在哪臺、或者哪幾臺機器上。也沒有人去告訴他們，哪些補丁至關重要。

“這就相當于你的房子門戶大開，而你一無所知。”阿里云安全技術人員表示，“但如果你的房子在云端，就會有專門的安全專家來對安全性進行評估，并向你推動解決方案。我們會不斷地提醒你：‘趕快把門關上！’當然，最終關門的動作還是你自己來做。”

正如阿里云安全資深總監肖力所言：“安全廠商各自救火，做的都是事后的工作，或許也能取得補救效果，不過如果有云安全的‘事先預測’，就能防患于未然，公共云在這方面有著解決問題的最佳優勢。”這是因為，有了強大的儲存與計算能力，就能通過數據分析處理結果進行預測和防御了。

躲過這次勒索就安全了嗎？

針對WannaCry蠕蟲病毒的補丁打了，但并不意味著下一次還能在新的病毒攻擊面前幸免于難。事實上，阿里云已經觀測到了這一蠕蟲病毒的變種。“這證明有的新的黑客團體在研究變種，并進行二次傳播和三次傳播。之后的危險會越來越高。”吳翰清表示。他預計今年還會有3-4次類似的大規模安全事件。

阿里云安全專家杜鵬也表示，即使躲過了勒索漏洞，企業還可能有四大潛在的安全風險：點擊異常郵件，電腦里的文件就全部被加密；開源軟件服務裸奔在互聯網，敏感數據全部暴露；企業攝像頭變成全球直播，參與全球網絡大破壞；代碼上傳到開源代碼庫代碼上傳到Github后，內網卻掛了。

安全從來就沒有一勞永逸這一說，和黑客攻擊的對抗是個打仗一般的動態過。在吳翰清看來，提升安全意識，是一切的基礎。做好數據庫、文檔和系統的備份，是每家企業的CIO都必須做好的頭等大事。不僅是漏洞，不安全的軟件、無法及時響應安全危機，都可能給企業造成損失。因此，做好整個企業內部的安全治理至關重要。

“當然，安全是比較貴的。”他說，“但是一定要把這個當作重要的投資。”