永恒之藍病毒事件所引發的運維安全行業新思考

一、NSA “永恒之藍” 勒索蠕蟲全球爆發

2017年5月12日爆發的 WannaCry勒索病毒肆虐了全球網絡系統，引起各國企業和機構極大恐慌。而這次受害最嚴重的是Windows系統，自然也被鎖定為懷疑對象，有人認為正是因為該系統對于漏洞的麻木和疏漏才導致了此次勒索病毒的蔓延。作為受害者的微軟卻將矛頭指向美國國安局（NSA）和永恒之藍。不法分子利用永恒之藍漏洞***Windows系統，造成系統鎖定，從而進行勒索，否則將刪除所有信息

就WannaCry勒索病毒呈現的特征而言，面對新時期網絡威脅新常態，已由網絡安全向數據安全轉變、由被動防御向主動保護發展的趨勢。目前，國內從事核心數據安全、采取主動防御措施的產品和企業還不多見，這也是國內網絡安全市場的藍海領域

面對WannaCry勒索病毒帶來的惡劣影響，我們想追問，這個NSA永恒之藍是什么？Windows系統又存在哪些漏洞？目前微軟面對勒索病毒采取了哪些措施？在此次病毒***下，我國損失慘重，我國面對網絡安全又該何去何從？ 

二、NSA永恒之藍勒索病毒是什么 

NSA是美國國家安全局的英文簡稱，永恒之藍是不法分子利用了美國國家安全局網絡武器庫中泄漏出的***工具。5月12日爆發的 WannaCry勒索病毒就是不法分子利用永恒之藍這款***工具***電腦系統而引發的。據報道，NSA永恒之藍可以遠程攻破全球約70% 的Windows系統漏洞利用工具。目前有消息稱，NSA永恒之藍針對安裝有微軟公司windows系統的電腦和服務器的安全漏洞，可能會被用于***全球銀行系統

三、Windows系統存在什么問題 

本次永恒之藍勒索病毒能席卷全球其實是利用了微軟的MS17-010漏洞，MS17-010是Windows系統一個底層服務的漏洞，通過這個漏洞可以影響445端口。***就是通過在網絡上掃描開放的445端口，然后把蠕蟲病毒植入被***電腦，被控制的電腦又會去掃描其他電腦，最終以多米諾骨牌的方式不斷感染其他電腦

被重點***的Windows系統包括Windows Server 2003、Windows 7、Windows 8、Windows 10、Windows XP。針對這次***，微軟也發布了補救措施，安全補丁下載地址：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 

從掌握的數據看，我國在此次WannaCrypt 勒索病毒***下已造成一定影響，雖然作為重點***的445端口已被國內主干運營商關閉，但校園網和國內重點企業和機構都是我國基礎信息和核心數據的掌控者，一旦遭遇侵襲，影響不堪設想 

四、談談企業運維安全

1、主動與被動發現漏洞
這里的主動是指安全工程師主動去做的事情，而被動并不是被動挨打，而是積極去獲取信息，積極防御

因為***之間信息不對稱，很多***、利用方式及漏洞安全工程師不一定能第一時間獲取到信息，就導致了服務器被黑，出現被上傳webshell無外乎這集中情況：

使用開源程序出現高危漏洞被***者上傳webshell，服務器配置錯誤導致***者利用運維缺陷上傳webshell，程序員編寫代碼存在諸如sql注入、文件包含，命令執行問題被***者發現并利用導致被上傳webshel，那是不是說作為防御者我們就一定是被動挨打的呢？答案當然是否定的，如果運維安全做的好的情況下，會在服務器上線初期做安全檢查將加固服務做成加固基線包，后期邀請外部人員進行***測試來檢查企業安全情況，安全基礎就牢靠

從主動來說，企業可以通過這些辦法來將***者的想法消滅在萌芽之中

1、積極主動的做好對系統加固工作，堅決消滅弱口令、回收外網默認管理后臺(能回收的回收，不能回收的做好訪問控制)，對諸如tomcat、jboss、resin之類的服務器做好加固，避免出現弱口令，因為互聯網上每時每刻都有人來通過這幾種服務來抓肉雞

