防患于未然 “防患于未然”才是安全的最高境界

为什么扁鹊的大哥是最好的医生？

“在它发生之前”。

关于WannaCry爆发的思考。

5月12日

勒索者WannaCry几乎一夜成名。据国外媒体报道，该病毒已经严重影响了全球近100个国家的用户。但是从作者周围朋友和公司的反馈来看，WannaCry虽然厉害，但是造成的伤害似乎并没有想象中的那么大。制造商和普通用户都已经为WannaCry做好了准备。

5月14日

周日，我公司同事的QQ群发布了一个关于防止WannaCry的通知，杀毒的软件和补丁。

5月15日

周一上班，一切安然无恙，同事一个都没招。

勒索软件真的是“臭名昭著”。一旦被抓住，文件将被“锁定”。如果赎金不交，你想用的文件就成了纯粹的“摆设”。然而，在WannaCry爆发之前，已经发生了多起勒索软件“害人”的事件，引起了全世界的警惕:

一方面，人们的安全意识比以前有了很大的提高。

另一方面，在WannaCry大规模爆发之前，微软发布了补丁软件，很多安全厂商给出了提示和解决方案。而且病毒爆发时，很多企业的网管和安全厂商都坚守岗位，袖手旁观。

正是这种积极的防御压制了WannaCry的傲慢。

WannaCry这次真的陷入了“人民战争的海洋”。不仅安全供应商采取了行动，一些数据备份和灾难恢复供应商也提供了“解锁”文件的解决方案。正当各厂商借WannaCry爆发之机宣传安全防御的重要性以及自己的安全产品和解决方案的时候，有一家厂商却一直默默守护着，那就是华为。

对于华为来说，是不是无关紧要，高高挂起？不。那是华为没有“交出”WannaCry的产品或解决方案吗？甚至更少。华为在安全网关领域的交换机和企业网关产品线总经理宋端智解释了原因。

小“沙盒”大反转

先说个小故事。大家都知道神医扁鹊，但是你知道扁鹊有两个哥哥吗？根据扁鹊自己的叙述，他的两个哥哥在医术上比他强。扁鹊的大哥能在病人发病前及时治疗疾病；扁鹊的二哥在病人刚开始有轻微症状时就治疗了这种疾病，病人已经痊愈，没有感到太大的疼痛；扁鹊通常在病人病情非常严重的时候采取行动，这让人们感叹他以起死回生的神奇技巧而闻名。在你看来，他们三个谁的医术最好？当然是能够“防患于未然”的大哥。

如果将扁鹊兄弟行医的例子与当前安全领域的形势相比较，防范“未知威胁”是最具挑战性的，也是当前安全研究必须突破的重点和难点。华为也把这项工作作为核心任务，这也是华为成立以安全技术研究为重点的“预测试实验室”的原因。顾名思义，“在它发生之前”就是“在它发生之前”。

WannaCry的爆发，华为的客户基本不受影响。“作为一个专业的安全供应商，我们不应该把所有的精力放在谈论我们的技术手段有多聪明上，这些技术手段可以做出紧急响应并快速恢复文件。危害发生后，即使响应速度更快，损失也无法挽回。”宋端志说:“网络安全最重要的是预防。”

事实上，华为之前已经默默做了很多工作，就像扁鹊的大哥一样，在用户意识到WannaCry的巨大杀伤力之前，非法侵权就无形中消失了。具体来说，华为有一款沙盒产品叫做FireHunter，可以检测未知威胁，并根据其行为进行分析。例如，当所有电子邮件都通过沙箱时，沙箱可以准确识别哪些电子邮件包含高风险软件。因为这个判断过程不是实时的，所以这个高风险的ransomware还是会通过防火墙进入客户的系统。这意味着可能会招到第一个客户，但与此同时，华为的沙箱会将检测到的高风险ransomware信息快速上传到华为全球情报处理中心，这些流程会在首次发现未知攻击到全球生成主动防御措施的15分钟内完成。

▲常见的ransomware界面

WannaCry的爆发涉及到两个安全问题:一个是ransomware本身，另一个是ransomware利用微软的漏洞在局域网中传播。几乎每个人的防御策略都是从网络中屏蔽相关端口。这有积极的作用，但会大大降低工作效率，比如文件共享性差。“WannaCry爆发后，有客户反映，因为相关端口被安全部门封锁，导致打印机无法共享。由此可见，这并不是一个最优的方法。”宋端志说，“华为的原则之一就是让安全无处不在，就是让交换机、路由器、Wi-Fi接入点等网络设备具备安全功能。”

