退潮之后,才知道谁在裸泳
—— 事件发生了,才知道哪里暗藏信息安全危机
大约在2017/5/12这个时间点,全球开始遭受到一波严重的 WannaCrypt0r (亦简称为WannaCry、WanaCry) 勒索软件攻击。其实,此次利用的漏洞微软早在 2017/3/14 发布了 MS17-010 Patch 的更新程序,时隔两个月,为何仍造成全球如此大的冲击?
不外乎是信息安全相关措施没有完全落实,恰好验证了巴菲特所说:“只有退潮的时候,你才知道谁在裸泳”,事件发生了,才知道哪里没有做好、哪里暗藏信息安全危机,但这需要付出惨痛的代价。信息安全措施没有完全落实的原因,不见得是考虑不周或是人员怠惰,本次事件受到攻击的系统,多半没有开启Windows Update 的自动更新功能。
而细究不开启更新的主要原因包括:
使用了盗版的 Windows 不敢更新;
使用了会关闭自动更新的计算机软件;
合法的 Windows 7 用户或管理员担心 Windows 更新会自动升级到 Windows 10 带来非预期的问题,而将更新关闭;
用户的自动更新功能故障无法处理,却没有请专业人员协助解决问题。
本次事件发生后大约三日, WannaCry 的感染扩散问题已受到有效控制,对事件的关注也慢慢从探求如何处理,转变成思考如何预防及攻击者的来源、目的。而最让人想问的不外乎会不会再有下一波?这个攻击有没有可能循经典的勒索软件经典的钓鱼邮件模式进行扩散?
系统漏洞易补,认知漏洞难防
先将目光从 WannaCry 移开,思考一下,信息安全事件特别严重的是否只有这一起?这次的事件是否影响深远?系统的漏洞是否是最危险的?事实上,信息安全事件分分秒秒都在发生,较 WannaCry 更严重的事件,如 APT 偷偷攻击某些国家的关键基础设施;较 WannaCry 影响更深远的事件,如专门攻击 IoT 的恶意软件Mirai 原始码被公开;而利用漏洞的攻击多半都有特效药,只要能正确的更新安全性修正,问题都能瞬间被控制住或弥平。但通过电子邮件发动的攻击,直捣受害者的「认知漏洞」则没有特效药,仍然持续流行,且防不胜防。
虽然目前还没有发现这几波WannaCry通过电子邮件管道扩散的确切案例或证据,但在WannaCry事件刚爆发时,Softnext守内安与 ASRC 研究中心除了针对正在流行的勒索软件钓鱼邮件变化模式进行对应的更新 - 例如与 WannaCry 同期爆发的勒索病毒「Jaff」,也针对 WannaCry 2月至5月份相关样本的特征防护更新发布至 SPAM SQR ,确保万一 WannaCry 突然改变攻击管道时, SPAM SQR 用户仍能免于此勒索软件的攻击。
WannaCry 持续变种,未来是否会试图通过钓鱼邮件扩散直捣用户认知漏洞,我们持续监控中,也发现利用CVE-2017-0199漏洞攻击的恶意邮件近期有明显增多的趋势,提醒企业慎防。
标准应变措施中 暗藏着新隐忧
WannaCry事件除了因为是蠕虫式的扩散造成短时间大范围的感染外,更重要的是直接影响了终端用户会接触到的计算机相关设备,所以才会这么有感。也因为这起事件,激起了一般民众对于信息安全的重视。各方专家呼吁的标准应变措施包括了漏洞修补更新、病毒特征更新,以及重要文档脱机备份。因应这次事件所进行漏洞修补更新,预计可直接避免近期同样被揭露的危险漏洞 (如:CVE-2017-0290)在短时间再度遭到大规模的利用。而文档脱机备份,固然是预防勒索软件最终极的手段,但Softnext守内安企业数据安全保护小组特别指出,在这波应变措施的程序背后,也隐藏着另一个隐忧:重要文件备份。
在WannaCry来得又急又凶,兵荒马乱的紧急外接硬盘备份动作,可能在企业无暇兼顾之下,意外大开方便之门,员工是否有遵守公司机关制定的备份策略?是否有机密外泄的可能?这些都是在WannaCry事件后需要特别注意的。
Softnext守内安企业数据安全保护小组建议:企业平时即应重视数据安全管理规范与制度之落实,任何涉及公司智能资产的计算机文档数据备份作业,均应依循公司指定方式实施(非备份至个人私有储存设备),才可避免因任何突发信息安全事件的应变,反而导致企业重要数据外泄。
信息安全问题层出不穷,也不会有消灭的一天,通过信息安全管理策略的拟定,强化信息安全架构,企业才有机会在退潮之前掌握新的信息安全危机。
关于WannaCry造成的冲击
2017年5月中旬,全球开始遭受到一波严重的 WannaCrypt0r (亦简称为WannaCry、WanaCry) 勒索软件攻击,此勒索软件结合外泄美国 NSA(美国国安局) 攻击武器 EternalBlue 与 DOUBLEPUSLAR,利用了 Windows 系统的 SMB v1 漏洞,主动搜寻开启 445 Port 的机器来进行蠕虫式的散播。未修补此漏洞之 Windows 系统在感染后,特定文档会遭到加密,加密过后的文档会被改为 .WNCRY 扩展名,若是受害者想要解密文档,则需要支付 300 美金价值的比特币赎金给攻击者。 WannaCry 造成全球150个国家、20万台电脑沦陷,成为史上最严重的勒索软件灾难。
关于病毒邮件防御
Softnext守内安 邮件安全网关(高性能邮件威胁防御系统HMDS)除整合多重防毒引擎外,亦建立了自动病毒指纹机制,强化整体更新的速度。并引用 ASRC 病毒特征,让程序自动解压文档后,再进行扫描分析,可进一步发觉隐藏的逻辑混淆特征,有效应对同种变异的病毒邮件。
关于信息安全架构强化服务
Softnext守内安致力于协助企业数据安全管理制度的建立,辅以 ISO27001、弱点扫描服务侦测威胁,并通过符合 OWASP、NIST SP 800-115 的渗透测试指南来检查漏洞,持续协助信息系统安全修补、套件管理、安全参数设置等强化工作,也将陆续展开。
关于Softnext 守内安:
作为大中华区的邮件安全市场领导者,已有四成福布斯十佳CEO企业选择的邮件安全管理应用——Softnext守内安,凭借在网络内容安全应用领域十多年的深入钻研,致力于邮件安全以及网络内容的风险管控,提供面向市场、面向客户的最新威胁防御的网络安全产品,到威胁防御与联合防御体系,并成功拓展到SaaS云端防御领域,转型云端安全防护服务商,为云计算服务商提供云端安全防御,加固安全纵横防御体系;同时,亦成为阿里云邮生态合作伙伴;秉承“服务 品质 值得信赖”的全新品牌理念,在FROST &SULLIVAN(全球知名市调公司)大中华区调研中,除了成为连续五年复合业绩成长率第一名的质优企业。
作为邮件风险管理和信息安全内控管理服务的专业研发厂商,Softnext守内安立于本土,深入的本土化耕耘,相继获颁【中国软件和信息技术服务业最有价值品牌】和【品牌建设卓越团奖队】,邮件安全三剑客连续三年蝉联【上海市优秀软件产品奖】,并获得Frost &Sullivan授予【年度邮件内容安全服务提供商】的殊荣,并在品牌建设上,屡获软件和信息技术服务业【最有价值品牌奖】。
本文转自d1net(转载)
