勒索軟件攻擊是安全部門面臨的挑戰(zhàn)

Fahmida+Y.+Rashid+楊勇

當WannaCry或者ExPetr這樣的攻擊出現(xiàn)時，管理和保護IT基礎(chǔ)設(shè)施的現(xiàn)實使得IT和安全人員處于無法獲勝的境地，所以不要責怪他們。

最新的勒索軟件攻擊影響了世界各地數(shù)千名受害者，讓我們有一種強烈的似曾相識的感覺。這一惡意軟件不同于五月份WannaCry所使用的惡意軟件，宣稱負責的犯罪集團也不同，但應(yīng)對感染暴發(fā)的建議是一樣的：給有漏洞的系統(tǒng)打上補丁，不付贖金，并從備份中恢復(fù)。

新的勒索軟件——卡巴斯基實驗室在確定這不是Petya惡意軟件變種后，將其命名為ExPetr，它涉及到幾個變種，包括EternalBlue和EternalRomance，表面上看都是利用了美國國家安全局開發(fā)的軟件。EternalBlue是基于Windows的SMBv1開發(fā)的，5月份也被WannaCry使用過。

與WannaCry不同的是，ExPetr是在局域網(wǎng)而不是互聯(lián)網(wǎng)上傳播的，但ExPetr加密主引導(dǎo)記錄，這要比僅僅加密單個文件更具破壞性。ExPetr可能是一種新的攻擊形式，但其所作所為并沒有什么新東西。它利用一些已知的漏洞，通過不應(yīng)該在互聯(lián)網(wǎng)上使用的協(xié)議進行傳播，還濫用現(xiàn)有的操作系統(tǒng)實用程序（PsExec）。

很常見的是指責和責備。安全專家們在博客、社交媒體和電子郵件上發(fā)表了看法：

此次攻擊是企業(yè)沒有嚴格采取安全措施的另一個例子。

如果企業(yè)正確地給系統(tǒng)打上補丁，并實施了縱深防御方法來保護其網(wǎng)絡(luò)，就很容易避免這些攻擊。

WannaCry早就敲響了警鐘，但事實上，新的勒索軟件仍然在世界各地快速傳播，這說明仍然有很多企業(yè)和用戶還沒有使用微軟早在今年3月就發(fā)布的MS17-010補丁。

SMBv1早就過時了——端口沒必要開放給互聯(lián)網(wǎng)。忽視安全是不負責任的——包括安全方面的投資、時間和優(yōu)先權(quán)。

還有很多。

請停止，罵人沒用。

IT和運營部門都充分意識到核心IT和安全基礎(chǔ)，例如補丁管理、定期備份、災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性以及應(yīng)急響應(yīng)等，對于保護他們的網(wǎng)絡(luò)和用戶免受破壞性攻擊是非常重要的。不負責任或者不稱職的人是不會去做好打補丁工作的，也無視他們自己和陷入困境的安全同事們所面臨的挑戰(zhàn)。毫無爭議的事實是，有漏洞的系統(tǒng)運行的軟件是得不到支持的，這些軟件是過時的或者是沒有打上補丁。這對任何人來說都不是什么意外，也不應(yīng)該是安全的。

Duo Security的首席安全策略官Wendy Nather說：“任何事情似乎總是會有意外，無論我們怎么強調(diào)打補丁是一種解決方案，很多情況下都沒有打上。這就像大家都在談?wù)撨@個問題，但認識還不夠，沒能真正解決這個問題?！?/p>

不要疏忽大意，理解挑戰(zhàn)。

如果系統(tǒng)不在您的控制之下，您就不能更新它。

所有的系統(tǒng)都應(yīng)該定期打補丁，說起來很容易，但它忽略了一個關(guān)鍵問題：IT并不是經(jīng)常性地訪問網(wǎng)絡(luò)上的系統(tǒng)。如果打了補丁的系統(tǒng)會被取消質(zhì)?；蛘卟辉俦ＷC許可時，就沒有必要更新這些系統(tǒng)了?；蛘撸紤]在制造工廠的情況，與機器連接的計算機會被認為是機器的一部分，而不在IT的控制之下。車間管理人員不希望IT參與到設(shè)備管理中，但IT必須考慮安全問題，以及與其他系統(tǒng)的兼容性。

