5月12日，“勒索者”WannaCry幾乎是“一夜成名”。據外媒報道，該病毒嚴重影響了全球近百個國家的用戶。不過從筆者身邊的朋友、公司的反饋看，WannaCry雖然來勢兇猛，但是造成的破壞似乎并沒有想像中那樣巨大。無論是廠商還是普通用戶，對WannaCry早已有了防備。5月14日周日，筆者公司同事的QQ群中發布了關于防范WannaCry的通知、查殺病毒的軟件和補丁，5月15日周一上班，果然一切安然無恙，公司同事也無一人中招。

勒索軟件確實“臭名昭著”，一旦中招，文件會被“上鎖”，不交贖金，你想用的文件就變成了純粹的“擺設”。不過，在WannaCry爆發之前，已經爆出過多起勒索軟件“害人”事件，引起了全世界范圍內的警惕。一方面，人們的安全意識相比以前有了大幅度提高;另一方面，在WannaCry大規模爆發前，微軟發布了補丁軟件，諸多安全廠商都給出了提示和應對方案，而且在病毒爆發時，許多企業的網管、安全廠商的人員都堅守崗位，嚴陣以待。正是這種積極的防御，才壓制住了WannaCry的“囂張氣焰”。

這次WannaCry真是掉進了“人民戰爭的汪洋大海”中，不僅安全廠商紛紛行動起來，就連一些數據備份、容災廠商也提供了“解鎖”文件的方案。就在各廠商借WannaCry爆發之機宣傳安全防御的重要性，以及自己的安全產品和解決方案時，有一個廠商卻始終默默守護，它就是華為。

難道對于華為來說，是事不關己，高高掛起嗎?不是。那是華為沒有能“降服”WannaCry的產品或方案嗎?更不是。華為交換機與企業網關產品線安全網關領域總經理宋端智道出了其中的原委。

小“沙箱”的大反轉

還是先來講一個小故事吧。

大家都知道神醫扁鵲吧，但你知道扁鵲還有兩位兄長嗎?而且按扁鵲自己的說法，他的兩位兄長醫術都比他高明。扁鵲的大哥治病，是在病人的病情發作之前就能及時診治;扁鵲的二哥治病，是在患者發病初期剛剛有輕微癥狀之時，病人沒有感覺到太多痛苦就已經藥到病除;而扁鵲通常是在病人的病情已經十分嚴重之時出手，讓人感嘆他有起死回生的神技而聞名天下。你認為，他們三人中誰的醫術最高明?當然是能夠“防患于未然”的大哥。

如果用扁鵲兄弟行醫這個例子和安全領域當前的形勢進行對照，那么防范“未知威脅”是最具挑戰性的，也是當前安全研究必須突破的重點和難點。華為也是把這一工作當成了自己的核心任務，所以才有了華為專注于安全技術研究的“未然實驗室”的成立。“未然”顧名思義，也就是取“防患于未然”之義。

這次WannaCry爆發，華為的客戶基本沒有受到影響。“作為專業的安全廠商，不應把功夫都放在安全事件發生之后，談論自己有多高明的技術手段，可以做出應急響應、快速恢復文件。在危害發生之后，即使響應速度再快，損失也已無法挽回。”宋端智表示，“網絡安全最重要的還是在預防。”

其實，華為之前已經默默做了很多工作，就像扁鵲的大哥一樣，在用戶還沒有感知到WannaCry的大規模殺傷力之前，就讓不法侵害消失于無形。具體來說，華為有一個名為FireHunter的沙箱產品，它可以探查到未知威脅，并根據其行為進行分析。比如，當所有的郵件經過沙箱時，“沙箱”可以精準地判別出哪個郵件含高危的勒索軟件。因為這個判別過程并不是實時的，所以這個高危的勒索軟件還是會穿過防火墻進入客戶的系統內部。這意味著第一個客戶可能會中招，但同時華為的“沙箱”會將檢測到的高危勒索軟件的信息迅速上傳到華為全球情報處理中心，從第一次發現該未知攻擊到全球生成主動防御措施，這些過程會在15分鐘內完成。

此次WannaCry的爆發涉及到兩個安全問題：一是勒索軟件本身的問題，二是勒索軟件利用微軟的漏洞在局域網內進行傳播。幾乎所有人的防御策略都是從網絡上將相關端口封住。這樣做是有積極效果的，但會讓工作效率大打折扣，比如文件共享不暢。“在WannaCry爆發后，有客戶反映，他們的打印機不能共享了，因為安全部門將相關的端口封住了。可見這并不是一個最優的方法。”宋端智介紹說，“華為秉承的一個原則是，讓安全無處不在，就是讓交換機、路由器、Wi-Fi接入點等網絡設備都具有安全功能。”

華為的“沙箱”產品目前已經是第二代。按計劃，華為的第三代“沙箱”產品將于今年9月推出，其最主要的改進在兩個方面：一是增加了沙箱的反躲避技術，讓病毒意識不到它已經進入了沙箱檢測的環節;二是借助機器學習技術，研習更多的樣本，進一步提升沙箱檢測的準確率。

除了沙箱產品以外，華為還有基于大數據的安全分析平臺CIS(CyberSecurity Intelligence System)，它也是借助機器學習技術來分析和判斷流量，確認是惡意還是正常的行為。

“正常的安全措施還是必不可少的，比如給軟件打補丁，升級殺毒軟件等。華為希望進一步提高網絡的基本安全門檻，讓絕大部分客戶都能受到保護。”宋端智概括說，“華為在安全方面的一個核心原則是，將安全防御的工作做在前面，而不是做事后諸葛亮。”

主動防御為什么不能快速普及?

