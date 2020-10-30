2017 年 5 月 12 日那天，要是在上班路上问问网络安全专家们的看法，大多数人都会表示，他们察觉到一场重大网络安全事件即将发生。
然而，在那个清晨，当大家或是自驾、或是乘火车，亦或是坐渡轮赶往各自的办公室时，没人料到自己即将遭遇一场网络浩劫——罪魁祸首正是 WannaCry 勒索病毒，这也是当时破坏力最强的一次网络攻击。
如今，各类设备、系统与网络的互联程度日益加深，这意味着病毒在不同系统间传播的难度，比以往大幅降低。但由于此前许久未发生过重大网络安全事件，我们大多数人（即便像我这样的网络安全领域记者也不例外）都渐渐放松了警惕。当这些因素，再叠加当前海量在用的设备与系统，一场网络安全危机的爆发便已注定。
即使在发现了终止开关之后，该病毒仍继续肆虐每个系统及其触及的所有数据——攻击 150 个国家或地区的 300 个组织的计算机系统。
据英国广播公司报道，俄罗斯是全球遭受单次感染尝试次数最多的国家。不过，大多数任务关键型服务器并未受到影响，因为这些服务器运行的是一款名为 Elbrus 的苏联时期计算机系统。但这种技术层面的免疫能力，并未阻止该病毒在全国范围内的计算机间扩散。它致使内务部、铁路系统、各大银行以及俄罗斯大型移动运营商 Megafon 的终端设备全面瘫痪。
即使在几年后，现场报道 WannaCry 仍然让我很好奇，但也充满了疑问。在过去三年中，每当该攻击成为谈论话题时，我都能听到同样的主题：WannaCry 势不可挡，它改变了我们处理网络安全和看待企业风险的方式。
在我看来，对于如此重大的事件，这样的评价过于笼统了。我心里有着诸多具体疑问。2017 年 5 月 12 日那天，网络安全从业者们究竟是怎样的处境？该事件对全球企业与政府造成的总体影响有多大？我们在那一天汲取的经验教训，又如何塑造了当下的商业格局、技术发展态势以及网络安全领域的整体格局？
我还想知道让全世界通过社交媒体和数字新闻网站观看这一活动，如何改变人们的反响和整体影响。商界领袖和公众观看了新闻报道，没有人确切地知道发生了什么。几乎所有人都认为，这是一种不详的征兆。我也很好奇这是否会加剧公众的恐惧还是有助于更快地解决问题。
“该事件的影响至今仍不容小觑。它堪称印证各类组织应对网络安全事件准备不足的典型案例，也为众多企业敲响了警钟。”IBM X-Force 事件应急响应项目负责人 Tracey Nash 表示。Nash 认为，2017 年 5 月 12 日这一天，让各组织深刻意识到，必须从业务层面考量网络安全风险问题。
为精准还原事件全貌，更重要的是，厘清 WannaCry 勒索病毒为何会造成如此深远的影响，我采访了当年参与攻击响应的核心人士。其中，我与 IBM X-Force Threat Intelligence 副总裁 Wendi Whitmore 进行了数小时的深入交流；同时也对话了 IBM 安全创新与漏洞修复部门（首席信息安全官办公室下属）总监 Christopher Scott，以了解他对当天事件经过及 WannaCry 攻击后恢复工作的看法与见解。
本文将详细记录三年前那些混乱日子里的真实情况，以及 WannaCry 勒索病毒的影响与后续影响如何延续至今。
许多人（甚至是行业领先的网络安全专业人士）首先通过推文了解到这次攻击。英国国民保健制度 (NHS) 的一名医生率先在推特上披露了这场大规模攻击的消息。随后，无数同行纷纷晒出自己被锁定的电脑屏幕照片，所有屏幕上都显示着同样的信息：“哎呀，你的文件已被加密！”
当时的 NHS 员工并不知道这次攻击最终会导致 7 万台设备受到感染，以及三分之一的 NHS 医院完全关闭。WannaCry 对 NHS 和世界各地其他医院的影响证明网络犯罪可能在医疗物联网 (IoMT) 时代造成严重破坏。值得庆幸的是，临床安全研究人员已通过确凿证据证实，这场加密蠕虫引发的混乱并未导致任何患者死亡。
