“魔窟”勒索軟件肆虐后第二周 我們還需要自省哪些

責任編輯:editor007

作者:Martin

2017-05-24 21:08:17

摘自:安全牛

距離5 12,全球性勒索蠕蟲WannaCry(魔窟)攻擊的大規(guī)模爆發(fā)已經(jīng)過去了近兩周時間。特別在漏洞管理&補丁分發(fā)、網(wǎng)絡層阻斷、監(jiān)測和響應這四個點,IBM給出了以下安全能力建設建議:  1

距離5.12,全球性勒索蠕蟲WannaCry(魔窟)攻擊的大規(guī)模爆發(fā)已經(jīng)過去了近兩周時間。中國大陸雖然也罕見地成為了這起全球性網(wǎng)絡攻擊事件的重災區(qū),但本土安全廠商對此次安全事件的響應表現(xiàn),小到廠商的每個客戶,大到某個行業(yè),以及和國家相關部門的配合,都是可圈可點的。

同時,作為一起造成全球范圍惡劣影響的勒索攻擊事件(注:微軟甚至因此次攻擊而在5.13發(fā)布了針對Windows XP、Server 2003等老舊操作系統(tǒng)的追加安全補丁),還有諸如IBM等擁有更廣闊視野的國際IT/安全廠商,他們對勒索攻擊的認識和防范思路也同樣值得我們思考和借鑒。

超過半數(shù)個人用戶未做針對性防護 近4成遭遇勒索企業(yè)支付超過1萬美元贖金

時間回撥到半年前。2016年12月IBM X-Force團隊發(fā)布了一份關于個人和企業(yè)如何透過勒索攻擊看待數(shù)據(jù)價值的報告,十分具有預見性。

目前企業(yè)和個人對勒索攻擊的認知和有效防護手段及意識的缺失,是造成近兩年勒索攻擊事件幾乎成井噴式爆發(fā)的主要原因之一。

通過對1千余名美國居民的調研,IBM發(fā)現(xiàn),僅有41%的個人用戶采取了針對勒索軟件的保護措施,而超過1/3遭受勒索攻擊的個人最終會選擇以支付贖金的形式換回對數(shù)據(jù)的正常訪問權限(雖然FBI并不鼓勵這種行為),而典型針對個人用戶的贖金金額一般會介于200到10,000美元之間,但是有一半以上的人表示即使是財務數(shù)據(jù)也最多支付100美元用于數(shù)據(jù)找回。

而企業(yè)側遭受勒索攻擊的情況則與個人大相徑庭。

勒索攻擊往往通過對公司服務器和關鍵數(shù)據(jù)和備份的加密/公開,并以此要挾勒索贖金,而這些行為會對企業(yè)業(yè)務的正常運營造成嚴重的負面影響。

據(jù)IBM統(tǒng)計(調查對象覆蓋大/中/小不同規(guī)模企業(yè)的各200名高管),近半數(shù)企業(yè)高管曾經(jīng)歷過勒索攻擊,其中選擇付費找回數(shù)據(jù)的高管占7成。

在金額方面,近半數(shù)選擇支付的企業(yè)支付了超過1萬美元的贖金,而這其中支付贖金超過4萬美元的企業(yè)約占4成。甚至部分高管還曾向黑客表示愿意支付更多費用,以獲取對企業(yè)IT資產(chǎn)修復和保護的建議。

IBM還發(fā)現(xiàn),企業(yè)高管最終是否會選擇支付贖金以及支付數(shù)額,直接取決于被加密數(shù)據(jù)類型以及企業(yè)規(guī)模。

盡管不同行業(yè)企業(yè)對數(shù)據(jù)的風險偏好不盡相同,但總體上來看,雖然差別不明顯,但財務、客戶和銷售記錄是企業(yè)選擇支付贖金的強大驅動力,企業(yè)郵件系統(tǒng)/服務器、知識產(chǎn)權數(shù)據(jù)、人力資源檔案等則要次之。有意思的是,商業(yè)及研發(fā)計劃、源代碼等數(shù)據(jù)卻排到了末位。

