「退潮的時候,才知道誰在裸泳」- 事件發生了,才知道哪裡暗藏資安危機 大約在2017/5/12這個時間點,全球開始遭受到一波嚴重的 WannaCrypt0r (亦簡稱為WannaCry、WanaCry) 勒索軟體攻擊。其實,此次利用的漏洞微軟早在 2017/3/14 發佈了 MS17-010 Patch 的更新程式,時隔兩個月,為何仍造成全球如此大的衝擊?不外乎是資訊安全相關措施沒有完全落實,恰好驗證了巴菲特所說「只有退潮的時候,你才知道誰在裸泳」,事件發生了,才知道哪裡沒有做好、哪裡暗藏資安危機,但這需要付出慘痛的代價。資安措施沒有完全落實的原因,不見得是考慮不周或是人員怠惰,本次事件受到攻擊的系統,多半沒有開啟Windows Update 的自動更新功能。而細究不開啟更新的主要原因包括:使用了盜版的 Windows 不敢更新;使用了會關閉自動更新的電腦軟體;合法的 Windows 7 使用者或管理者擔心 Windows 更新會自動升級到 Windows 10 帶來非預期的問題,而將更新關閉;使用者的自動更新功能故障無法處理,卻沒有請專業人員協助解決問題。 本次事件發生後大約三日, WannaCry 的感染擴散問題已受到有效控制,對事件的關注也慢慢從探求如何處理,轉變成思考如何預防及攻擊者的來源、目的。而最讓人想問的不外乎會不會再有下一波?這個攻擊有沒有可能循經典的勒索軟體經典的釣魚郵件模式進行擴散? 系統漏洞容易修補,但使用者的認知漏洞防不勝防 先將目光從 WannaCry 移開,思考一下,資安事件特別嚴重的是否只有這一起?這次的事件是否影響深遠?系統的漏洞是否是最危險的?事實上,資安事件分分秒秒都在發生,較 WannaCry 更嚴重的事件,如 APT 偷偷攻擊某些國家的關鍵基礎設施;較 WannaCry 影響更深遠的事件,如專門攻擊 IoT 的惡意程式Mirai 原始碼被公開;而利用漏洞的攻擊多半都有特效藥,只要能正確的更新安全性修正,問題都能瞬間被控制住或彌平。但透過電子郵件發動的攻擊,直搗受害者的「認知漏洞」則沒有特效藥,仍然持續流行,且防不勝防。
雖然目還沒有發現這幾波WannaCry透過電子郵件管道擴散的確切案例或證據,但在WannaCry事件剛爆發時,中華數位與 ASRC 研究中心除了針對正在流行的勒索軟體釣魚郵件變化模式進行對應的更新 - 例如與 WannaCry 同期爆發的勒索病毒「Jaff」,也針對 WannaCry 2月至5月份相關樣本的特徵防護更新釋出至 SPAM SQR ,確保萬一 WannaCry 突然改變攻擊管道時, SPAM SQR 用戶仍能免於此勒索軟體的攻擊。 WannaCry 持續變種,未來是否會試圖透過釣魚郵件擴散直搗使用者認知漏洞,我們持續監控中,也發現利用CVE-2017-0199漏洞攻擊的惡意郵件近期有明顯增多的趨勢,提醒企業慎防。 標準應變措施中暗藏著新的隱憂 WannaCry事件除了因為是蠕蟲式的擴散造成短時間大範圍的感染外,更重要的是直接影響了終端用戶會接觸到的電腦相關設備,所以才會這麼有感。也因為這起事件,激起了一般民眾對於資安的重視。各方專家呼籲的標準應變措施包括了漏洞修補更新、病毒碼更新,以及重要檔案離線備份。因應這次事件所進行漏洞修補更新,預計可直接避免近期同樣被揭露的危險漏洞 (如:CVE-2017-0290)在短時間再度遭到大規模的利用。而檔案離線備份,固然是預防勒索軟體最終極的手段,但中華數位企業資料保護小組特別指出,在這波應變措施的程序背後,也隱藏著另一個隱憂:重要檔案備份。 在WannaCry來得又急又兇,兵荒馬亂的緊急外接硬碟備份動作,可能在企業無暇兼顧之下,意外大開方便之門,員工是否有遵守公司機關制定的備份策略?是否有機密外洩的可能?這些都是在WannCry事件後需要特別注意的。中華數位企業資料保護研究小組建議企業平時即應重視營業秘密管理規範與制度之落實,任何涉及公司智慧資產的電腦檔案資料備份作業,均應依循公司指定方式實施(非備份至個人私有儲存裝置),才可避免因任何突發資安事件的應變,反而導致企業重要資料外洩。
資安問題層不出窮,也不會有消滅的一天,透過資安管理策略的擬定,強化資安架構,企業才有機會在退潮之前掌握新的資安危機。 關於WannaCry造成的衝擊 2017年5月中旬,全球開始遭受到一波嚴重的 WannaCrypt0r (亦簡稱為WannaCry、WanaCry) 勒索軟體攻擊,此勒索軟體結合外洩美國 NSA(美國國安局) 攻擊武器 EternalBlue 與 DOUBLEPUSLAR,利用了 Windows 系統的 SMB v1 漏洞,主動搜尋開啟 445 Port 的機器來進行蠕蟲式的散播。未修補此漏洞之 Windows 系統在感染後,特定檔案會遭到加密,加密過後的檔案會被改為 .WNCRY 副檔名,若是受害者想要解密檔案,則需要支付 300 美金價值的比特幣贖金給攻擊者。 WannaCry 造成全球150個國家、20萬臺電腦淪陷,成為史上最嚴重的勒索軟體災難。
關於SPAM SQR 病毒郵件防禦 中華數位 SPAM SQR 除整合多重防毒引擎外,亦建置了自動病毒指紋機制,強化整體更新的速度。並引用 ASRC 病毒特徵,讓程式自動解封裝檔案再進行掃描分析,可進階發覺隱藏的邏輯混淆特徵,有效因應同種變異之病毒郵件。 關於資安架構強化服務 中華數位科技企業資料保護研究小組協助企業透過營業秘密管理制度之建立,輔以 ISO27001、弱點掃描服務偵測威脅,並透過符合 OWASP、NIST SP 800-115 的滲透測試指南來檢查漏洞,持續協助資訊系統安全修補、套件管理、安全參數設定等強化工作。
- 新聞稿有效日期,至2017/06/19為止
聯絡人 :Softnext 聯絡電話:02-25422526 電子郵件:ivychen@softnext.com.tw
上一篇:自動系統慶祝上市二十周年暨圓滿收購GRID DYNAMICS
下一篇:資策會「使用Python作網路擷取與機器學習」(高雄6/17)
|