即使那些不在电脑前的人也很快意识到发生了大事：
德国通勤列车到站与发车信息的电子显示屏上，突然出现了比特币勒索要求；
韩国数十块影院银幕上，也弹出了一模一样的文字。
在印度尼西亚雅加达，医生们被迫从计算机系统切换到纸质记录，患者因此等待了数小时。
时任 X-Force Threat Intelligence 全球合作伙伴和事件响应负责人的 Whitmore 表示，攻击一开始，她的团队就感到困惑不已，纷纷直言：“这事儿不对劲。”
具体来说，当团队发现被加密文件根本无法解密恢复时，他们立刻意识到遭遇的是一种全新威胁。这款勒索病毒并未为黑客提供确认赎金支付者身份的机制。
她的首要任务之一便是获取该恶意软件的样本。她深知，唯有精准掌握其工作原理，才能有效遏制其蔓延。但获取样本并进行逆向分析的过程异常艰难，尤其是在明知全球各类系统正迅速陷入瘫痪的巨大压力之下。
WannaCry 勒索病毒是迄今为止传播速度最快的网络犯罪攻击事件。未打补丁的联网计算机在几分钟内就可能中招，随后迅速通过网络扩散该蠕虫病毒。许多新闻报道都描述了这样的场景：当员工启动办公电脑时，IT 团队成员四处奔波，竭力遏制攻击造成的损失。
当我问及 IBM X-Force Threat Intelligence 全球负责人 Laurance Dine（当时任职于某全球托管服务提供商），那天最深刻的记忆是什么时，他表示，印象最深的是电话铃声始终没有停过。电话那头的每一位客户都惊慌失措，急需帮助。他用“彻底陷入混乱”来概括那一天的状态。
很快，他的整个团队，包括那些原本不属于事件响应团队的其他安全专家，都被部署到了应急一线。
Dine 表示：“这场危机无处不在，感觉每个人都被卷入其中。普通民众都知道勒索病毒正在蔓延，他们看懂了新闻，清楚正在发生什么。有人去不了医院，人们的生活因此受到了切实影响。”
那一天，所有事件响应人员纷纷取消了个人计划，严阵以待，准备迎接一个高强度工作的周末。全世界都在注视着，全球众多企业在 WannaCry 蠕虫病毒的冲击下陷入停滞。
当时我们所有人都未曾预料到，这款所到之处尽毁系统的加密蠕虫，其根源竟是一个已存在两个月、名为 EternalBlue 的漏洞。一旦 Wanna Decryptor 成功感染某一网络中的单台设备，便会迅速向该网络内的其他计算机扩散，同时扫描互联网寻找其他未打补丁的设备。而 EternalBlue 所利用的这一漏洞，使得未修补的 Windows 设备完全暴露在攻击风险之下，成为 WannaCry 病毒传播蔓延的关键推手。
在企业网络上，加密蠕虫病毒通常可以被快速检测出来。但 WannaCry 却始终隐匿踪迹，直至大规模爆发。对于众多高级威胁参与者而言，规避检测是其首要目标（尤其是在精准定向攻击中），但 WannaCry 非定向攻击。这是一场经过精心策划的全球性攻击，设计初衷就是为了吸引最大限度的关注，而最终也确实达到了这一效果。
Scott 解释道，在很多情况下，病毒的快速传播还得益于一种他称之为“M&M 式网络”的架构。这类网络的特点是“外硬内软”，外部防护坚固，内部却缺乏有效管控，这种架构对威胁参与者和加密蠕虫而言堪称温床。他指出，一旦加密蠕虫突破了网络边缘的“硬糖外壳”（即外部防护层），WannaCry 病毒便能在整个网络环境中不受阻碍地自由扩散。
在接下来的七个小时里，这款“黏腻的巨型蠕虫病毒”在全球范围内肆虐作乱，直至网络安全研究员 Marcus Hutchins 与 Jamie Hankins 发现了一个终止开关。随后，研究人员又陆续发现了另外两个终止开关，最终使得该勒索病毒变种基本丧失了活性。
但对于全球 300 家受影响组织而言，漫长的漏洞修复与系统恢复工作才刚刚拉开序幕。当时所有人，都未曾预料到此次事件的破坏程度之深，以及后续修复工作的艰巨性。我们（包括正紧急部署修复程序的 Scott 团队）都踏入了一片未知的领域。
