热点安全

Hot Security

退潮之后,才知道谁在裸泳? ——WannaCry之后,企业信息安全防护与人员意识是否也成功提升了呢?

退潮之后,才知道谁在裸泳~ ……

—— 事件发生了,才知道哪裡暗藏信息安全危机……


大约在2017年5月12日这个时间点,全球开始遭受到一波严重的 WannaCrypt0r (亦简称为WannaCry、WanaCry) 勒索软体攻击。其实,此次利用的漏洞微软早在 2017年3月14日 发布了 MS17-010 Patch 的更新程式,时隔两个月,为何仍造成全球如此大的冲击?

不外乎是信息安全相关措施没有完全落实,恰好验证了巴菲特所说:

“只有退潮的时候,你才知道谁在裸泳”。

事件发生了,才知道哪裡没有做好、哪裡暗藏信息安全危机,但这需要付出惨痛的代价。信息安全措施没有完全落实的原因,不见得是考虑不周或是人员怠惰,本次事件受到攻击的系统,多半没有开启Windows Update 的自动更新功能。

而细究不开启更新的主要原因包括:

  • · 使用了盗版的 Windows 不敢更新;
  • · 使用了会关闭自动更新的电脑软体;
  • · 合法的 Windows 7 用户或管理员担心 Windows 更新会自动升级到 Windows 10 带来非预期的问题,而将更新关闭;
  • · 用户的自动更新功能故障无法处理,却没有请专业人员协助解决问题。

监测发现,WannaCry 勒索蠕虫出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了所谓的Kill Switch,不能通过注册某个域名来关闭变种勒索蠕虫的传播。该变种的传播速度可能会更快,该变种的有关处置方法与之前版本相同,建议立即进行关注和处置。

本次事件发生后大约三日, WannaCry 的感染扩散问题已受到有效控制,对事件的关注也慢慢从探求如何处理,转变成思考如何预防及攻击者的来源、目的。而最让人想问的不外乎:

会不会再有下一波?

这个攻击有没有可能循经典的勒索软体经典的钓鱼邮件模式进行扩散?

 

系统漏洞易补,认知漏洞难防

先将目光从 WannaCry 移开,思考一下,信息安全事件特别严重的是否只有这一起?这次的事件是否影响深远?系统的漏洞是否是最危险的?事实上,信息安全事件分分秒秒都在发生,较 WannaCry 更严重的事件,如 APT 偷偷攻击某些国家的关键基础设施;较 WannaCry 影响更深远的事件,如专门攻击 IoT 的恶意程式Mirai 原始码被公开;而利用漏洞的攻击多半都有特效药,只要能正确的更新安全性修正,问题都能瞬间被控制住或弥平。但透过电子邮件发动的攻击,直捣受害者的「认知漏洞」则没有特效药,仍然持续流行,且防不胜防。

虽然目前,还没有发现这几波WannaCry通过电子邮件管道扩散的确切案例或证据,但在WannaCry事件刚爆发时,Softnext守内安与 ASRC 研究中心除了针对正在流行的勒索软体钓鱼邮件变化模式进行对应的更新 -—— 例如与 WannaCry 同期爆发的勒索病毒「Jaff」,也针对 WannaCry 2月至5月份相关样本的特征防护更新发布至 SPAM SQR ,确保万一 WannaCry 突然改变攻击管道时, SPAM SQR 用户仍能免于此勒索软体的攻击。

WannaCry 持续变种,未来是否会试图通过钓鱼邮件扩散直捣用户认知漏洞,我们持续监控中,也发现利用CVE-2017-0199漏洞攻击的恶意邮件近期有明显增多的趋势,提醒企业慎防!

 

标准应变措施中暗藏 新的隐忧

WannaCry事件,除了因为是蠕虫式的扩散、造成短时间大范围的感染外,更重要的是直接影响了终端用户会接触到的电脑相关设备,所以才会这么有感。也因为这起事件,激起了一般民众对于信息安全的重视。

各方专家呼吁的标准应变措施包括了漏洞修补更新、病毒码更新,以及重要文档离线备份。因应这次事件所进行漏洞修补更新,预计可直接避免近期同样被揭露的危险漏洞 (如:CVE-2017-0290)在短时间再度遭到大规模的利用。

而档案离线备份,固然是预防勒索软体最终极的手段,但Softnext守内安企业数据安全保护小组特别指出,在这波应变措施的程序背后,也隐藏著另一个隐忧:

重要数据、文档应备份!

重要数据、文档应备份!!

重要数据、文档应备份!!!

在WannaCry来得又急又凶,兵荒马乱的紧急外接硬盘备份动作,可能在企业无暇兼顾之下,意外大开方便之门,员工是否有遵守公司机关制定的备份策略?是否有机密外洩的可能?这些都是在WannaCry事件后需要特别注意的。

 

Softnext守内安数据安全研究小组建议:

企业平时即应重视数据安全管理规范与制度的落实,任何涉及公司数字财产的电脑文档、数据备份作业,均应依循公司指定方式实施(非备份至个人私有储存设备),才可避免因任何突发信息安全事件的应变,反而导致企业重要资料外洩。

信息安全问题层出不穷,会有终止的一天吗?答案自然是否定的!

通过信息安全管理策略的拟定,强化信息安全架构,企业才有机会在退潮之前掌握新的信息安全危机。

 

关于WannaCry造成的冲击

2017年5月中旬,全球开始遭受到一波严重的 WannaCrypt0r (亦简称为WannaCry、WanaCry) 勒索软体攻击,此勒索软体结合外洩美国 NSA(美国国安局) 攻击武器 EternalBlue 与 DOUBLEPUSLAR,利用了 Windows 系统的 SMB v1 漏洞,主动搜索开放的 445 Port 的机器来进行蠕虫式的散播。未更新此漏洞的 Windows 系统在感染后,特定文档会遭到加密,加密过后的文档会被改为 .WNCRY 后缀名,若是受害者想要解密文档,则需要支付 300 美金价值的比特币赎金给攻击者。 WannaCry 造成全球150个国家、20万台电脑沦陷,成为史上最严重的勒索软体灾难。

 

关于 病毒邮件 防御

Softnext守内安 邮件安全网关(高性能邮件威胁防御系统HMDS)除整合多重防毒引擎外,亦建立了自动病毒指纹机制,强化整体更新的速度。并引用 ASRC 病毒特征,让程序自动解压文档后,再进行扫描分析,可进一步发觉隐藏的逻辑混淆特征,有效应对同种变异的病毒邮件。

 

关于信息安全架构强化服务

Softnext守内安致力于协助企业数据安全管理制度的建立,辅以 ISO27001、弱点扫描服务侦测威胁,并透过符合 OWASP、NIST SP 800-115 的渗透测试指南来检查漏洞,持续协助信息系统安全修补、套件管理、安全参数设置等强化工作,也将陆续展开。

 

登入

登入成功