而在企業(yè)規(guī)模上,無論是對于財務還是銷售記錄,愿意支付高額贖金(超過5萬美元)的大型企業(yè)占比幾乎是中/小型企業(yè)占比總和的2倍。

應對勒索攻擊 更成熟的安全能力建設是關鍵

針對勒索攻擊,無論是從執(zhí)法部門打擊網(wǎng)絡犯罪還是企業(yè)高管挽回業(yè)務損失的角度,也無關具體勒索金額,支付贖金都不是上策。此次WannaCry勒索攻擊的爆發(fā),無疑再次給企業(yè)敲響了加強內部安全能力建設的警鐘。

當然,選擇具有更加及時、全面響應能力的安全廠商在應急響應中顯得至關重要。但除此以外,企業(yè)安全建設成熟度和運營能力也亟待提高。

IBM給出的企業(yè)安全能力建設最佳實踐模型

還是以WannaCry為例:

在攻擊爆發(fā)前不到兩個月的時間,微軟已經(jīng)推送了相應安全補丁,企業(yè)的漏洞管理平臺未能及時對企業(yè)現(xiàn)有資產(chǎn)進行漏洞掃描、告警管理員并實現(xiàn)各終端的補丁下發(fā),這體現(xiàn)了企業(yè)安全建設中“預防”能力的不足;攻擊爆發(fā)后,各企業(yè)安全或IT部門的無法快速根據(jù)攻擊事件相關的威脅情報修改企業(yè)防火墻、IPS等安全產(chǎn)品規(guī)則和策略配置,并快速對企業(yè)內部資產(chǎn)自檢,隔離受感染終端,而是沒有響應流程可依據(jù),不知所措地等待供應商能第一時間來現(xiàn)場幫助解決問題,雖然確實國內很多安全廠商做到了這一點,但是遠水解不了近渴,這是“響應”能力的缺失;在攻擊事件不斷蔓延,企業(yè)正遭受勒索蠕蟲入侵時,短時間內加密大量文件、或者大量對某些不常用端口訪問等異常行為沒有持續(xù)性監(jiān)測,并即使與外部情報實現(xiàn)關聯(lián)分析確定攻擊的發(fā)生,是“監(jiān)測”能力的不足;拓展到傳統(tǒng)的安全之外,對數(shù)據(jù)和系統(tǒng)的容災備份和災難恢復能力準備的不充分,沒有持續(xù)的業(yè)務連續(xù)性規(guī)劃,是“恢復”能力的空白。

除此以外,上文所涉及的報告還提及了應加強員工對勒索攻擊等安全事件的認知和安全防范意識的教育,包括郵件宏附件禁用、安全瀏覽站點等。

這些都是降低企業(yè)所面臨的勒索風險,以及將來安全能力建設的方向。

Tips

特別在漏洞管理&補丁分發(fā)、網(wǎng)絡層阻斷、監(jiān)測和響應這四個點,IBM給出了以下安全能力建設建議:

1. 漏洞管理&補丁分發(fā)

確保安全管理員不受位置和網(wǎng)絡帶寬限制地發(fā)現(xiàn)所有終端在安全漏洞方面的狀況,并將補丁開發(fā)自動化。同時,因為補丁的修復可以大幅減少企業(yè)的攻擊面,所以需要閉環(huán)確認補丁安裝是否成功,并把以上工作通過內部規(guī)定等形式常態(tài)化。

2. 網(wǎng)絡層阻斷

確保IP信譽庫、URL過濾庫、簽名、固件的隨時更新,以實現(xiàn)對惡意站點接入的自動阻斷。

3. 監(jiān)測

對與安全分析相關的日志、網(wǎng)絡流和用戶行為數(shù)據(jù)進行關聯(lián)分析;確保監(jiān)測的實時性和持續(xù)性;使用云端的惡意軟件分析服務可以更快速的對威脅進行識別;利用認知技術實現(xiàn)更快速有深度的決策輔助。

4. 響應

提前做好事件響應計劃并測試,確保響應流程的一致性、容易重定義和合規(guī),注重流程的編排和自動化,遇到棘手情況要果斷求助專家服務。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號