Scott 表示：“我必须让这些系统环境恢复正常运行能力。但我们如何通过测试确保修复方案可行？如何完成用户验收？之后，又该如何将修复方案部署到生产环境中？”
Scott 表示，在很多情况下，他的团队不得不绕过传统测试流程，冒着因仓促行动“引发一些新问题”的风险推进修复工作。而 WannaCry 病毒根本不给人们留任何选择余地，这也是其造成大规模破坏的核心原因之一。
大多数网络安全专业人士都知道，WannaCry 在财务上算不上成功，其净利润数据显示远低于预期。区块链记录显示，2017 年 5 月至 2019 年 12 月期间，WannaCry 为攻击者带来约 38.6 万美元的净收益，但总额会随着比特币的估值而波动。这相当于通过每台受感染计算机的获利不超过 1.08 美元。
若仅从经济损失维度与早期电子邮件病毒相比，WannaCry 病毒的破坏规模近乎温和。赛门铁克 2018 年估算其造成的经济损失达 40 亿美元，而如今这一数字可能更高。2007 年的 Conficker 病毒导致超 91 亿美元损失，感染了全球数百万台计算机。2004 年的 MyDoom 病毒造成约 380 亿美元损失，当年发送的电子邮件中约 25% 受到影响。
这款加密蠕虫的核心目的并非针对单一目标牟利，而是要制造广泛影响。据 Dine 称，WannaCry 背后的威胁参与者特意利用了一款乌克兰税务会计软件，根据乌克兰政府规定，任何在乌开展业务的组织都必须使用该软件。威胁参与者通过推送恶意软件更新，成功瘫痪了乌克兰大量国家基础设施。
绝大多数网络犯罪都是出于经济动机，旨在造成大规模破坏而不关心实际赎金的勒索软件非常少见，
当被问及 WannaCry 病毒事件中最关键的部分时，Whitmore 表示，所有方面都具有重要意义。
”“这绝对是一记意义重大的警钟。”Whitmore 再次强调。“对于任何目睹那些全球大型机构——即便它们拥有完善的安全方案和流程，却仍未能幸免于病毒攻击——的组织而言，这一事件极大地提升了它们的安全意识。”
”“这绝对是一记意义重大的警钟。”Whitmore 再次强调。“对于任何目睹那些全球大型机构——即便它们拥有完善的安全方案和流程，却仍未能幸免于病毒攻击——的组织而言，这一事件极大地提升了它们的安全意识。”
她表示，在 WannaCry 事件之后，更有针对性的活动变得更加常见。虽然攻击并不总是针对单个客户端，但现在威胁参与者可能会发送大量网络钓鱼电子邮件，从而获得 10 个客户端的访问权限。她指出，此后威胁参与者会花费 6 至 12 个月的时间，对潜在目标展开细致的侦察活动，同时在网络内部隐匿踪迹以规避检测。
Whitmore 表示，最终，威胁参与者会在其认为（或怀疑）最有可能成功勒索赎金的时机发动勒索病毒攻击。
WannaCry 可能至少要对当前的威胁媒介和商业勒索软件攻击的日益流行负有部分责任。根据 2018 年《数据泄露调查报告》(DBIR) 显示，2017 年所有导致数据丢失的恶意软件事件中，勒索病毒占比达 39%。自那以后，此类攻击不断演变，技术复杂度显著提升，给受害者造成的损失也愈发惨重。此外，商业级勒索病毒通常具备极强的检测规避能力。
许多受影响的组织拥有大量的数据备份，但这些备份并不总是可恢复。在许多情况下，备份已连接到网络，很容易被 WannaCry 锁定。在其他情况下，各组织拥有异地备份，但未对其进行轻松恢复测试。
2017 年 5 月发生的加密勒索软件事件是威胁环境的转折点。WannaCry 对企业网络安全文化产生了积极影响，同时也让勒索软件在全球威胁参与者的意识中迅速攀升。如今，许多商业级勒索病毒的威胁参与者会事先开展细致调研，精准评估受害者数据的潜在价值，无论是数据丢失本身可能造成的损失，还是将数据出售给竞争对手所能带来的收益。