华为的沙盒产品现在是第二代。根据计划，华为第三代沙盒产品将于今年9月推出。最重要的改进有两个方面:一是增加了沙盒的防规避技术，使病毒不知道自己已经进入沙盒检测过程；二是借助机器学习技术，多研究样本，进一步提高沙盒检测的准确率。

除了沙盒产品，华为还有基于大数据的安全分析平台CIS(Cyber Security Intelligence System)，也是利用机器学习技术来分析判断流量，确认是恶意行为还是正常行为。

“正常的安全措施是必不可少的，比如打补丁软件和升级杀毒软件。华为希望进一步提高网络的基本安全门槛，让大多数客户都能得到保护。”宋端志总结道，“华为在安全方面的核心原则之一是把安全防御工作放在前面，而不是事后诸葛亮。”

为什么主动防御不能快速普及？

其实，变被动防御为主动防御，是很多厂商都在谈论的一个安全概念，和华为说的“防患于未然”是一个道理。主动防御并不是一个全新的概念，得到了用户的广泛认可，但是为什么在实际应用中很难实现这个概念呢？是技术问题，还是客户背负历史包袱？

“主要是意识的问题，或者用户的注意力不够。”宋端志直言，“就像人的健康问题一样，很多人在没有身体问题的情况下，并没有把更多的精力花在预防和保健上。例如，许多用户不知道新的订阅服务模式，支付年费并更新防火墙功能数据库。其实业界有很多很好的安全防范措施，但用户并没有完全应用。”

话又说回来，厂商提前提供这种防范手段是有一定技术门槛的。首先，安全产品要有快速判断未知威胁的能力。就像WannaCry ransomware一样，这是一个全新的威胁。安全系统能否在第一时间判断为高风险的ransomware，需要安全厂商具备一定的能力，而ransomware和病毒会“伪装”自己，这就更加难以判断，所以这种能力的培养需要漫长而深刻的积累。

其次，厂商要有广泛的客户基础。华为的客户遍布全球。无论世界上哪里出现新的安全威胁，华为全球情报处理中心都能第一时间获取信息，并及时发送给全球用户，提前做好防范工作，避免损失。

现实中，没有人能100%保证不会出现安全问题，也不可能某个安全产品或措施普遍适用于一劳永逸地解决所有问题。华为的策略是通过智能联动，在网络层面上保证整个企业的安全，把安全墙建得尽可能高，相当于增加了黑客和恶意攻击者的攻击成本，增加了攻击的难度，从而减少了客户可能遇到的安全威胁。

宋端志以社保为例:“我们每一个人，每一个家庭都会注意自己的安全，装上安全锁和防盗门，必要时还会请保镖。其实网络安全相当于需要做什么才能保证整个社会的安全，比如建立公共安全体系，搞好社会治安，在大街小巷安装摄像头，警察不断巡逻。这些安全措施使犯罪分子不敢轻易犯罪。客户尽力保护自己的终端设备。我们帮助客户做好网络安全，让安全防护无处不在。”

安全的理想境界

云计算、大数据、移动互联网、物联网的快速发展，增加了安全的负担。原来分散的安全保护策略不再适用。用户应该构建一个新的安全体系结构，用全面和集成的安全策略来保护应用程序和数据。

宋端志认为，安全领域正在发生一些新的变化和挑战:

一是未知威胁越来越多，特别是一些高级攻击，现实中没有现成有效的对策，需要边研究边解决。

第二，单点保护已经失效，只在网关上保护是不够的。

第三，越来越多的应用和数据迁移到云中，公共云和工业云的安全保护是一个棘手的问题。以前只需要保护“企业边界”，现在云没有边界，安全保护变得更加困难。

针对上述问题，华为的基本策略是:实现云、管道、终端对未知威胁的协同防护，通过智能技术手段，将未知威胁第一时间转化为已知威胁，实现云与终端的联动。这样才能更有效的防守；安全保护不应该只停留在网关级别，而应该无处不在。除终端之外的所有网络元件，包括交换机和路由器，都必须具有安全功能。

“在过去，单一的保护点相当于在城外的地方竖起一把刺刀。现在虽然通道越来越多，但是所有通道上都有摄像头，也就是说所有网元都有监控执行点和数据采集点，所有异常行为都可以检测出来。这就是到处都是安全的效果。”宋端志表示:“我们不仅提供安全产品，涵盖云管理端的华为安全解决方案也为客户提供了这种无处不在的安全能力，帮助他们实现对网络的主动三维安全保护。”

面对WannaCry的爆发，有效破解只是第一步。更重要的是，用户应该提高防御未知威胁的技能，建立无处不在的安全系统。能够像扁鹊那样及时解决和补救安全问题是件好事，但如果你能像扁鹊的大哥一样在问题发生之前就预防问题，这不是更好的状态吗？

转自|中国云新闻