其實，變被動防御為主動防御，這是很多廠商都在談論的一個安全理念，與華為所說的“防患于未然”是一個道理。主動防御并不是一個全新的理念，用戶對此也十分認可，但為什么在實際應用中，這一理念卻很難貫徹執行呢?是技術問題，還是客戶有歷史包袱?

“主要還是意識上的問題，或者說用戶的重視程度不夠。”宋端智一語道破，“就像人的健康問題，在身體還沒有出現問題時，很多人不會花更多精力去預防和做保健。例如，采用新的訂閱服務模式，每年交年費，更新防火墻的特征庫，許多用戶還沒有這樣的意識。事實上，業內有很多好的安全預防措施，但用戶沒有充分應用起來。”

話又說回來，廠商如果提供這種提前預防的方法，是有一定技術門檻的。首先，安全產品要有對未知威脅的快速判定能力。就像WannaCry勒索軟件，它是一個全新的威脅，安全系統能否在第一時間判定它就是高危的勒索軟件，這需要安全廠商具備一定的能力，而勒索軟件、病毒都會“偽裝”自己，這就更增加了判別的難度，因此這種判別能力的養成需要長時間深厚的積累。

其次，廠商要有一個廣泛的客戶群體。華為的客戶遍布全球，不管世界的哪個角落出現新的安全威脅，華為全球的情報處理中心可以第一時間獲得信息，并及時將信息發送給全球各地的用戶，提前做作好預防工作，避免損失。

在現實中，誰也不能100%保證不出現任何安全問題，某一個安全產品或措施也不能放之四海皆準，一勞永逸地解決所有全問題。華為的策略是，通過智能聯動的方式在網絡層面保障整個企業的安全，將安全這堵墻盡可能筑得高一些、更高一些，這相當于提升了黑客和惡意攻擊者的攻擊成本，增加了攻擊的難度，從而減少客戶可能遇到的安全威脅。

宋端智拿社會安全舉例子：“我們每個人、每個家庭都會注意自身的安全，裝安全鎖、防盜門，有必要時還可以聘請保鏢。網絡安全其實相當于保證整個社會安全要做的事，比如建立公共的安全系統，搞好社會治安，街頭巷尾都安裝攝像頭，警察一直在巡邏。這些安全措施對犯罪分子起到了震懾作用，讓他們不敢輕易實施犯罪。客戶盡量做好自身終端設備的保護，我們幫助客戶把網絡安全做好，讓安全防護無處不在。”

安全的理想境界

云計算、大數據、移動互聯、物聯網等的快速發展，加重了安全的負擔。原來那種頭痛醫頭，腳痛醫腳的分散的安全保護策略已經不再適用，用戶要構建新的安全架構，以全面、整合的安全策略保護應用和數據。

宋端智認為，安全領域正在發生著一些新的變化，也是挑戰。

第一，未知的威脅越來越多，特別是一些高級的攻擊讓人有些防不勝防，現實中又沒有一些現成的有效的應對方法，需要邊研究邊解決。第二，單點防護已經失效，僅僅在網關上做防護已經不夠。第三，越來越多的應用和數據遷移到云端，公有云、行業云的安全保護是一個棘手的問題，以前只需保護好“企業的邊界”即可，而現在云是沒有邊界的，所以安全保護的難度加大了。

解決上述問題，華為的基本策略是：針對未知威脅，要實現云端、管道和終端的協同防護，通過智能的技術手段，在第一時間將未知威脅變成已知的，實現云和端的聯動，這樣才能更有效地進行防御;安全防護不能僅僅停留在網關層面，而要做到無處不在，除了終端，所有的網元，包括交換機、路由器等，都要具備安全能力。

“以前的單點防護，相當于只是在出城的地方設了一個卡口。現在，通路雖然越來越多，但所有通路上都有攝像頭，相當于所有網元上都有監控的執行點、數據的采集點，所有的異常行為都可以被探查到。這就是安全無處不在所要達到的效果。”宋端智表示，“我們不僅提供安全產品，覆蓋云-管-端的華為安全解決方案更是把這種無處不在的安全能力提供給客戶，幫助他們實現對網絡的主動的立體安全防護。”

面對這次WannaCry的爆發，有效地破解它只是第一步，更關鍵的是用戶要提升防御未知威脅的技能，建立無處不在的安全體系。能夠像扁鵲那樣在安全問題發生后及時解決和補救固然好，但是如果能夠像扁鵲的大哥那樣做到防患于未然，不是進入了一個更理想的境界嗎?