典型案例如下：Whitmore 在过去六周内刚见证了一起针对某组织的勒索病毒攻击。Whitmore 说：“攻击者索要的赎金高达 2500 万美元，而这家公司无论从哪个角度看都算不上大型企业。”
WannaCry 病毒爆发前，大多数企业领导者似乎都抱有“这事不会发生在我们身上”的心态，尤其是医疗保健行业之外的企业。而如今，当我提及勒索病毒时，大家都会认真倾听。企业领导者们甚至常常会主动向我及其他网络安全专家提起勒索病毒相关话题。在我看来，WannaCry 病毒带来的冲击与破坏，其最深远的影响之一，便是让企业管理层真正意识到，勒索病毒已成为一项不容忽视的重大威胁。
该事件也对网络安全在企业中的作用以及 CISO 在董事会中的作用产生了深远的影响。如今企业管理层已意识到：即便遭遇重大网络安全漏洞事件，只要应对得当，最终反而可能在声誉层面实现正向提升。
一家总部位于欧盟的物流品牌展示了 WannaCry 对其声誉造成的轻微损害。攻击发生后的几天内，该公司 CEO 主动走向公众视野，直接与公众及客户沟通。加密蠕虫引发的危机冲击，加之 CEO 自信坦诚、积极沟通的应对姿态，共同构成了企业迈向责任共担网络安全文化的关键第一步。
WannaCry 病毒首次爆发后，各类模仿攻击与后续影响层出不穷。ESET 于 2020 年 5 月披露，WannaCry 占其 2020 年第一季度检测到的勒索软件的 40.5%。由于主要互联网服务提供商屏蔽了终止开关域名，一些国家或地区仍然受到 WannaCry 余波的严重影响。部分持续存在的感染案例源于薄弱的网络安全卫生习惯，而另一些感染则潜藏于非传统终端设备中，这类设备对许多企业而言不仅难以检测，更无从谈起有效管控。
很难说 2020 年企业是否会比 2017 年更好地准备应对全球加密蠕虫病毒攻击。不过，与我交流过的专家都一致认为，网络安全领域的人的因素已发生显著转变，这一点理应给事件响应专业人士带来信心。
然而，根据 ESET 的研究数据，搜索引擎 Shodan 的监测结果显示，截至 2019 年 5 月，仍有近 100 万台设备存在 EternalBlue 漏洞暴露风险，且未安装对应的修复补丁。自 2017 年 5 月下旬以来，这一数字几乎没有变化，这一现状令人深感担忧。
近期一项调查表明，全球 27% 的组织曾将数据泄露事件归咎于未修复的漏洞。更值得警惕的是，绝大多数机构根本不清楚其网络中究竟有哪些终端设备正在构成安全风险。与此同时，39% 的组织承认，其漏洞扫描频率不足每月一次。根据 CA Veracode 的报告，超过 70% 的漏洞在发现 30 天后仍未得到修复。
从高度破坏性攻击中恢复的成本为 2.39 亿美元，是涉及数据丢失平均事件成本的 61 倍。
Scott 观察到，组织网络环境构建与控制点部署方面已发生重大积极转变，旨在规避当年那种“硬糖外壳”式架构（正是这类架构让蠕虫病毒得以快速传播）。如今，客户们开始关注容器化技术与微服务架构，而非像 2017 年及之前那样，给攻击者留下一个内部缺乏防护、易于渗透的“软质黏腻网络目标”。这一转变部分可能与 WannaCry 病毒事件相关，但更核心的原因或许在于企业网络边界已发生本质迁移。
在当今的网络环境中，许多服务器无法直接访问工作站的情况屡见不鲜。相反，用户可以通过代理访问云数据。安全云增加了一些安全策略的复杂性，也使部分工作流更复杂，但在许多方面也改善了安全状况。云驱动的隔离机制意味着，组织不再依赖单一的大型网络开展运营。
对以往硬糖外壳网络的转变也影响了用户权限。Scott 认为这是防御高级持续性威胁 (APT) 和特权帐户的一大优势。最重要的是，许多组织正在转向基于信任和基于需求的访问模型，而不是指定超级用户和重新架构权限。
然而，在 WannaCry 蠕虫病毒爆发三年后，组织从针对性极强的勒索病毒攻击与高级持续性威胁中恢复的成本已攀升至历史峰值。这真是令人不安。根据《2019 年数据泄露成本报告》显示，去年数据泄露事件的平均恢复成本达 392 万美元。从高度破坏性攻击中恢复的成本为 2.39 亿美元，是涉及数据丢失平均事件成本的 61 倍。
