首頁 > 信息安全 > 正文

從新型冠狀病毒看勒索病毒防范

2020-02-07 11:19:09  來源:大兵說安全

摘要:如今,新冠狀病毒(2019-nCoV)肺炎疫情在全國蔓延,為了遏制病毒傳播,全國打響了病毒疫情阻擊戰。關于這個病毒的防范,大家已經看到了很多的文章介紹,今天,我們來談一談從這次疫情防范過程中我可以得到什么啟發,用在我們對于計算機病毒的防范上。
關鍵詞: 安全
如今,新冠狀病毒(2019-nCoV)肺炎疫情在全國蔓延,為了遏制病毒傳播,全國打響了病毒疫情阻擊戰。關于這個病毒的防范,大家已經看到了很多的文章介紹,今天,我們來談一談從這次疫情防范過程中我可以得到什么啟發,用在我們對于計算機病毒的防范上。

 

病毒的概念最早就是來自于醫學,病毒是一類由核酸和蛋白質等少數幾種成分組成的超顯微“非細胞生物”,其本質是一種只含DNARNA的遺傳因子。病毒具有傳染性、破壞性、潛伏性等特點。

 

計算機病毒只是一個程序或者代碼,之所以叫他病毒,就是因為他具有同醫學病毒相似的屬性?!吨腥A人民共和國計算機信息系統安全保護條例》第二十八條:“計算機病毒,是指編制或者在計算機程序中插入 的破壞計算機功能或者毀壞數據,影響計算機使用,并能 自我復制的一組計算機指令或者程序代碼 (1994.2.18)。這個概念是一個狹義的病毒概念,現在我們所說的病毒是一個廣義的病毒概念,準確說應該叫惡意代碼,是指能夠引起計算機故障,破壞計算機數據,影響計算機系統的正常使用的程序、代碼、指令。

 

下面我們來看一看這二者在特點、防范方式等方面的相同點:

 

1. 相同的特點

 

(1) 破壞性。醫學病毒可以破壞人體免疫力,使人生病,嚴重的可以致命。

 

而計算機病毒只要侵入系統,都會對系統及應用程序產生不同程度的影響。輕者會降低計算機工作效率,占用系統資源,重者可導致系統崩潰或者直接損毀電腦中的數據。

 

(2) 潛伏性。傳統的病毒進入體內都有一個潛伏期,比如這次的新型冠狀病毒,潛伏期是7-14天,中毒之后我們往往不會第一時間發現。

 

而計算機病毒也是一樣,也有一個潛伏期,大部分的病毒感染系統之后一般不會馬上發作,它可長期隱藏在系統中,只有在滿足其特定條件時才啟動其表現(破壞)模塊。只有這樣它才可廣泛地傳播。比如著名的CIH病毒,就是每年的426號發作(后來的版本是每月26號發作)。

 

(3) 傳染性。關于醫學病毒的傳染性我想大家都深有體會了,不管是流感病毒還是非典病毒,或者這次的新冠病毒,都具有極強的傳染性,病毒傳播方式包括血液傳播、空氣傳播、性傳播等方式。

 

而計算機病毒的傳染性是指病毒具有把自我復制傳播或通過其他途徑進行傳播的特性。計算機病毒是人為編制的計算機程序代碼,這種程序代碼一旦進入計算機并在適合的條件下得以激活或執行,它就會搜尋其他符合其傳染條件的程序或存儲介質,確定目標后再將自身代碼復制到其中,達到自我繁殖的目的。只要計算機中的某一個文件感染了病毒,如沒有得到及時的處理,那么病毒就會在這臺計算機上迅速擴散,其中的大量符合感染條件的文件(一般是可執行文件)都會被感染。同樣,被感染的文件又成了新的傳染源再進行傳播。如果某臺電腦再與其他的電腦進行數據交換或通過網絡等渠道進行接觸,病毒還會繼續傳播感染其他的電腦。傳染方式包括磁盤介質、局域網、互聯網、文件等方式。傳染性是病毒(狹義) 的一個主要特征。

 

(4) 隱蔽性。醫學病毒個頭都很小,并不容易被發現,而且并不是在發作之后才會傳染,在潛伏期內,被病毒傳染的宿主并不會發現有什么異常,發作之后的癥狀有時候與普通病癥區別不大,不經常嚴格的檢測對比很容易當成普通病癥看待。也正是如此,才會有“超級傳播者”存在,導致中毒者以為自身沒有問題而導致二次傳播。

