退潮之後,才知道誰在裸泳
—— 事件發生了,才知道**暗藏資訊保安危機
大約在2017/5/12這個時間點,全球開始遭受到一波嚴重的 wannacrypt0r (亦簡稱為wannacry、wanacry) 勒索軟體攻擊。其實,此次利用的漏洞微軟早在 2017/3/14 發布了 ms17-010 patch 的更新程式,時隔兩個月,為何仍造成全球如此大的衝擊?
不外乎是資訊保安相關措施沒有完全落實,恰好驗證了巴菲特所說:「只有退潮的時候,你才知道誰在裸泳」,事件發生了,才知道**沒有做好、**暗藏資訊保安危機,但這需要付出慘痛的代價。資訊保安措施沒有完全落實的原因,不見得是考慮不周或是人員怠惰,本次事件受到攻擊的系統,多半沒有開啟windows update 的自動更新功能。
而細究不開啟更新的主要原因包括:
使用了盜版的 windows 不敢更新;
使用了會關閉自動更新的計算機軟體;
合法的 windows 7 使用者或管理員擔心 windows 更新會自動公升級到 windows 10 帶來非預期的問題,而將更新關閉;
使用者的自動更新功能故障無法處理,卻沒有請專業人員協助解決問題。
本次事件發生後大約三日, wannacry 的感染擴散問題已受到有效控制,對事件的關注也慢慢從探求如何處理,轉變成思考如何預防及攻擊者的**、目的。而最讓人想問的不外乎會不會再有下一波?這個攻擊有沒有可能循經典的勒索軟體經典的釣魚郵件模式進行擴散?
系統漏洞易補,認知漏洞難防
先將目光從 wannacry 移開,思考一下,資訊保安事件特別嚴重的是否只有這一起?這次的事件是否影響深遠?系統的漏洞是否是最危險的?事實上,資訊保安事件分分秒秒都在發生,較 wannacry 更嚴重的事件,如 apt 偷偷攻擊某些國家的關鍵基礎設施;較 wannacry 影響更深遠的事件,如專門攻擊 iot 的惡意軟體mirai 原始碼被公開;而利用漏洞的攻擊多半都有特效藥,只要能正確的更新安全性修正,問題都能瞬間被控制住或彌平。但通過電子郵件發動的攻擊,直搗受害者的「認知漏洞」則沒有特效藥,仍然持續流行,且防不勝防。
雖然目前還沒有發現這幾波wannacry通過電子郵件管道擴散的確切案例或證據,但在wannacry事件剛爆發時,softnext守內安與 asrc 研究中心除了針對正在流行的勒索軟體釣魚郵件變化模式進行對應的更新 - 例如與 wannacry 同期爆發的勒索病毒「jaff」,也針對 wannacry 2月至5月份相關樣本的特徵防護更新發布至 spam sqr ,確保萬一 wannacry 突然改變攻擊管道時, spam sqr 使用者仍能免於此勒索軟體的攻擊。
wannacry 持續變種,未來是否會試圖通過釣魚郵件擴散直搗使用者認知漏洞,我們持續監控中,也發現利用cve-2017-0199漏洞攻擊的惡意郵件近期有明顯增多的趨勢,提醒企業慎防。
標準應變措施中 暗藏著新隱憂
wannacry事件除了因為是蠕蟲式的擴散造成短時間大範圍的感染外,更重要的是直接影響了終端使用者會接觸到的計算機相關裝置,所以才會這麼有感。也因為這起事件,激起了一般民眾對於資訊保安的重視。各方專家呼籲的標準應變措施包括了漏洞修補更新、病毒特徵更新,以及重要文件離線備份。因應這次事件所進行漏洞修補更新,預計可直接避免近期同樣被揭露的危險漏洞 (如:cve-2017-0290)在短時間再度遭到大規模的利用。而文件離線備份,固然是預防勒索軟體最終極的手段,但softnext守內安企業資料安全保護小組特別指出,在這波應變措施的程式背後,也隱藏著另乙個隱憂:重要檔案備份。
在wannacry來得又急又兇,兵荒馬亂的緊急外接硬碟備份動作,可能在企業無暇兼顧之下,意外大開方便之門,員工是否有遵守公司機關制定的備份策略?是否有機密外洩的可能?這些都是在wannacry事件後需要特別注意的。
softnext守內安企業資料安全保護小組建議:企業平時即應重視資料安全管理規範與制度之落實,任何涉及公司智慧型資產的計算機文件資料備份作業,均應依循公司指定方式實施(非備份至個人私有儲存裝置),才可避免因任何突發資訊保安事件的應變,反而導致企業重要資料外洩。
