勒索病毒的教训,我们真的汲取了吗?

2017-06-05 18:04:30 Jack Danahy  首席安全官


在永恒之蓝(WannaCry)勒索蠕虫大爆发之后,一种熟悉的模式开始显现出来。我们现都知道永恒之蓝(WannaCry)感染如何爆发及传播开来的细节(钻了微软早在3月份打上补丁的已知安全漏洞的空子),起初的警报和担忧逐渐让位于来自安全界的预期反应。

“那些人怎么还没有打上补丁?”“为何那些人仍在运行Windows XP?”“谁任由端口445向互联网敞开?”

在我们开始责怪估计30万受害者遭遇这次攻击是咎由自取、认为攻击根源纯粹是粗心大意之前,我们应该考虑到这点:过于简单的评价也许正是这种攻击似乎如此“不可避免”的原因之一。

永恒之蓝(WannaCry)爆发真正给人启示的是倒不是外头有数量惊人的过时、不安全的系统,而是谁都以为:提出同样的老请求,一直责怪受害者会改变一切。

如果你将安全厂商和专家针对这次攻击给出的大多数建议大声地朗读出来,听起来像是陈词滥调:定期打补丁。不要使用过时的系统。更新反病毒软件。告诫用户不要随意点击。备份数据。

没错,这些都是中肯的建议。就像“多锻炼”、“少吃甜食”和“别超速”这些中肯建议一样。但是一旦遇到实际情况,就像永恒之蓝(WannaCry)大爆发那样,它们听起来如同安全行业的老生常谈,而不是解决办法。往好了说,面临来自竞争对手的压力,它们很难得到遵循。往坏了说,我们在提防毫无疑问会出现的重复、模仿的攻击时,它们未能解决让公司易受攻击的实际问题。

所以,切勿重复给出同样这些老套的建议,没有人似乎听进去时只好放弃,不妨对它们加以分析,描述它们在哪里存在不足,建议可帮助公司采取更积极主动的措施来保护自己的另外方法。

保护贵公司远离下一个永恒之蓝(WannaCry)的五个最常见建议的最新版。

 

一. 打补丁

目前的忠告:“打上所有补丁,确保所有系统是最新版本。”

更好的忠告:“认真对待安全补丁。”

永恒之蓝(WannaCry)之所以能够广泛传播开来,就在于它钻了“永恒之蓝”(ETERNALBLUE)漏洞的空子,这是影子经纪人(Shadow Brokers)在4月份泄露的NSA黑客工具之一。微软早在3月份就发布了补丁,以堵住“永恒之蓝”觊觎的安全漏洞(MS17-010)。永恒之蓝(WannaCry)爆发之后,微软还采取了不同寻常的措施:为老版本的Windows发布了另外的补丁。毫无疑问,打补丁堵住安全漏洞是安全和系统管理工作的重要部分。但是许多公司平均花100天至120天给安全漏洞打上补丁却有着几个正当的理由。

给整个企业环境打上补丁会在后勤方面带来相当大的挑战。在医疗业等一些行业,系统的稳定性和可用性至关重要,这就需要对任何系统更新进行额外的测试。在大多数情况下,尤其是一些系统只是间歇性连接,就很难完全知道所有系统已打上了补丁。打补丁的这个忠告虽好,却没有考虑到这项工作有多困难、多复杂。

这并没有让企业组织摆脱认识到这个问题的责任。应该始终将审查安全漏洞补丁的工作放在首位。只有业务团队、安全团队和IT团队在充分知情的情况下进行了讨论,并达成了一致意见,才应该决定延迟部署。如果势必需要延迟部署以兼顾测试工作,应该实施缓解控制措施,避免易受攻击的系统或服务被暴露。

确保系统版本最新虽好,但是现实让企业不可能做到这点后,就需要做到风险性质透明,并且明确谁负责做好暂时的保护工作。

发布了“永恒之蓝”及其他漏洞的ShadowBrokers已宣布,每个月会发布更多的漏洞。这意味着,现在就需要这些更新计划和方法,在下一次攻击发生之前做好漏洞和补丁管理。

如果你无法立即打补丁,要做的一件事就是:在“永恒之蓝”的目前形势下,你可能需要禁用SMB,或者更严格地管理网络对SMB的访问,直到你能够打补丁为止。这么做将保护你远离任何另外的“永恒之蓝”攻击,或者是觊觎SMB的其他任何漏洞。你还应该重新评估访问端口445(SMB)和端口3389(RDP)的政策。这两个端口已成了攻击者的常见入口点(不妨想想Dharma、CrySiS和SamSam等勒索软件的攻击)。

二. 系统更新

目前的忠告:“更换所有过时的机器和老式系统。”

更好的忠告:“你在证明有必要更新系统时,强调安全。”

获得想要的所有设备,拥有购买所需软件的所有资金,还拥有保持版本更新所需的时间和基础设施,这样的企业毕竟是极少数。我们对仍运行Windows XP的系统可能直摇头,但事实上,许多企业根本就没有时间和人手来更新或更换网络上的每个系统。

安全必须能像速度和功能同等受到关注的问题。厂商宣布停止软件更新(这自然包括安全补丁)应该立即触发企业对那些受影响的系统的做出更新计划。

如果你无法及时更换或更新过时的系统,该如何是好:如果企业现状迫使用户继续使用不安全的过时系统,不妨考虑将它们放在自己的网段上隔离开来。通过更现代化的代理系统,处理连接至它们的任何请求,并严格限制它们使用和生成的流量类型。就要让管理团队时刻意识到这些过时系统与安全漏洞的存。

 

三. 反病毒软件

当前的忠告:“运行更新后的反病毒软件。”