2、對于漏洞的修復不能只僅限于加固還要主動去發現，需要定期對生產環境和web進行掃描、其中外網端口掃描需要結合資產進行，如果不能結合資產，掃描的結果會差強人意

3、對企業所使用的開源程序另外諸如webserver、第三方中間件都有深入了解，并關注這些app近期存在安全風險：
比如struts漏洞，如果能早發現事情也可控制(通過關注烏云、微博等來及時獲取信息)

其次是權限控制，在struts漏洞中，使用root運行的struts2，受影響最嚴重而運行權限為tomcat之類的較輕，較輕不是說不被***，而是***者沒有權限對服務器來做更進一步操作比如rm -rf /，所以對于權限的控制也需考慮到加固中去

4、被動發現漏洞可以依靠對烏云等平臺的漏洞提交來預測可能爆發的漏洞情況，并且結合第3點對應用做檢測，如果發現漏洞了則快速修復，將不會到被***者上傳webshell的情況

2、監控為主分析為輔
監控的重要性不需要在陳述，在城市的各個角度都有監控攝像頭，監控的作用是屬于事中或者事后階段

舉個例子，某人犯罪如果沒有監控的情況下，無法追溯，這時候如果有監控的話就可以對其行為做分析和追溯

舉一反三，在企業安全防護方面也可以這樣做，通過部署ossec之類的行為監控，對***者的行為做檢測。比如對于webshell的檢測來說，更關注”行為”,啥叫行為呢，你的一舉一動都是行為，上傳了文件，修改了權限，刪除了權限這些都該被記錄下來，而類似ossec之類的監控工具可以做到，當然你也可以編寫腳本來對目錄做實時檢測。分析為輔，可以從多點上來結合，比如***者對于網站的注入行為，都會觸發記錄，記錄到log里，***者對ssh的掃描行為，都會被記錄到日志里，而這些都可以用作對***者的行為分析，更超前一些惡意的掃描都可以算作是行為，并且這些行為都是可以分析和追溯***者的，其次日志需要備份到遠程，并且可以利用大數據日志分析利器splunk來對日志分析，備份到遠程也導致了***者刪除本機日志時能被追溯到。對于webshel檢測來說，可以從日志里進行分析，因為任何***者的操作都會在日志里顯現記錄，這時候只要有足夠的日志分析能力就可以對產生的webshell揪出來，使***者無處遁形

最后說說運維安全，運維安全工作本來其實是工作范疇的事，但運維做不好這部分工作或者說大多數運維對安全的理解并不深入，所以企業有了運維安全這個職位，或者你可以把它叫做安全運維，運維安全需要有較寬的知識面來撐起企業安全的一片天

五、安全運維工程師行業分析

安全工作需要彼此的信任感，未來的餅永遠沒有現在的飯香
安全行業是很現實的東西。網絡安全不是一個人能掌控的，需要團隊

下面來說說安全運維的四個核心技能

（1）***測試與漏洞挖掘

安全運維工程師有別于運維工程師的最大差別就是擁有***技能 而依仗***對抗的思維來構建企業安全體系,

也是安全建設中不可或缺的一部分；開頭的內容聽下來，我大概理解到安全產業大致有甲乙黑三方存在：

黑產=***
乙方：安全廠商
甲方：安全運維

“***溯源”的能力上乙方比***高：因為乙方掌握了幾乎所有的***點

***分為Web***和系統***。提高***技能的方法有實戰、模擬、閱讀文章報刊和線上學習

***這一技能除了需要各種編程技能基礎外，還需要掌握運維配置、心理學、懂人際交往和邏輯推理等

總之，這是一個需要多門技藝綜合應用的職業技能

盡管開發能力上相比專業程序員有所不及，運維能力上也不如運維工程師

***學習很痛苦。初期學習途徑：論壇，HTML拷貝到軟盤里仔細閱讀。漏洞那一塊涉及到比較多企業中應用的知識，包括建立漏洞庫和漏洞反饋機制。印象比較深刻的就是自動化檢查漏洞的概念，即通過定制化腳本實現自動化漏洞檢查。還有一個比較新穎的思路，是從漏洞重災區分析漏洞趨勢，反推漏洞源頭