 

計算機病毒也一樣,計算機病毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序中或磁盤的較隱蔽的地方,也有個別的以隱含文件形式出現,目的是不讓用戶發現它的存在,大部分的病毒的代碼之所以設計得非常短小,也是為了隱藏。病毒一般只有幾百個字節,這相對于電腦的文件存取速度顯得微不足道,所以病毒轉瞬之間便可將這短短的幾百字節附著到正常程序之中而不易被察覺。如果不經過代碼分析,病毒程序與正常程序是不容易區別開來的。一般在沒有防護措施的情況下,計算機病毒程序取得系統控制權后,可以在很短的時間里傳染給大量程序。而且受到傳染后,計算機系統通常仍能正常運行,使用戶不會感到任何異常。

 

(5) 非授權性。病毒者被病毒感染并不是患者自身的意愿,往往是在我們不知道的情況下就中招了。

 

計算機病毒也是一樣,一般正常的程序是由用戶調用,再由系統分配資源,完成用戶交給的任務。其目的對用戶是可見的、透明的。而病毒不僅具有正常程序的一切特性,而且它是隱藏在正常程序中的,當用戶調用正常程序時,病毒程序也在可能被激活運行,進而竊取到系統的控制權,并先于正常程序執行。病毒的目的對用戶是未知的,是未經用戶允許的。就像我們雙擊“WORD”圖標,我們會知道雙擊之后會出現一個文字處理軟件,這是一種授權的行為,而病毒的執行卻是非授權的,比如有些病毒會通過修改文件關聯的方式進行執行,當你授權執行某個TXT文件時,病毒會附帶運行,而這種運行對用戶而言則是一種非授權行為。

 

(6) 不可預知性。新的病毒層出不窮,未來會出現什么樣的病毒?如何傳播?如何治療?我們并不知道,2003年的非典和今年的疫情都是一樣,未來會有什么新病毒誰也不知道。

 

計算機病毒也是,不同種類的病毒,它們的代碼千差萬別,但有些操作是共有的(如駐內存,改中斷號)。我們可以通過現在的技術進行防范,如病毒庫技術、主動防御技術等,但相比病毒而言,反病毒永遠是滯后的,先有病毒再有反病毒。未來的病毒什么樣,誰也無法預料,也不存在可以防范所有病毒的超級殺毒軟件(有也是騙人的),任何軟件說可以防范100%的病毒都是騙人的。

 

2. 防范方法

 

(1) 組織層面

一、封城。包括武漢在內的一些重災區,采取了封城的手段,除了特定的人員和車輛,其他禁止出入。大到一個城市,小到一個社區。這種方式可以有效的防止病毒的傳播和擴散,將病毒隔離到一個范圍之內,再對其中的病毒進行處理。

 

對于計算機網絡而言,我們也要對網絡進行分層分域管理,比如根據不同的職能和部門劃分安全域,對于各區域邊界進行嚴格的出入控制。在等保2.0中叫安全邊界管理。

 

二、斷路。為防止疫情傳播,將道路斷開,避免病毒進入。但這并不是一個好的方法,太極端了,畢竟還要有一些正常的來往,一斷路可能連救護車都進不來了,所以國家也專門下文禁止斷路了。

 

(編者注:在計算機領域也有斷路措施,即斷網,阻斷計算機病毒的蔓延。)就像有的單位為了防止感染病毒把所有的網絡都斷開,有點因噎廢食的感覺。不過在特殊時期也是可以的。

 

三、準入。對通過高速、高鐵、飛機等入城的人員進行嚴格的檢查,對于危險區域來的人員勸返,只允許特定的人員進入,對于可疑人員要及時進行隔離,避免出現二次傳播。

 

在防范計算機病毒時,我們也要這樣,對于網絡和主機,都要有嚴格的準入控制系統,不在白名單內的用戶和主機不允許接入網絡,不在白名單內的進程和程序不允許運行。發現可疑主機要及時隔離處理,發現可疑進程馬上啟動相應的應急處理機制,通過EDRKATA進行分析。

 

 

