八分量创始人复盘：抵御勒索病毒，我们需要持续免疫能力

APLUSACADEMY

---

在WannaCry勒索病毒肆虐全球时，初创网络安全公司“八分量”的客户却高枕无忧。八分量是洪泰基金千万级投资的天使项目。今天，洪泰帮邀请八分量的创始人阮安邦博士来解读，WannaCry病毒肆虐的原理是什么？企业如何通过建立“持续免疫”能力来避免受到病毒侵扰？

---

八分量简介：

八分量专注研发世界领先的关键安全技术，核心成员来自牛津大学、北京大学、微软、Intel、苹果等国际顶尖科研与科技机构，超过一半的公司成员拥有北大清华等知名院校的教育经历；初创时即受邀参加全欧洲最大的云安全博览会，技惊四座；团队虽不到40人，却已与牛津大学OeRC中心、牛津大学网络空间安全中心、北京大学软微学院网络空间安全实验室、浙江清华长三角研究院分别形成了深度合作。他们极低调神秘，在资本寒冬获得了洪泰千万级的天使投资，却还从未宣传。

一夜之间，WannaCry肆虐全球。群发通知、断网、查杀、备份、打补丁… 过去的惊魂150小时，应该是没有哪位运维工程师能够忘记。但是，打上补丁就可以杜绝后患了吗？八分量首席安全顾问、牛津大学信息安全专家David Wallom教授表示：“这只是个开始！”WannaCry的如入无人之境，仅是稍稍揭开了全球信息安全产业的遮羞布罢了。在拥有大量0Day漏洞的高级黑客眼中，绝大多数电脑、服务器其实都在裸泳。随着漏洞利用手段的升级、勒索模式的更新，漏洞利用的门槛日益降低，类似WannaCry的事件将会越来越多。开始退潮了，裸泳遮不住了！新安全形势下的信息系统，需要有应对突发威胁的持续免疫的能力。

WannaCry是如何肆虐的？

0Day漏洞是未被打上补丁的系统漏洞。就好比家里的墙破了洞，但还没有来得及把洞补上。0Day一但被公开，就像是全世界都知道了这个墙洞，小偷随时有可能趁机潜入。而未被公开的0Day更加可怕，它是一个连房主自己都不知道的墙洞，少数知情的贼可以自由出入，补洞计划更无从谈起。通过0Day利用程序，黑客有可能在进入目标电脑或服务器后实施复杂多样的恶意行为，比如安装程序、拷贝数据、甚至打开摄像头、麦克风。

WannaCry的核心就是一个在今年4月才被公开的Windows 0Day漏洞利用工具“永恒之蓝”。据称，永恒之蓝是由美国国家安全局（NSA）在多年前开发，而它所利用的Windows SMBv1漏洞本身，在Windows XP时代就已存在。利用这个漏洞，黑客可以远程执行任意代码，完全控制目标系统。也就是说，在永恒之蓝和SMBv1漏洞被公开前的若干年中，所有能被WannaCry感染的系统，就已经能被NSA随意控制、自由拷走数据了。他们拿走了什么，埋下了什么，我们不得而知。而有这个漏洞的系统有多少呢？从Windows XP到 Windows 10 无一幸免。像这样威力巨大但还未被公开的0Day漏洞又还有多少呢？我们根本无法估算。

为什么针对这次WannaCry，常规的防御手段毫无招架之力？

传统安全多通过“黑名单”的方式检查恶意程序，因此只有在漏洞被公开、漏洞利用程序被发现后，才能防御、查杀。就好比房主请了许多巡逻队伍来严格排查进入家中的人，只要发现有“恶人名单”上的人出现就马上报警。但“恶人名单”无法及时穷尽所有新发现的和未被发现的恶人信息。而等到发现时，恶人已完成破坏了。WannaCry这次正是在被加入到黑名单之前，用最快的速度实施了勒索 。

能否通过“白名单”的方式阻止WannaCry这样的程序加载呢？能。可信计算技术正是通过维护一份可信可靠的“程序白名单”，并借助硬件可信芯片来即时发现并阻止未知程序的运行。白名单将被保护系统锁定在一个固定的状态，从而实现对新产生的恶意程序的“主动免疫”。然而，程序白名单的管理代价很大。现代信息系统规模庞大，程序组件总类繁杂、更新频繁，很难用人工方式在拥有成百上千台服务器、虚拟机设备的现代数据中心里，准确为每台设备配置好白名单。任何人工管理失误，都将会影响系统稳定性，或者引入新的安全风险。

另一方面，即便准确配置了程序白名单，对名单上程序的恶意或错误的操作方式，也能造成破坏。比如GitLab数据被误删事件，疲劳的管理员用“删除”命令抹除了所有数据文件，而这个命令本身是合法正确的。这种对程序使用行为的主动免疫主要来自对用户行为分析的能力（UBA）。UBA利用大数据，分析用户正常操作的方式，建立行为白名单，从而判断异常行为。但UBA并没有与程序白名单相结合，从发现行为异常，到通知管理员，再到管理员响应的时间间隔里，危害或许已经产生。

没有银弹，安全是一个动态的、系统的问题。我们需要整合多方技术优势，为信息系统打造一种能够在时刻变化的安全态势与业务需求之中，持续不断地拥有主动免疫的能力——我们需要“持续免疫”。持续免疫的核心思想在于以变战变。无论传统安全架构或是主动免疫，多是在以不变应万变。通过相对固定静止的安全设备拓扑结构，在固定通路上部署固定数量的防火墙、入侵检测、杀毒等，或使用相对固定静止的程序白名单，应对时刻变化的系统自身状态和黑客攻击手法。持续免疫系统则在深入理解信息系统自身架构、深度分析安全态势的基础上，自动更新系统的程序白名单、主动构建用户行为白名单并迅速调整传统安全设备的逻辑拓扑结构，用比威胁更快的速度，持续主动地变化防御体系，提前应对尚未到来的“未来”威胁。

使用了持续免疫系统的英国某在线博彩公司CEO表示，WannaCry对他们毫无影响，因为在他们的系统上，WannaCry仅存在不到0.3秒，就因被发现不在程序白名单上而被自动隔离了。同时，在检测到大量445端口的异常扫描时，系统自动调整了防火墙规则，阻断了病毒进一步传播的通路。在线博彩是一个CEO不敢相信CTO，CTO不敢相信工程师的行业，因为恶意员工铤而走险改变或者泄漏了博彩算法，都可能获得暴利，也会给公司带来巨大的损失。在持续免疫系统上线后，在线博彩的CEO已然消除了这种内部隐患。连“内鬼”都能防住，应对远程入侵自然高枕无忧。

持续免疫系统何时能走入国内呢？在经历近半年的市场耕耘后，八分量将于近期在全国范围内开启持续免疫系统的第二轮定点试用。敬请关注他们的官网：www.8lab.cn。

---

推荐阅读

人机对话评测系列之一：任务驱动多轮对话评测标准