威胁参与者者正变得愈发大胆且精于算计，他们会精准锁定目标数据价值，进而索要与之匹配的赎金。2020 年的商业级勒索病毒已不再以网络内病毒式传播为目标，也不再针对数十万未打补丁的终端设备发起泛化攻击。相反，威胁参与者以可能支付数百万赎金的公司为目标。
威胁参与者会精准锁定目标受害者，确保入侵所有关键系统以制造恐慌氛围，他们甚至常常会渗透至备份服务器，试图以此逼迫受害者不得不支付赎金。
“看到企业携手共建威胁防御体系，这一趋势令人倍感振奋。”
“在事件初期就明确后续行动步骤，将直接决定最终响应的成败。”
这句话让我深有共鸣，因为我们常常低估压力与恐慌对决策能力的影响。而这些看似微小的决策，可能会造成天壤之别：是付出数百万美元的代价、耗费数年时间恢复，还是仅需数月即可平息风波。
Scott 表示，看到关键绩效指标 (KPI) 已初现转型端倪，他深感振奋，这正是他尤为关注的领域。他常向团队提问：“我们如何通过量化追踪，真正激励员工规范开展安全工作？”
对于 SOC 分析师而言，侧重于解决速度和时间范围的指标可能会适得其反。如果 SOC 分析师处于过度强调效率的工作环境中，很容易偏离核心职责。他们可能在完成完整调查前就草率关闭工单，进而忽视攻击渗透点等关键全局信息。
自 2017 年 5 月以来，行业内的网络安全卫生与漏洞补丁修复习惯或许尚未取得显著改善，但多数专家一致认为，即便对于尚未遭遇过勒索病毒攻击的组织而言，如今的应对准备也已远胜往昔。这一切的关键，在于网络安全领域人的因素发生了深刻转变。
当我问及企业和网络安全专业人员如何为意外情况做准备时，Rohrbacher 笑了。他耸了耸肩，说道：“嗯，毕竟实战的历练无可替代。”
他告诉我，像 WannaCry 这样的真实事件可以提高人们的意识和应对能力。除此之外，我接触的几乎所有事件响应专家都认为模拟至关重要，就像季度桌面练习和定期沟通工具测试对建立肌肉记忆至关重要一样。
他指出，网络钓鱼模拟和网络靶场活动是组织应对不可预见结果的两种方法。Rohrbacher 表示，若一场演练能真正让参与者沉浸其中，且过程富有参与感，他们就更有可能总结出优化应急响应的个性化经验。
当前的新冠疫情与 WannaCry 攻击之间的相似性，令我一直印象深刻。攻击发生后的最初几小时，场景与 2020 年 3 月何其相似，所有人迅速进入危机模式，全力应对这一前所未见的突发状况。如今，随着疫情持续蔓延，这种感受又如同我们至今仍在排查 WannaCry 病毒感染一般。疫情可能在更个人层面上影响着我们大多数人。但这两场危机，都以无人能预想、无人能预判的方式，深刻影响了我们的日常生活。
这两场事件带来的核心启示，归根结底在于即提前做好充分准备。WannaCry 和疫情都让每个人都措手不及。这就引出了一个由来已久的问题，即如何为以前从未几乎发生的事情做好准备。
提及应急准备，大多数人首先想到的是战略规划、模拟演练、安全培训，以及运用备份恢复等工具类措施。然而，当新型攻击发生且无针对性应对预案时，这些传统措施的作用往往有限。在我看来，问题的核心在于要树立全新的认知视角与应对思路。
“当你陷入危机时，除肌肉记忆之外的所有一切都会被抛诸脑后。”
脑海中不断浮现 Rohrbacher 说的一句话：“当你陷入危机时，除肌肉记忆之外的所有一切都会被抛诸脑后。”
当然，我们需要能够部署科技，制定计划并备份恢复选项。但我们还必须致力于为每位事件响应人员建立信心和肌肉记忆。
信心绝非一次培训就能铸就，也不是周四下午勾选完任务清单就能了事的表面工作。它源于文化与流程体系的深层变革。而应急准备的核心，在于赋能每一位团队成员，让他们拥有主动担当的底气。你期望看到的，是即便突发状况来袭，团队也能沉着冷静地说一句：“好的，交给我。”
Jasmine Henry 对本文报道亦有贡献。