四、追溯。一旦有人員確診,馬上對其行蹤進行追溯,尋找可能的接觸者,判斷感染源頭。這個過程是比較難的,因為很多人并不是直接和病毒接觸的,就像這次都知道第一批感染者來自華南海鮮市場,但這里就是源頭嗎?還不一定,或者也只是一個寄生體,就像當年非典時,開始都以為是果子貍,后來發現來自蝙蝠。

 

計算機病毒也一樣,一旦發現感染病毒,不要急于格式化重裝系統,一定要先進行取證溯源,分析攻擊流程,尋找攻擊者以及可能的被感染者,防止病毒二次傳播。這個過程是一個很重要但也很難的過程,很多黑客攻擊也并不是直接入侵的,而是通過一些僵尸主機或者跳板進行。而且攻擊后并不會只攻擊一臺,往往是同時攻下了好多臺電腦,只不過只在其中一臺或幾臺實施了破壞,其它沒有被破壞不代表就是安全的。通過追溯就能發現其他被攻擊的電腦有哪些。

 

五、疫苗研發。國家科研機構拿到病毒樣本進行分析,提取病毒基因序列,加快進行病毒疫苗的研發工作。

 

同樣道理,新病毒出現后各大安全公司會及時捕獲到病毒樣本,第一時間進行分析,并將病毒特征碼加入病毒庫。

 

六、多宣傳。疫情出現之后,電視、廣播、新媒體、短信、傳單全方位轟炸,讓大家對病毒的危害有了清醒的認識,認識到了嚴重性,之后的一些工作就會容易得到大家的理解和支持。

 

同樣,對于計算機病毒,我們也要加強宣傳,通過相應的網絡安全講座,讓大家意識到網絡安全的重要性,提高安全意識,增強基本的安全技能,養成良好的安全習慣。這樣才能有效降低被病毒感染的風險。

 

七、公開透明。事實證明,制止謠言的最好方法就是公開透明。政府每天公布感染人數和傳播方式,讓其他人引以為戒,知道身邊有沒有危險。

 

計算機病毒也一樣,很多單位被勒索病毒感染后都會捂蓋子,怕讓別人知道,這種捂只會讓更多的人被感染。我之前也曾經寫過一篇關于這個的文章《不能說的秘密!》,如果能有一個良好的通報機制,我覺得是可以讓更多的人免于被病毒感染的。

 

(2) 個人層面

 

  • 少出門,少集聚。沒有必要不要訪問外網,尤其是一些非正規網站,減少文件和目錄共享。
  • 勤洗手,勤通風。養成良好的習慣。使用U盤、打開郵件附件都要先掃描病毒再打開。
  • 拒野味,管住嘴。不要下載和使用盜版軟件以及來路不明的軟件。
  • 戴口罩,講衛生。安裝個人防火墻,對進出流量進行控制。
  • 打噴嚏,捂口鼻。病從口入,對于電腦端口加強防范,使用主機防火墻關閉不必要的端口。
  • 有癥狀,早就醫。發現問題要及時反饋給信息中心,不要自行處理。
  • 不恐慌,不傳謠。了解必要的病毒知識,就不會被一些廠商或人誤導。
  • 須警惕,莫輕視。要有安全意識,人是網絡安全中最重要也是最薄弱的環節。

 

3. 其他

 

除此之外還有一些共同之處:

 

(1) 一旦被感染,全社會都放假,只有醫務工作者拼死奮斗在一線。

 

一旦單位網絡被感染,所有人都停止工作,只有信息中心和運維人員在一線奮斗。

 

(2) 平時對醫務工作者沒有應有的尊重和敬畏,殺醫辱醫事件層出不窮,出事了就成了救世主。

 

平時對信息中心和安全運維人員不重視,總認為是一個花錢的部門,出了事才意識到安全的重要性。

 

4. 區別

 

最后還一點大不同。嚴重的可能會要命,而且人死不能復生。

 

做好了數據和業務的備份,就可能恢復如初。也不怕勒索。

 

最后,讓我們向辛苦奮斗在一線的醫務工作者致敬。你們是人民的守護神。向武漢人民致敬。祝早日控制疫情回歸正常生活。


第三十屆CIO班招生
法國布雷斯特商學院碩士班招生
北達軟EXIN網絡空間與IT安全基礎認證培訓
北達軟EXIN DevOps Professional認證培訓
責編:jiaxy
股票行情实时查询软件下载