2017年5月12日，全球爆发大规模勒索病毒攻击事件，超过30万台电脑感染勒索软件WannaCry，波及包括英国、俄罗斯、中国、美国等在内的150个国家，涉及能源、电力、交通、医疗、教育等重点行业领域，英国医疗系统、俄罗斯内政部、俄罗斯电信公司Megafon、西班牙电信，以及我国教育网、公安网、加油站支付系统等关键信息基础设施被攻陷。作为NSA网络军火民用化的全球第一例，WannaCry勒索软件利用微软SMB远程代码执行漏洞MSl7-010，并基于445端口迅速传播扩散，无需用户任何操作，即可实现系统入侵，对用户主机系统内的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件实施加密，并向用户勒索比特币“赎金”。5月23日，WannaCry勒索病毒余波未平，网络上又出现更变本加厉的新病毒——EternalRocks（“永恒之石”），永恒之石来势汹汹，竟利用了7个NSA漏洞利用。

　　由于两类病毒传播极其相似，又均是利用了NSA网络军火库中的漏洞，且造成的危害极其严重，因此，此次勒索病毒的全面爆发将成为国际网络空间安全发展的里程碑事件，对国际网络空间秩序的构建影响深远，有必要深入分析此次事件产生的根源，研判“后WannaCry”时期的网络安全形势，并结合我国网络攻击应对能力的不足，针对性地提出措施建议，为有关部门决策提供参考。

　　勒索软件WannaCry攻击事件回顾

　　NSA网络武器被公开，点燃攻击事件导火索

　　2017年4月14日，黑客组织Shadow Brokers（影子经纪人）公布了NSA（美国国家安全局）旗下Equation Group（方程式组织）使用的网络武器库，涉及多个Windows系统服务（SMB、RDP、IIS）的远程命令执行工具。然而，泄露事件发生不足一个月，泄露的网络武器即引发了全球规模的勒索软件攻击事件。根据安天实验室、360追日团队、卡巴斯基等国内外网络安全研究机构分析，作为此次攻击事件的主角，勒索软件WannaCry利用微软SMB远程代码执行漏洞MSl7-010，并基于445端口实施攻击，其攻击原理与Shadow Brokers公布的名为“永恒之蓝”（EtemalBlue）的漏洞利用工具的实现原理极为相似。据推测，此次攻击事件发起者或发起组织在借鉴NSA网络武器攻击原理的基础上，研发形成了新的勒索软件WannaCry，并借此发动了此次大规模网络攻击。

　　攻击应对能力不足，导致勒索软件全球蔓延

　　网络安全研究机构分析显示，WannaCry利用了微软操作系统漏洞，其攻击范围覆盖了Windows 10 之外的几乎所有Windows操作系统，对于企业局域网或内网的主机系统破坏性尤其严重。一方面，过低的漏洞修复率为此次全球规模的勒索袭击提供了可乘之机。虽然，微软已于2017年3月发布了MSl7-010漏洞的补丁，但仍广泛使用的Windows XP、Windows 8、Windows Server 2003等系统无法获得漏洞补丁，广大企业和个人用户也没有及时升级windows 7等系统，导致全球存在大量的可攻击目标。另一方面，较弱的网络安全防护能力也在客观上导致了勒索软件全球蔓延。目前，包括我国在内的全球诸多国家在架构安全和被动防御层面存在严重的先天基础不足，过于重视网络边界防御，轻视内网防护，终端准入控制、终端主动防御、终端安全审计能力普遍不强，一旦勒索软件通过钓鱼邮件、网页挂马等方式突破网络防御边界进入内网，极易造成应用单位“一点攻破、全线失守”。

　　行业协作多措并举，遏制勒索软件疯狂传播

　　勒索软件WannaCry的初始传播速度极为迅速，据360威胁情报中心的统计，截至5月13日20点，WannaCry已经攻击了近百个国家的超过10万家企业和公共组织。攻击事件发生后，全球政府机构、网络安全企业、研究机构纷纷开展针对性的网络监测，发布网络警告并研究应对措施。在攻击最初的几个小时内，卡巴斯基就发布了其监测到的受攻击目标的地理分布趋势图，西班牙的计算机应急响应团队CCN-CERT、英国国家卫生署（NHS）等国外机构均在其网站上发出了警告，提醒本国公民及机构尽快更新补丁，做好计算机数据备份等防护工作。国内的安天实验室、360追日团队、国家信息安全漏洞库、CNCERT等网络安全研究机构也积极分析勒索软件攻击原理，发布勒索软件WannaCry攻击报告，公布应急措施，并研发了多种勒索软件防护工具，来加强国内用户的网络安全。在全球网络安全行业的共同努力下，勒索软件WannaCry的传播已得到有效遏制。此外，英、德、俄等多国政府的网络安全机构还启动了针对事件及攻击者的调查，以期从根本上解决此次勒索软件攻击事件。