（2）安全監控與安全部署

安全監控防御三要術：可知、可控、可信。 安全部署從基線掃描開始，配置安全

Web安全、策略部署、架構風險等

你需要的不僅僅是標準, 還需要實實在在能落地的方法論

安全監控屬于被動式的安全

（3）應急響應與資產巡檢

審計維度包括：服務器審計、代碼審計、日志分析和***測試

***分析方法是當***發生以后，我們需要從現有的情報中分析整理出對當前情形有利的資料

***分析需要一定的邏輯推理能力，應急響應需要積累相當程度的經驗

應急響應中溯源的技巧：蜜罐、內部大數據、外部威脅情報和***團隊

資產巡檢屬于主動式安全，資產巡檢可以自動化

但需要考慮成本，有重點的監控對象：管理入口、數據區、接口、網絡邊界、DMZ

監控平臺的選擇是一個比較現實的問題，分三種選擇方案：

開源（沒錢沒人力時）、閉源（有錢沒人力開發）、造輪子（有錢有人力/自己開發/可定制）

（4）職業規劃與人生巔峰

安全運維工程師發展路線：甲方->乙方（技術向）、乙方->甲方

（管理向，為企業定制安全體系、培養安全人才，相對輕松穩定）

甲乙方創業（綜合向，比較自由，利用甲方獲取到的人脈、乙方獲取到的技術，變現）

在甲方可以獲取人脈，做技術在乙方做比較好，只做甲乙某一方面的前途都比較黯淡

談了一些安全圈的軼事，對安全圈的理解，什么技術大牛、偶像派、霸道總裁

說了一句我比較認同的話：幸福是一輩子的追求

最后提了一下，在商業交涉的時候法律武器是重要的依仗

六、對運維行業的新思考

下面分別摘抄了幾個運維技術大佬們對運維的看法，希望對我們大家都有所啟發

dccmx，IT、互聯網、搞技術的

這個跟如何定位運維工作以及如何要求運維工作有關

有沒有趣不好說，但是如果說有沒有挑戰，那是肯定有的，這里就說說運維的挑戰

運維本身范圍很廣，從基本的資源管理、配置，到數據庫維護、應用的部署

再到事故的分析處理。到處需要技術與智慧。和業務開發一樣，只要量一上來，什么都是問題

如果僅僅把自己的工作定位于幫開發準備一下機器，部署一下應用，刪一刪垃圾文件，再盯一盯機器

然后，做這些事情的時候就按照最普通的手工方法一步一步做，一個人做不來，就兩個人做

一天做不完就兩天做完，反正能在某個時間做完就行了。如果這樣，很快工作就會變得枯燥乏味

如果把要求提高，能夠用最少的人，花最少的時間和精力

將這些基本的事情做漂亮，后續監控不要人肉盯，那就很難了

如果再進一步，想反過來促進開發，讓開發人員在開發的時候就想到這個業務需要怎么樣來運維，那挑戰就更多了

此外，突發事故的處理也是極需要技術和經驗的，這里的挑戰很多，技術和經驗的積累不必多說

另外我覺得很關鍵的一點是，運維有沒有***到業務的開發中

總結來說就是一句話——就看你喜不喜歡挑戰。如果你喜歡挑戰，那就是有趣的；否則，就是個打雜的

張麒，System Admin

認為運維是打雜的公司，他們的內部IT一般不會好，有可能一團糟
首先從運維工作的性質來講，在任何公司都是一種“服務型“崗位

如果運維搞不好，會嚴重影響公司的發展，尤其是IT公司

打個很簡單的比方，公司的內部網絡需要維護，文件服務器、BBS、郵件等等

非技術類的工作還包括固定資產管理、設備選型、采購

另外就是日常辦公設備的維護、保養……也許工作比較雜，但絕對不是一個打雜的

第二來看看運維做的事情：

1、同事上不了網、系統中病毒了、打印機掛了都需要去迅速解決。這是大部分運維工程師都會遇到的事情

但是，如何能讓這些情況盡可能少的發生，并且發生之后在最短的時間內恢復則是需要下一番功夫研究的

