勒索軟件攻擊是安全部門面臨的挑戰

Fahmida+Y.+Rashid+楊勇

當WannaCry或者ExPetr這樣的攻擊出現時，管理和保護IT基礎設施的現實使得IT和安全人員處于無法獲勝的境地，所以不要責怪他們。

最新的勒索軟件攻擊影響了世界各地數千名受害者，讓我們有一種強烈的似曾相識的感覺。這一惡意軟件不同于五月份WannaCry所使用的惡意軟件，宣稱負責的犯罪集團也不同，但應對感染暴發的建議是一樣的：給有漏洞的系統打上補丁，不付贖金，并從備份中恢復。

新的勒索軟件——卡巴斯基實驗室在確定這不是Petya惡意軟件變種后，將其命名為ExPetr，它涉及到幾個變種，包括EternalBlue和EternalRomance，表面上看都是利用了美國國家安全局開發的軟件。EternalBlue是基于Windows的SMBv1開發的，5月份也被WannaCry使用過。

與WannaCry不同的是，ExPetr是在局域網而不是互聯網上傳播的，但ExPetr加密主引導記錄，這要比僅僅加密單個文件更具破壞性。ExPetr可能是一種新的攻擊形式，但其所作所為并沒有什么新東西。它利用一些已知的漏洞，通過不應該在互聯網上使用的協議進行傳播，還濫用現有的操作系統實用程序（PsExec）。

很常見的是指責和責備。安全專家們在博客、社交媒體和電子郵件上發表了看法：

此次攻擊是企業沒有嚴格采取安全措施的另一個例子。

如果企業正確地給系統打上補丁，并實施了縱深防御方法來保護其網絡，就很容易避免這些攻擊。

WannaCry早就敲響了警鐘，但事實上，新的勒索軟件仍然在世界各地快速傳播，這說明仍然有很多企業和用戶還沒有使用微軟早在今年3月就發布的MS17-010補丁。

SMBv1早就過時了——端口沒必要開放給互聯網。忽視安全是不負責任的——包括安全方面的投資、時間和優先權。

還有很多。

請停止，罵人沒用。

IT和運營部門都充分意識到核心IT和安全基礎，例如補丁管理、定期備份、災難恢復和業務連續性以及應急響應等，對于保護他們的網絡和用戶免受破壞性攻擊是非常重要的。不負責任或者不稱職的人是不會去做好打補丁工作的，也無視他們自己和陷入困境的安全同事們所面臨的挑戰。毫無爭議的事實是，有漏洞的系統運行的軟件是得不到支持的，這些軟件是過時的或者是沒有打上補丁。這對任何人來說都不是什么意外，也不應該是安全的。

Duo Security的首席安全策略官Wendy Nather說：“任何事情似乎總是會有意外，無論我們怎么強調打補丁是一種解決方案，很多情況下都沒有打上。這就像大家都在談論這個問題，但認識還不夠，沒能真正解決這個問題?！?/p>

不要疏忽大意，理解挑戰。

如果系統不在您的控制之下，您就不能更新它。

所有的系統都應該定期打補丁，說起來很容易，但它忽略了一個關鍵問題：IT并不是經常性地訪問網絡上的系統。如果打了補丁的系統會被取消質?；蛘卟辉俦ＷC許可時，就沒有必要更新這些系統了?；蛘?，考慮在制造工廠的情況，與機器連接的計算機會被認為是機器的一部分，而不在IT的控制之下。車間管理人員不希望IT參與到設備管理中，但IT必須考慮安全問題，以及與其他系統的兼容性。

Nather說：“問題是普遍存在的，特別是缺乏基本安全的企業，而金融交易終端和銀行網絡是由集中的受過良好訓練的系統來運營的，即便如此也是存在各種問題?！?/p>

認識到企業的制約因素

這是公共部門的一個大問題——立法法規和削減政府開支的計劃妨礙了IT的安全支出。Nather說：“納稅人不打算為運行不錯的硬件和軟件進行更新而付費?！背斯膊块T，企業還會有其他的制約因素。例如，非營利組織對它能做什么以及把錢花在哪里都有嚴格的規定。

“用到最后”與“盡早和經常更新”直接矛盾

當在技術上花費了數百萬美元（比如說核磁共振機器）后，您期望它一直能用很多年。需要有定期維護窗口來更新軟件，這似乎也與當初的承諾相違背。在醫療領域，病人的安全是至關重要的，意味著軟件每改變一次，設備都必須針對安全而重新測試和認證。

任何非常依賴于外部的系統都需要較長的時間來更新

企業平均需要120天時間來給他們的系統打上補丁。這包括對不同系統配置的測試，確保沒有應用程序沖突，并確定當前功能不會丟失。復雜的依賴關系意味著更新可能會無意中破壞某些重要的東西。例如，Windows XP是一個老的操作系統，一些售貨亭和設備還在使用它，盡管不再為桌面版本提供支持了，但也不會輕易的被淘汰掉。

Nather說：“我們需要解決幾十年的老系統和企業所受制約因素等問題，而且還有這一事實——沒人知道現在企業要實現高效的安全措施需要多大的投入；我們甚至不知道企業能否負擔得起?！?/p>

要務實

應該找出與當前存在的架構相關的解決方案，而不是IT基礎設施應該是什么樣子的烏托邦式的想法。企業有很多老系統，多年來在沒有打補丁的系統和設備上進行了大規模的投資。遷移并不總是解決辦法，安全行業應更具創新性，找到與企業合作的方法來更新過時的系統，或者采取保護措施來保護現有的資源。企業對其資金的使用是有限制的，要把有限的資源發揮出最大效益則需要很多創造性的理念。

Nather說：“考慮到這一問題所涉及的復雜性、外部風險、經濟刺激、技術債務等，我們可能在技術上也要采用類似于‘可負擔的醫療法案等措施?！?/p>

如果企業的系統正在運行未打過補丁的軟件，那么軟件更新是很好的第一步。如果這不行，而且經常會是這樣，那就不要再指手畫腳了，去尋找解決的辦法。預防措施包括限制和保護PsExec的使用、限制用戶的權限、禁用SMBv1、禁用端口445（SMB）和139（文件和打印機共享），不允許企業之外的用戶使用這些端口。對于ExPetr的情況，阻止c：＼Windows＼perfc.dat寫入或者執行能夠防止被感染。在%windir%中提前創建一個名為perfc的文件，該文件沒有擴展名，這也能夠防止勒索軟件的執行。

Nather說：“我們都

不想驚恐地看到另一次WannaCry式的攻擊，坦率地說，我們都應該承認這不會是最后一次攻擊。這會變得更糟，而變好不太可能?！?/p>

Fahmida Y. Rashid是CSO的資深作家，其寫作主題是信息安全。

原文網址：

http：//www.csoonline.com/article/3204132/cyber-attacks-espionage/the-fault-for-ransomware-attacks-lies-with-the-challenges-security-teams-face.html