WannaCry的啟示(一):網絡保安豈止於防火牆?
日期 : 2017年7月19日
机构 : 思科系统(香港)有限公司
作者 : 思科香港、澳门及台湾区技术总监伍伟强
近期WannaCry成为网络保安界焦点,这个肆虐全球电脑用户的勒索软件,跟一般勒索软件不同,它并非使用网钓电邮(Phishing)散播病毒,而是在全无人手干预的情况下,自动扫描被攻击电脑所连接的网络上是否存在微软视窗的一个SMB漏洞。虽然这个漏洞已在微软一个早在三月发布的安全公告中被修复,然而大部分「中招」是没有定期更新系统的用户,甚至是已不再受支援的操作系统。而且,WannaCry的传播机制,正是利用了一个由美国国家安全局(NSA)泄漏出的攻击工具来制造,让其在短短数天时间,已在全球逾150个地区策动攻击,逾20万个用户电脑「中招」 。
当商业及公共机构面对新型威胁,只是安装新一代防火墙并不足够应付;而是需要一个整合及自动化的网络保安架构,配合完善的网络保安情报系统,才能多层面地阻挡日益严峻的网络攻击。而且,商业及公共机构必须把注意力延伸至整个攻击周期,除了在攻击前阻挡入侵外,还需要在受到攻击时能够即时侦测威胁,及事后能即时确定被入侵的范团,并随之修复被攻击的系统。
例如当WannaCry于5月12日爆发时,一些云端保安的操作平台已经在十数分钟的短时间内把WannaCry的kill switch域名加入「侦测域名名单」中,更在数小时后列入「恶意程式」类型,阻止所有用户连到该域名。此外,一些进阶恶意软件防护方案,在取得勒索软件样本后,经过沙箱模拟及自动分析后以判定其为一恶意程式,立刻阻挡它入侵商业及公共机构用户的终端、电邮、网络闸道等。 WannaCry爆发当日,某一威胁情报团队发布了网志文章,深度分析WannaCry勒索软件的特性,并一直持续监控全球网络,提供情报以保护商业及公共机构客户免受WannaCry或其他威胁的攻击。下图说明了坊间的资讯保安方案以侦测和应对「WannaCry」勒索软件的事件簿。
(图片来源:思科香港)