2、服務器維護。能夠同時維護Windows和Linux服務器的運維你們傷不起啊！

不要以為Windows就是簡單的點幾下鼠標，也不要以為Linux像傳說中那樣百毒不侵

進能調sendmail、postfix、nginx……退可玩Exchange、IIS、SQL Server……這樣才叫運維工程師

3、網絡維護。有錢人玩Cisco，窮人折騰華為……路由不用路由器反而弄個Linux PC玩iptables

4、高級任務。這塊兒能做的就非常多了

例如性能調優、系統維穩、非常見故障響應、協同開發人員等等，說起來最簡單，做起來最復雜

當然我說這些并沒有完全包含運維需要做的事情，但都是Ops需要知道的

這些工作并不是每天單純的coding，還需要大量的（英文）文檔閱讀、思考，或者體力活

所以，有沒有趣就看個人喜歡不喜歡這種工作方式，也許有的人以不停的coding為樂趣，有的人則以這種雜事為樂趣

李虓，someone who still have dream

以前做過開發，現在在做運維

這個職位普遍有很多誤解，因為出現的時間和發展的時間不夠長。簡單說說我的理解：

互聯網運維的目標就是保證產品（網站/應用）能夠正確無誤的運行以支持整體商業目標

（提供服務/提供新聞/提供...) 規模上去之后你會發現這個運維可以包括太多的東西，也可以細分成無數的子部門

互聯網公司的一個特點應該是快速開發周期，在SOA的框架下可以分成很多小service

如此多的service在開發、發布的過程中遇到的一系列問題，都需要想創造性的解決

系統監控更是如此，雖然目前有了一些比較成熟的開源監控系統

但是畢竟每個公司的情況不同，大部分公司會在監控和問題處理上下大工夫做自己的開發

做運維絕對不意味著不寫程序 起碼做好運維是這樣

寫的程序一般不會比dev少，區別是dev做的開發是大規模，周期長的，有語言要求；運維的要求則是快速解決問題

運維適合喜歡“解決問題”的人，適合那種天生知道怎么debug，并且以此為樂趣的人

dev和ops(operation)的關系就是：dev寫代碼；ops跑代碼
對大部分dev來說他們關心的就是怎么完成自己的function,不會也沒辦法估計function對整個系統的影響

好的ops就在這里發揮作用，他們理解整個系統，參與開發的設計、架構階段并對其有決定權利

最后也會對開發完成的產品做review并且可以讓dev打回去重寫

最后回到有趣沒趣的問題上：
有趣沒趣？如果你喜歡挑戰，喜歡對所有的事情都問個“為什么” 

喜歡做一些沒人知道也沒人告訴你該怎么做的事情，上alexa找top100的公司去做他們的運維，絕對有趣

陳永保，The dark side of the moon

這個話題就是個坑，拿來閑聊的，并不在于得到什么結論。所以隨便侃幾句

我覺得，做一件工作不外乎幾種情況：

a）只能做這個，迫于知識技能或環境，沒別的選擇

b）能干這個，也能干別的，哪個無所謂，選擇這個只是偶然或某種微不足道的原因

c）喜歡干這個，想做出點東西

所以做運維是否覺得『有趣』，取決于訴求，也就是目的或原因

『運維』其實是一個大的概念，其中又細分成很多，機房運維，網絡運維，應用運維，互聯網公司

電信公司的運維與網吧運維、公司IT運維又有所不同。每個運維的領域的特點不同，對人員的要求也不同

是否有趣，取決于很多方面，但我覺得能否帶來成就感是最主要的因素。實際的崗位要求、業務的發展不同

對于運維能否做出點有成就感的東西，或許不一樣。有志于做運維的，應該追求一些挑戰，在業務成長的同時

自己也能成長。最終的『有趣』，并不只是生活佐料的有趣，而是變得有意義了