360吳云坤：基于疊加演進的思路建立協同聯動的防御體系

　　中新網6月2日電  6月2日，由國家互聯網信息辦公室指導，中國網絡空間安全協會和天津市互聯網信息辦公室主辦的“網安中國行”系列活動啟動儀式在天津舉行，360公司等聯合中國網絡空間安全協會網絡空間安全法律與公共政策專業委員會、競評演練工作委員會和網絡治理與國際合作工作委員會等機構共同承辦了本次活動。

　　“網安中國行”是配合《網絡安全法》6月1日正式實施而組織的系列活動，來自國家互聯網信息辦公室、中國網絡空間安全協會以及天津市網絡安全行業相關主管部門的領導、相關政企機構的網絡安全負責人和網絡安全領域的企業和專家代表參加了啟動儀式和主題論壇。

　　360企業安全集團總裁吳云坤受邀在主題論壇上發表了題為“從勒索軟件看企業安全的疊加演進”的主題演講，吳云坤在梳理總結5月份“永恒之藍”勒索蠕蟲攻擊事件基礎上，分析了網絡安全疊加演進的趨勢和方向，基于疊加演進的思路開展安全規劃，建立基于數據和情報的協同聯動的防御體系。

　　從永恒之藍看企業網絡安全演進

　　從2017年5月12日開始，不法分子利用2017年4月泄露的NSA黑客數字武器庫中“永恒之藍”工具發起蠕蟲攻擊進行勒索，受害主機中招后，蠕蟲就會在受害主機中植入勒索程序，硬盤中存儲的文件將會被加密無法讀取。

　　截止到5月16日勒索蠕蟲攻擊了全球100多個國家，360威脅情報中心監測發現，國內超30萬臺機器中招，至少有28388個機構IP被感染。

　　早在“永恒之藍”事件發生前的59天，微軟已經發布了相關漏洞的安全補丁，包括360在內的全球多家安全機構都發布了相應的安全預警和漏洞修復工具，但是仍然有很多機構遭受影響。

　　在向數字世界不斷進化的過程中，安全的疆域也不斷隨之演進，“未知”的區域也不斷出現，演進的過程是不斷疊加且有交集的。

　　吳云坤從不同演進階段分析了永恒之藍事件的內在原因，他認為在基礎架構安全、被動防御、積極防御、威脅情報、進攻反制五個不同的演進階段，都有很多值得反思的地方，比如在積極防御階段，企業對資產情況不清楚，無持續檢測和監控技術，感染情況無法及時感知，缺少響應處置流程及自動化響應手段。

　　吳云坤稱，作為政府、企業等組織機構的安全負責人，需要認清威脅環境的變化，更需要認清安全能力建設的潮流和趨勢，為自己的組織構建相應的安全能力。不同的演進階段關系，應該是疊加演進，安全協同。

　　用疊加演進的思路構建安全防御體系

　　在永恒之藍事件爆發后，360利用自己在安全大數據和態勢感知領域的優勢，很快推出了“永恒之藍”勒索蠕蟲傳播專項態勢感知，并以此為基礎建立了應急響應體系，同時將態勢感知系統推送給了相關主管部門、行業和大型企業，幫助他們及時了解把握蠕蟲傳播態勢，從而做出有效處置和響應行動，有效扼制了蠕蟲的進一步傳播。

　　據吳云坤介紹，處置“永恒之藍”事件中，360先后派出超過2000位安全應急響應人員，為超過1700家政企機構提供了現場支持，為超過2000家機構提供了電話支持， 制作了5000多個工具U盤和光盤，發布了9個版本安全預警通告、7個安全修復指南文檔，推出了6個修補工具軟件。

　　吳云坤稱，通過“永恒之藍”事件看，應急處置不單單是“高大上”的分析研判，而常常是基礎架構和被動防御的“臟活、累活”，其中人是最重要的因素之一，不同演進階段都離不開人的參與；不論環境如何演變，基礎架構安全始終不容忽視，隨著安全的疊加演進，有了安全態勢感知的安全情報，基礎架構安全要做的反而應該更多。

　　吳云坤認為，從“永恒之藍”事件的應急響應看，必須將一系列架構安全和被動防御的基礎補充扎實，推動安全運行和維護的操作化，努力為積極防御和威脅情報打好扎實基礎。企業應重新審視安全防護體系，基于疊加演進的思路開展安全規劃，建立基于數據和情報的協同聯動的防御體系。