Nather說：“問題是普遍存在的，特別是缺乏基本安全的企業(yè)，而金融交易終端和銀行網(wǎng)絡(luò)是由集中的受過良好訓(xùn)練的系統(tǒng)來運營的，即便如此也是存在各種問題?！?/p>

認識到企業(yè)的制約因素

這是公共部門的一個大問題——立法法規(guī)和削減政府開支的計劃妨礙了IT的安全支出。Nather說：“納稅人不打算為運行不錯的硬件和軟件進行更新而付費?！背斯膊块T，企業(yè)還會有其他的制約因素。例如，非營利組織對它能做什么以及把錢花在哪里都有嚴格的規(guī)定。

“用到最后”與“盡早和經(jīng)常更新”直接矛盾

當在技術(shù)上花費了數(shù)百萬美元（比如說核磁共振機器）后，您期望它一直能用很多年。需要有定期維護窗口來更新軟件，這似乎也與當初的承諾相違背。在醫(yī)療領(lǐng)域，病人的安全是至關(guān)重要的，意味著軟件每改變一次，設(shè)備都必須針對安全而重新測試和認證。

任何非常依賴于外部的系統(tǒng)都需要較長的時間來更新

企業(yè)平均需要120天時間來給他們的系統(tǒng)打上補丁。這包括對不同系統(tǒng)配置的測試，確保沒有應(yīng)用程序沖突，并確定當前功能不會丟失。復(fù)雜的依賴關(guān)系意味著更新可能會無意中破壞某些重要的東西。例如，Windows XP是一個老的操作系統(tǒng)，一些售貨亭和設(shè)備還在使用它，盡管不再為桌面版本提供支持了，但也不會輕易的被淘汰掉。

Nather說：“我們需要解決幾十年的老系統(tǒng)和企業(yè)所受制約因素等問題，而且還有這一事實——沒人知道現(xiàn)在企業(yè)要實現(xiàn)高效的安全措施需要多大的投入；我們甚至不知道企業(yè)能否負擔得起?！?/p>

要務(wù)實

應(yīng)該找出與當前存在的架構(gòu)相關(guān)的解決方案，而不是IT基礎(chǔ)設(shè)施應(yīng)該是什么樣子的烏托邦式的想法。企業(yè)有很多老系統(tǒng)，多年來在沒有打補丁的系統(tǒng)和設(shè)備上進行了大規(guī)模的投資。遷移并不總是解決辦法，安全行業(yè)應(yīng)更具創(chuàng)新性，找到與企業(yè)合作的方法來更新過時的系統(tǒng)，或者采取保護措施來保護現(xiàn)有的資源。企業(yè)對其資金的使用是有限制的，要把有限的資源發(fā)揮出最大效益則需要很多創(chuàng)造性的理念。

Nather說：“考慮到這一問題所涉及的復(fù)雜性、外部風險、經(jīng)濟刺激、技術(shù)債務(wù)等，我們可能在技術(shù)上也要采用類似于‘可負擔的醫(yī)療法案等措施?！?/p>

如果企業(yè)的系統(tǒng)正在運行未打過補丁的軟件，那么軟件更新是很好的第一步。如果這不行，而且經(jīng)常會是這樣，那就不要再指手畫腳了，去尋找解決的辦法。預(yù)防措施包括限制和保護PsExec的使用、限制用戶的權(quán)限、禁用SMBv1、禁用端口445（SMB）和139（文件和打印機共享），不允許企業(yè)之外的用戶使用這些端口。對于ExPetr的情況，阻止c：＼Windows＼perfc.dat寫入或者執(zhí)行能夠防止被感染。在%windir%中提前創(chuàng)建一個名為perfc的文件，該文件沒有擴展名，這也能夠防止勒索軟件的執(zhí)行。

Nather說：“我們都

不想驚恐地看到另一次WannaCry式的攻擊，坦率地說，我們都應(yīng)該承認這不會是最后一次攻擊。這會變得更糟，而變好不太可能?！?/p>

Fahmida Y. Rashid是CSO的資深作家，其寫作主題是信息安全。

原文網(wǎng)址：

http：//www.csoonline.com/article/3204132/cyber-attacks-espionage/the-fault-for-ransomware-attacks-lies-with-the-challenges-security-teams-face.html