資訊保安問題層出不窮,也不會有消滅的一天,通過資訊保安管理策略的擬定,強化資訊保安架構,企業才有機會在退潮之前掌握新的資訊保安危機。
關於wannacry造成的衝擊
2023年5月中旬,全球開始遭受到一波嚴重的 wannacrypt0r (亦簡稱為wannacry、wanacry) 勒索軟體攻擊,此勒索軟體結合外洩美國 nsa(美國國安局) 攻擊** eternalblue 與 doublepuslar,利用了 windows 系統的 smb v1 漏洞,主動搜尋開啟 445 port 的機器來進行蠕蟲式的散播。未修補此漏洞之 windows 系統在感染後,特定文件會遭到加密,加密過後的文件會被改為 .wncry 副檔名,若是受害者想要解密文件,則需要支付 300 美金價值的位元幣贖金給攻擊者。 wannacry 造成全球150個國家、20萬台電腦淪陷,成為史上最嚴重的勒索軟體災難。
關於病毒郵件防禦
softnext守內安 郵件安全閘道器(高效能郵件威脅防禦系統hmds)除整合多重防毒引擎外,亦建立了自動病毒指紋機制,強化整體更新的速度。並引用 asrc 病毒特徵,讓程式自動解壓文件後,再進行掃瞄分析,可進一步發覺隱藏的邏輯混淆特徵,有效應對同種變異的病毒郵件。
關於資訊保安架構強化服務
softnext守內安致力於協助企業資料安全管理制度的建立,輔以 iso27001、弱點掃瞄服務偵測威脅,並通過符合 owasp、nist sp 800-115 的滲透測試指南來檢查漏洞,持續協助資訊系統安全修補、套件管理、安全引數設定等強化工作,也將陸續展開。
關於softnext 守內安:
作為大中華區的郵件安全市場領導者,已有四成富比士十佳ceo企業選擇的郵件安全管理應用——softnext守內安,憑藉在網路內容安全應用領域十多年的深入鑽研,致力於郵件安全以及網路內容的風險管控,提供面向市場、面向客戶的最新威脅防禦的網路安全產品,到威脅防禦與聯合防禦體系,並成功拓展到saas雲端防禦領域,轉型雲端安全防護服務商,為雲計算服務商提供雲端安全防禦,加固安全縱橫防禦體系;同時,亦成為阿里雲郵生態合作夥伴;秉承「服務 品質 值得信賴」的全新品牌理念,在frost &sullivan(全球知名市調公司)大中華區調研中,除了成為連續五年復合業績成長率第一名的質優企業。
作為郵件風險管理和資訊保安內控管理服務的專業研發廠商,softnext守內安立於本土,深入的本土化耕耘,相繼獲頒【中國軟體和資訊科技服務業最有價值品牌】和【品牌建設卓越團獎隊】,郵件安全三劍客連續三年蟬聯【上海市優秀軟體產品獎】,並獲得frost &sullivan授予【年度郵件內容安全服務提供商】的殊榮,並在品牌建設上,屢獲軟體和資訊科技服務業【最有價值品牌獎】。
有效的資訊保安意識培訓
為什麼要做安全意識培訓?安全意識培訓的結果是一大堆文件,但是對企業員工來說沒有根本的意義,資料洩露事件 攻擊事件依然發生,一方面除了是安全建設存在問題,另一方面主要是我們資訊部門的工程師大部分是網路工程師出生,對安全的理解大部分停留在防火牆層面,而企業更加注重技能培訓,對意識培訓不是很重視,也不太想...
資訊保安意識亟待提高 堤防人成安全隱患
曾經有統計表明,世界上每過一分鐘就有2家企業因為資訊保安問題而倒閉。而在所有資訊保安事件中,有70 80 都是由內部員工的疏忽或有意洩漏造成。這並非聳人聽聞。紅黑聯盟在2010年和2011年連續兩年針對中國企業員工資訊保安意識展開調查,從2011年調查情況看,被調查企業的員工資訊保安意識比2010年...
提公升網路安全意識 榕樹貸款資訊保安獲權威機構認證
www.cppcns.comnbsp 當今中國,網民數量全球第 一 電子商務總量全球第一,網路已與大眾日常生活密不可分。與此同時,伴隨而來的網路安全問題也逐漸暴露出來,加強網路安全成為了從頂層設計到全民參與的大事。nb今年 5 月,網路安全等級保護制度2.0 標準出台,資訊保安技術網路安全等級保護基...