Wannacry比特币勒索病毒和对策

本文转自微信公众号 【IT那点事儿】

---Beging---

本文仅代表作者自己的观点，和所供职的公司无关。

一、损失预期

       目前盖棺定论为时尚早，抛开宕机造成政府和企业停摆的损失不说，后续因为文件和数据被加密而无法恢复造成的损失更会到令人乍舌的地步。

二、内外网隔离企业的安全更新机制

       内外网隔离的企业网络，一般会有两个相互独立的网络，中间使用网闸或防火墙进行隔离。但由于无法完全将两张网完整隔离（那样的话，所有穿网的工作只能依靠移动介质进行，这就为病毒传播埋下隐患），遇到大型数据传输，既使使用移动介质也无能为力，这时候，内外网中间就会有一个类似船闸的缓冲区，缓冲区的规则是，同一时间只能一侧打开，不能有同时穿过两道闸门的进程通过。

       微软提供两种安全补丁服务，一种是基于推送的付费服务SCCM，一种是免费的可自动下载的补丁下载服务。

       以使用WSUS为例，企业外网的WSUS指向微软网站。安全补丁自动下载到WSUS服务器之后，经过管理员批准的安全补丁会被更新到桌面PC和服务器上（所有桌面电脑和服务器通过修改注册表，将更新服务器指向企业的WSUS服务器）。

       企业内网的WSUS服务器也会指向外网的WSUS服务器，得到更新的安全补丁，这要求内外网之间的防火墙打开相关的策略。如果企业不允许这些策略，则管理员可以手动批量导入到内网的WSUS服务器中，再执行相同的更新运作即可。

       在实际运维过程中，内网的安全补丁更新由于是人工操作，往往更新不到位。本次病毒的安全更新，早在2017年3月微软就已经发布了更新，但一直到2017年5月12日才大规模爆发。

       在内网中，虽然Windows终端（桌面和服务器）没有安装过安全补丁，但由于这些终端也不能上互联网，按说不应该遭受攻击才对，但事实上，内网用户受感染的程度可以用一泻千里来形容。究其原因，移动介质（USB盘、移动硬盘）的使用应该是罪魁祸首。我们的很多客户在此次事件中，无一台虚拟桌面感染病毒，就是因为他们实施了严格的管理策略，不允许使用USB设备。虽然Windows并没有及时更新安全补丁，但也不至于受害。

三、深层原因分析

3.1 安全补丁更新不及时。

这是问题的主因，是个典型的运维问题。微软早在2017年3月就已经发布了这个安全漏洞以及相应的安全补丁。受害企业在将近两个月的时间里都没有更新这些安全补丁。

3.2 移动介质在内外网之间使用。

这是内网用户被感染的诱因。内外网隔离的设计目标是为了安全隔离，但对用户跨网访问数据的需求考虑不足，导致只能使用移动介质跨网转移数据，因而导致感染病毒。

3.3 单纯对物理PC机的管控很难。

从技术上来说，PC生命周期管理软件可以对USB盘进行管控，以及强制打安全补丁、病毒库更新等。但实际运行效果很差。再加上内外网隔离，这些措施更是无法有效执行。

四、我们如何避免再次中招？

       攻防手段不断升级，想要完全避免再次发生此类事件是很难的。但是通过优化我们在数据中心和园区的系统架构，并加强日常运维，我们可以很大程度上避免受害、即便遭受攻击，我们也可以有快速反应机制。即使遭受攻击，关键业务可以很快恢复，关键数据不会损失。

4.1.  尽快放弃传统的物理机PC，并转向全面的桌面虚拟化。

        a)     桌面虚拟化以后，只要对虚拟机模板做安全补丁更新，就会自动更新所有使用这个模板的桌面虚机，工作量大为降低。

        b)    桌面虚拟化以后，可以有效地管控移动介质，而使用内部网盘作为文件交换平台。当需要对外交换文件或数据时，可以通过审计系统以便留下痕迹。如下图所示：

        c)    使用文件备份系统，用户的数据自动往后台做增量备份（使用InSync之类的软件）。一旦数据被破坏，可以很容易地从后台恢复。

4.2.  使用NSX和EUC一起，组成跨内外网的物理资源池，但从逻辑上将内网桌面和外网桌面分开，既节省了资源，又做到了安全隔离。

        在上述架构中，园区用户的桌面（PC、笔记本、瘦客户端、零客户端或智能终端）不区分内、外网，园区网的防火墙只允许桌面协议通过（PCoIP/Blast），用户首先连接到公共区的连接服务器，输入用户名密码，这时用户会看到两个桌面虚机，一个属于内网，另一个属于外网。内网桌面只能访问内网资源，外网用户只能访问外网资源。

        除此之外，我们还提供基于用户身份的防火墙，根据每个用户工作分工的不同，不论这个用户登录哪台桌面虚机，都将只能访问工作范围需要的资源。同时，同一网段中的所有桌面虚机之间都不能互相访问，仅用一条防火墙策略就可以在NSX的逻辑防火墙上实现这个目标。

        在物理架构上，我们有两种推荐。对于小规模用户来说，我们建议共用边界集群，边界集群的服务器配置多个网口，同时连接内网、外网和园区网，如下图所示：

        对于大规模部署来说，我们可以让每个独立的网络有独立的边界集群，如下图所示：

        除了用于跨内外网的桌面虚机，这种部署方式同样适用于服务器资源池。在这种方式下，内网、外网有不同的边界服务器集群，分别在上面部署内网、外网各自不同的边界服务网关虚机，连接内网和外网的广域网出口。

4.3.  NSX和防病毒软件以及IPS/IDS的无缝配合。无需在每台桌面虚机上安装防病毒代理和IPS/IDS代理，也避免每个桌面分别去做病毒库更新。在每台Host上自动部署一个防病毒虚机，以及一个IPS/IDS虚机，对该Host上的所有虚机的I/O进行监控和查杀。

        通过使用NSX的服务编排，可以和防病毒软件组成一个自动化的查、杀、隔离策略，并自动执行。例如，我们对所有的桌面虚机做定期的病毒扫描，并对感染病毒的虚机做杀毒处理。

        如果遇到0Day攻击，如WannaCry病毒，既使防病毒软件因为没有更新的病毒库而无法杀毒，但仍然可以通过IPS/IDS检测到被感染桌面虚机的异常行为（如不断扫描其他网段及尝试连接等），这时候，根据事前制定的策略，NSX的逻辑防火墙会自动将这些感染病毒或遭受攻击的桌面虚机自动隔离，除了安全工具以外，其他所有访问均被禁止。同时，系统会自动通过管理员进行处置。

        等重新杀毒之后，在下一次扫描时，一旦发现这些感染病毒的桌面虚机已经重新安全，NSX的逻辑防火墙会自动解除隔离，使这些桌面虚机重新投入使用。

---End---