　　“后WannaCry”时期的网络安全形势研判

　　关键信息基础设施领域的安全风险居高不下

　　此次勒索软件WannaCry攻击事件的波及范围十分广泛，包括西班牙电力公司Iberdrola、天然气公司Gas Natural、德国德累斯顿火车站、俄罗斯内政部及其第二大电信运营商Megafon等在内的多个国家的电力、石油、交通运输等关键信息基础设施领域受到影响。尽管WannaCry的传播速度已大为放缓，但是考虑到关键信息基础设施领域的工业主机（如操作站、工程师站、历史服务器等）仍广泛使用了通用Windows操作系统，尤其是默认开放445端口的Windows 2000和Windows XP系统大量存在，极有可能被WannaCry利用漏洞进行入侵攻击，并迅速蔓延至企业内网甚至工业控制网络，导致企业重要文件被加密，生产、运行等敏感数据无法正常采集和读取，造成整个企业内网的瘫痪，不仅对工业生产造成严重经济损失，还可能严重影响工业生产安全，威胁人民群众的生命财产安全。由于关键信息基础设施领域使用的通用Windows操作系统，在补丁升级、防护更新方面技术难度和资金成本较高，在未来相当长的一段时间内，关键信息基础设施领域的安全风险仍将居高不下。

　　国家级网络武器泄露带来的潜在安全威胁巨大

　　当前，美国国家网络安全机构无节制地提升网络攻击能力，却未能有效履行相应的妥善管理网络武器的国际义务，导致其军火级攻击平台、漏洞利用工具和恶意代码，以及攻击思路泄露，并开始危害全球基础互联网安全。2016年8月，黑客组织“影子经纪人”宣布入侵了NSA旗下“方程式组织”的网络武器库，并公开了思科ASA、PIX系列防火墙漏洞。2017年3月，维基解密曝光了美国中央情报局的代号为“Vault 7”的秘密资料的部分内容（不足CIA泄露文件总量的1%），包括Android、iPhone、Windows PC、Mac、三星电视等设备的安全漏洞和利用工具，以及感染USB闪存盘的恶意软件等，任何人持有这批工具和文件都等同于拥有完整的CIA入侵技术。4月，“影子经纪人”公开了大量Windows系统利用工具和相关攻击代码，直接引发了全球规模的勒索软件攻击事件。5月17日，“影子经纪人”宣布将于6月份开始，每月出售Web浏览器、路由器、手机漏洞和相应的攻击工具，针对Windows 10的0 day漏洞及利用技术。考虑到NSA、CIA掌握漏洞的“权威性”，一旦新的技术、工具被曝光并用于实施网络攻击，对全球基础互联网安全产生的危害难以估量。

　　商业网络军火加剧规模化、针对性的网络攻击

　　一方面，“商业网络军火”的产业化发展大大降低了实施大规模网络攻击的门槛。网络武器复制成本几乎为零的特点，使得以Cobalt、Strike 等为代表的商业攻击平台，能够通过提供恶意代码注入手段，以及配套的加载和持久化方法等方式，降低不法分子攻击成本，满足缺少足够资金和精英黑客的国家和组织，以及个人实施高破坏性、强针对性网络攻击的需求。“影子经纪人”、维基解密曝光的大量NSA、CIA的绝密漏洞和利用工具也为商业攻击平台研发、改进网络武器提供了更多参考。另一方面，“商业网络军火”高度“模块化”的工具编写方式和高度“一致化”攻击方式使得网络攻击缺少鲜明的基因特点，更加难以追溯，从而大大减小了攻击者的后顾之忧。在强大“商业网络军火”的支持和“无责任”网络攻击的刺激下，各种以情报获取、资金攫取等为目的规模化、针对性的网络攻击必将显著增多。

　　未来网络攻击将呈现精细化运作特征

　　从此次勒索病毒全面爆发事件中我们发现，从技术角度，病毒攻击范围覆盖从32位到64位操作系统，从Win XP到Win 8，有研究人员表示经过改良适配病毒程序也可移植到Win10，勒索病毒将市面上主流操作系统版本一网打尽，连较为小众的64位Server版本、工控系统定制版本也在中招之列。另外从各界披露的消息来看此次病毒事件背后一定有一个从研制开发、传播入侵到勒索敲诈的完整的地下产业链存在，幕后始作俑者已经酝酿已久。通过此次事件可以预测，未来的网络病毒攻击早已不是当年简单的黑客个人技术大比拼的时代，而是以重要数据窃取、勒索和破坏为目的的时代，病毒制造者为谋取经济利益或达到不可告人的政治目的，将病毒的制造传播链条化，分工严谨明确，一旦爆发，危害巨大。