更好的忠告:“加强端点保护。”

在永恒之蓝(WannaCry)爆发后,大多数反病毒软件厂商能够逐渐添加签名,从而可以阻止病毒,成功保护客户,远离这一病毒。更新反病毒软件很重要,因为这让保护机制能与时俱进,应对已知威胁,尽管防范不了未来的变种。如果下一次爆发含有新的变种(光2016年就发现了240000多个变种),在首次发现新变种,和编写与部署特征之间会出现保护上的空档期。

除了等待反病毒保护技术来防护下一次攻击,我们应该怎么办:购置利用其他方法来阻止新攻击或零日攻击的终端安全解决方案。比如一些实时恶意软件防御技术,自动阻止了WannaCry恶意病毒的有效载荷(payload)和“永恒之蓝”漏洞,这主要是它可以识别并阻止恶意行为。即便在处理之前从未见过的新恶意病毒变种时,这种方法都管用。

 

四. 用户意识

当前的忠告:“教用户别点击任何可疑的链接或附件。”

更好的忠告:“让用户成为保护策略的一部分。”

许多攻击需要用户执行有效载荷;对用户进行培训,识别钓鱼邮件和网站颇能说明问题的种种迹象,这无疑是值得做的工作。然而以WannaCry(以及针对高危网络服务的其他攻击)为例,根本不需要用户执行操作,感染就会传播开来。

不仅帮助用户了解个人使用互联网的基本良好习惯。还要鼓励用户留意系统上的不寻常活动,确保他们可以随意报告系统可能受到了感染。这是一项长期投入,如果你想要获得成效,就需要付出时间和长期的努力。

 

除了培训,还要做什么

针对邮件攻击,掌握安全知识的用户可能是重要防线,但是如今高级的社会工程学和网络钓鱼攻击势必需要安全网,以便在用户不小心犯错误后,也能起到保护作用。那些安全网可能包括:用户访问控制、软件限制政策、备份,以及实时恶意软件防御,可以阻止用户触发的任何恶意活动。

 

五. 备份

当前的忠告:“搞更多的备份!”

更好的忠告:“不只是要搞备份。”

如果说大行其道的勒索病毒背后让人看到了一丝希望,那就是更多的企业开始致力于备份,这是明智之举。话虽如此,但很多企业以为备份始终能够挽救局面,这种想法很危险。虽然备份能够将加密的文件恢复到之前已知的状态,但是光有备份不是一套完整的解决方案。

在备份方面加大投入、证明有必要不光光搞备份时,需要考虑以下几个方面:

1. 致力于了解真正的备份范围:大多数备份内容并非百分之百全面。遭到勒索软件攻击的企业中,不到一半声称能够用备份内容来恢复所有加密数据。要找出哪些资源可能还没有备份,或者哪些数据是上一次备份与目前攻击这段期间可能没有备份的。

2. 如果你仅仅需要恢复数据,备份才管用。如果攻击所搞的破坏不仅仅加密文件,你遇到的问题可能要严重得多。如果攻击还导致系统瘫痪或者导致服务停用,那么花几小时、乃至几天的时间让机器恢复运行是不可接受的。就算有备份,让一切完全恢复如初也要耗费大量的成本。

3. 勒索软件并不总是单独出现。勒索软件之所以得逞,就是很明显感染了系统,然后同样很明显地索要赎金。不过最近,攻击者一直将勒索软件与另外的有效载荷包装起来,比如可以窃取受害者登录信息的击键记录程序和可以将被感染机器变成僵尸机器的远程访问特洛伊木马。在这类情况下,受害者也许能够恢复加密的文件,同时仍然无视自己仍被感染的事实。

4. 用备份来恢复,改变不了系统已中招的事实。备份可以帮助你从感染造成的破坏中恢复过来,但是它们无法否认感染已发生的事实,它们也根本无力防止感染再次发生。对于从事医疗业等受管制行业的企业组织来说,尤其如此:《健康保险可携性及责任性法案》(HIPAA)规定,一旦数据泄密,就要公开披露和报告勒索软件攻击事件。

应该怎么办,而不是光依赖备份:

除了备份外,还要辅助以旨在有效防止攻击得逞的解决方案,以免攻击造成破坏,以致于仅通过恢复丢失或加密的文件而无法恢复如初。

 

不满足于最佳实践,制定自己的计划

在这次爆发之后,企业都在退后一步思考和评估自身的安全。自己拥有的安全体系足够好吗?它是提供了有效保护,还是实际上令人失望?需要怎样才能更有效地对付此类攻击?

大多数企业在反病毒、下一代反病毒、防火墙和备份等防御体系方面投入了相当大的精力。如果我们预测下一次攻击,很显然企业不需要做更多的工作,它们需要做“不同的工作”。这意味着,用不同的方法来了解风险,采取不同的措施来加强打补丁或更新系统的能力,以及评估阻止、检测和应对下一个WannaCry的不同保护机制;众所周知,下一个永恒之蓝(WannaCry)早晚会出现。


Jack DanahyBarkly公司联合创始人兼CTO,拥有超过25年的安全行业经验。此前曾成功创立 Qiave Watchguard 两家公司 


—推荐给朋友

如果感觉内容有点价值,请顺手转发下吧

公众微信名:首席安全官 或 CSOWorld

也可长按二维码,扫描关注属于CSO的社区

欢迎企业CSO投稿。

  安全企业市场与媒体群 

欢迎安全厂商从业者、安全媒体人八卦交流,加 CSOChina 自我介绍。

  用户交流群  

欢迎行业与安全主管交流 (暂不接受厂商)

加 CSOChina 自我介绍。