360抽样数百家政企：一机多网是“永恒之蓝”肆虐主因

7月21日，360发布《政企机构“永恒之蓝”勒索蠕虫应急响应调研分析报告》，通过对国内1700余家政企机构进行抽样调研，详细分析了今年5月“永恒之蓝”勒索病毒大量感染内网设备以及部分国内政企机构全面中招的原因。

报告指出，员工缺乏安全意识私搭网络造成一机双网或一机多网，是病毒渗透内网的首要原因，而信息化建设与业务发展不相称造成必要的安全措施无法实施，是很多政企机构中招的本质原因。

员工缺乏安全意识私搭网络

几年前的震网病毒事件让人们认识到，U盘可以作为病毒的摆渡实现内网渗透。此次“永恒之蓝”勒索蠕虫的传播再一次证明，现在的网络边界越来越模糊，无数方式都可能突破隔离网的边界。

报告指出，一机双网或一机多网问题是此次Wannacry成功渗透内网的首要原因。一机双网或者一机多网的情况，会导致病毒首先通过互联网感染某台设备，随后再通过这台染毒设备攻击内网系统中的其他设备。

360企业安全研究院首席研究员裴智勇表示，使用隔离网设备的员工缺乏安全意识，无视机构内部的管理规定，私搭网络连接互联网，是造成一机双网或一机多网问题的主要原因。

比如，一些只有内网机的员工往往耐不住寂寞，私自用网线将内网机与互联网插口相连，进行上网购物和聊天，还有一些人会去浏览色情网站，给内网带来极大的安全风险；还有一些员工用手机等设备私自搭建WiFi热点，将与内网相连的电脑设备链接到WiFi热点上，从而实现了一机双网。

调研结果显示，员工将未打补丁或有安全缺陷的设备带出办公场所，并与互联网相连，是Wannacry感染内网设备的第二大主要原因。此外，协同办公网络未全隔离、内部网络防火墙未关闭445端口、办公网与生活网未隔离、外网设备分散无人管理等问题都让勒索蠕虫“有机可乘”，最后成功侵入内网。

信息化建设与业务发展不相称

报告指出，从技术上分析，电脑不打补丁是“永恒之蓝”勒索蠕虫能够大范围攻击内网设备的根本原因。调研结果也显示，政企机构设备不打补丁的情况非常普遍，而这种情况从本质上来说，是信息化建设与业务发展不相称造成的，进而导致了必要的安全措施无法实施。

裴智勇认为，企业在不断加强网络安全建设的同时，必须不断提高信息化建设的整体水平，逐步淘汰老旧设备，老旧系统和老旧软件。否则，再好的安全技术与安全系统，也未必能发挥出最好的，甚至是必要的作用。

调研还发现，很多采用物理隔离网络的机构，没有采取任何实际有效的技术检测或管理方法，来确保设备工作在物理隔离网内，同时逻辑隔离网络缺乏内网分隔管理，是导致企业内部出现大面积中招或跨地域中招的重要原因。因此，只有配合多种软硬件技术手段，将物理隔离与逻辑隔离、安全管控相结合，才能真正实现网络的有效物理隔离。

此外，报告指出，企业员工甚至IT管理者的安全意识差、轻视安全问题，不能对突发安全事件做出正确的判断，从而导致了一些机构没能在第一时间有效处理勒索病毒。另一方面，企业奉行“业务优先忽视安全”原则，安全监管部门地位较低，安全措施无法落实等管理问题，也是造成一些政企机构大规模中招的原因。

“侥幸”心理是最大的安全隐患

调研结果显示，虽然这次“永恒之蓝”勒索病毒给很多政企机构带来了灾难性的后果，但并不是所有机构都遭了殃，大多数金融机构等大型政企机构实现了不断网、零感染、不中断业务的应急处置。

报告指出，这些政企机构之所以应对比较出色，主要原因是：应急技术手段到位，网络隔离有效，同时安全意识较高、应急执行力强，重视安全管理、考核安全绩效，并且安全措施齐全、日常运维有效等。

裴智勇表示，对政企机构来说，最难的一点是自建研究团队，正确预判形势。目前，只有极少数在网络安全建设方面特别优异的政企机构才能做到，虽然这些研究团队还不能代替安全厂商的专家，但完全有能力对自身企业的安全形势做出正确的预判，并且对机构内部的安全建设提出富有远见的建设规划。

报告还指出，个别政企机构虽然没有发现“永恒之蓝”勒索蠕虫，但却通过全面检测和网络流量监控，意外发现了其他具有潜在安全风险的因素。不过，也有个别政企机构在得到安全厂商通报，告知其内部电脑可能感染勒索病毒后，采取了掩盖问题，隐瞒不报的态度，这种在安全上的“侥幸”心理是政企机构内部最大的安全隐患。