　　以比特币为代表的区块链技术崭露头角

此次事件中，黑客选择以比特币作为赎金支付方式，与区块链本身加密的安全性和比特币独特的交易方式有关。首先，从原理上讲，比特币是去中心化的货币体系，其背后支撑的区块链技术具有去中心化、公开透明、不可篡改和强安全的特征，同时由于区块链技术本身的特性使得比特币本身具有很强的匿名性，很难像传统货币那样易于追踪。其次，比特币交易方式极其简便。相较传统银行的转账付款而言，比特币交易不需要实名认证，不必提供个人信息。更为关键的是交易账户里的比特币在交易平台上可以随时变现在物理世界产生的价值。目前比特币仍游走在灰色地带，各国对比特币的态度不一，如俄罗斯和韩国就已经公开声明，拒绝承认比特币以合法货币的形式存在。而德国却早在2013年就承认了比特币的合法地位，美国和日本也放缓了比特币的监管，允许民众持有并制定了相应的税收法律政策。但包括我国在内，大多数国家仍对比特币持观望态度。实际上，比特币所代表的区块链技术仅仅是一种中立的安全加密技术体系，其先进性、可靠性已不容置疑，随着其商业应用模式的逐步确立，未来可能会对当前诸多技术、应用产生颠覆性的影响。

　　应对之策

　　技管结合，提升内网安全防护能力和防护意识

　　过于重视网络边界防御、轻视内网防护，导致终端防御能力不足，是我国难以及时应对此次勒索攻击的主要原因。我国应坚持技术与管理并重，尽快建立健全内网防护体系，提升内网安全防护能力。一方面，鼓励并支持网络安全企业开展内网安全防护技术研究，重点研究针对可疑文件的多维静态分析技术、模拟真实环境的文件行为动态分析技术，强化勒索行为感知、传输文件（邮件、即时通讯软件）深度检测与管控能力，整体提升终端设备的准入控制、主动防御、桌面管理、安全审计和防泄密能力。此外，网络安全企业需要承担更多的社会责任，在积极为用户提供可靠防御工具的同时，可以利用技术优势与警方快速联动，从根源给犯罪分子以打击，而不是一味放大宣传甚至恐吓用户。另一方面，推动企业加强网络安全管理，规范员工关于无线接入、远程维护等的管理规定，关于移动、存储设备使用的操作流程；明确员工安装并及时更新终端防护软件、更新系统补丁、定期备份企业及个人重要数据的要求；定期开展员工网络安全宣传教育、技能培训，强化员工的网络安全意识和能力，整体提升企业的网络安全管理水平。

　　落实监管，强化漏洞可发现、风险可防范能力

　　没有及时对系统漏洞进行补丁升级，是我国各领域关键信息基础设施遭受勒索攻击的重要原因。我国应进一步落实关键信息基础设施安全监管工作，一是常态化开展全国范围内关键信息基础设施网络安全检查，通过指导并监督地方开展安全自查，组织专业队伍对重点系统开展安全抽查等方式，排查关键信息基础设施的安全风险隐患，督促运营单位及时处置系统漏洞，强化系统安全防护，消减安全风险。二是建立健全关键信息基础设施信息安全应急机制，推动关键信息基础设施运营单位制定网络安全事件应急预案，定期组织运营企业进行网络安全应急演练，提高应对WannaCry攻击等网络安全事件的水平和协同配合能力。

　　深化合作，协同应对网络空间国际犯罪

　　缺乏对WannaCry攻击的追踪溯源，客观上助长了勒索攻击的嚣张气焰。我国应加强与各国的网络安全合作，一是支持并推动联合国开展打击网络犯罪的工作，参与联合国预防犯罪和刑事司法委员会、联合国网络犯罪问题政府专家组等机制的工作，推动在联合国框架下讨论、制定打击网络犯罪的全球性国际法律文书，明确国际禁运、禁用的网络武器清单，明确网络犯罪的惩罚条款，强化对网络犯罪的惩治力度，提高网络罪犯的违法成本。二是加强与各国警方的双边、多边的警务合作，推进网络安全威胁信息共享，开展联合执法。三是加强打击网络犯罪技术经验交流，推动开展基于匿名网络的恶意代码追踪、网络攻击溯源和阻断等技术难题的联合攻关，为开展针对WannaCry等网络攻击的追踪溯源提供技术支撑。

　　加强虚拟货币市场监管，从源头遏制勒索软件犯罪行为

　　勒索软件等计算机病毒的“傻瓜化”制作过程和高额赎金暴露了此类犯罪低成本、高收益的反比特性，使得黑色市场的专业化、精细化、技术化发展趋势愈发明显。而以比特币为代表的虚拟货币市场由于各国对待态度不一，导致监管混乱，为勒索软件的全球网络变现提供了机会。目前，我国已经高度重视虚拟货币市场发展，并着手布局相关政策法规，如2013年底中国人民银行等五部委发布《关于防范比特币风险的通知》中明确将比特币列入虚拟商品，并与数字货币严格区别，二者适用不同的监管机制；2017年，中国人民银行又发布“四不准”规定，即“不得违规从事融资融币等金融业务，不得参与洗钱活动，不得违反国家有关反洗钱、外汇管理和支付结算等金融法律法规，不得违反国家税收和工商广告管理等法律规定”，严厉打击通过虚拟货币进行地下洗钱的活动。未来通过进一步加强虚拟货币市场监管，执法部门可以追踪犯罪资金流向，阻止非法虚拟货币变现，从而彻底在源头上遏制网络犯罪行为。

(作者单位：中国电子信息产业发展研究院，编辑李楠)