吳秋玫

摘 要“WannaCry”勒索病毒已爆發(fā)了近2個(gè)月，針對這次事件，本著實(shí)事求是的理念，筆者細(xì)致地探討分析了該事件所揭露出來在信息安全運(yùn)維中存在的不足，并針對這些問題，提出了后續(xù)的改進(jìn)方向和措施。

【關(guān)鍵詞】勒索病毒 信息安全 運(yùn)維 改進(jìn)措施

1 背景

“WannaCry”勒索病毒是通過二次開發(fā)框架在美國國安局（NSA）開發(fā)的網(wǎng)絡(luò)戰(zhàn)武器“永恒之藍(lán)”侵入模塊（永恒之藍(lán)侵入模塊是美國國安局開發(fā)的網(wǎng)絡(luò)戰(zhàn)武器，并利用長達(dá)5年之久。而該武器泄露后被Shadow Brokers 黑客組織于2017年4月進(jìn)行披露公布）上加入了加密和勒索顯示功能，從而實(shí)現(xiàn)對用戶磁盤數(shù)據(jù)的加密和經(jīng)濟(jì)勒索。2017年5月初，該病毒在全球的爆發(fā)給全球多國政府、企業(yè)機(jī)構(gòu)以及個(gè)人帶來了一次負(fù)面的震撼教育。通過這次事件所造成的影響，清晰的揭露出了我們在信息安全運(yùn)維中存在的不足。如圖1所示。

2 存在問題

首先我們分析這次“WannaCry”勒索病毒引出的四個(gè)技術(shù)層面的問題。

2.1 漏洞補(bǔ)丁管理不到位

據(jù)2017年1月16日Shavlik公司發(fā)布的調(diào)查報(bào)告中顯示，59%的受調(diào)查者表示每月用于補(bǔ)丁和漏洞管理的時(shí)間少于8個(gè)小時(shí)。由此我們看到，盡管絕大多數(shù)用戶都意識(shí)到漏洞管理的重要性，但在實(shí)踐過程中，投入的精力和資源并沒有相應(yīng)的重視。此外，用戶往往更多依賴于廠家或服務(wù)商來告知漏洞的修補(bǔ)。而在用戶真正動(dòng)手實(shí)施修補(bǔ)的時(shí)候，以下幾個(gè)因素又往往影響到修補(bǔ)工作的時(shí)間進(jìn)度和完成度。

（1）漏洞的危害及可利用程度；

（2）補(bǔ)丁的修補(bǔ)容易程度；

（3）受影響系統(tǒng)/軟件的數(shù)量；

（4）受影響系統(tǒng)/軟件的重要程度；

（5）受影響系統(tǒng)/軟件的使用頻率。

正是由于以上諸多因素的存在，使得用戶IT業(yè)務(wù)環(huán)境中的漏洞修補(bǔ)時(shí)間與漏洞發(fā)布時(shí)間總是存在一定的時(shí)間差。在本次事件中，微軟公司其實(shí)早在2017年3月就公布了針對“永恒之藍(lán)”的漏洞補(bǔ)?。篗S17-010，但是由于企業(yè)機(jī)構(gòu)中存在的漏洞補(bǔ)丁修補(bǔ)滯后的情況，該漏洞補(bǔ)丁并沒有得到及時(shí)的修補(bǔ)，導(dǎo)致黑客利用漏洞發(fā)現(xiàn)和補(bǔ)丁修補(bǔ)之間的時(shí)間差進(jìn)行了大肆的攻擊和破壞。

此外，我們還應(yīng)看到黑客團(tuán)體針對零日和高危漏洞的開發(fā)和利用速度極快。以2015年6月23日發(fā)布的Adobe Flash應(yīng)用軟件CVE-2015-3113為例，黑客團(tuán)體在一周內(nèi)就在Magnitude、Angler、Nuclear、RIG、Neutrino漏洞利用平臺(tái)上集成了該漏洞，其中最快的為Magnitude，4天后就進(jìn)行了發(fā)布。兩相對比，可以看到面對漏洞威脅，大多數(shù)企業(yè)總是落后黑客半拍。

2.2 用戶安全意識(shí)薄弱

勒索病毒往往利用釣魚郵件進(jìn)行侵入。當(dāng)前的釣魚郵件通常采取點(diǎn)擊誘騙、提供登錄入口、內(nèi)嵌附件、持續(xù)性欺騙以及高度定制化的方式來誘騙郵件接收者。而郵件接收者出于好奇、害怕和緊急這三個(gè)最主要的人為感情因素而遭遇欺詐。根據(jù)統(tǒng)計(jì)，在互聯(lián)網(wǎng)中每125封郵件中就有1封郵件含有惡意軟件。在2016年中，垃圾郵件及內(nèi)含惡意軟件的垃圾郵件數(shù)量都有上升。用戶安全意識(shí)薄弱是導(dǎo)致釣魚郵件實(shí)施成功的主要原因，當(dāng)前很多機(jī)構(gòu)都沒有定期開展對員工的安全意識(shí)培訓(xùn)，培訓(xùn)內(nèi)容沒有針對性，沒有把安全意識(shí)考核納入績效考核。如圖2所示。

另外，正是由于部分個(gè)人和機(jī)構(gòu)向勒索者的妥協(xié)，使得勒索軟件的數(shù)量劇增。2015年針對個(gè)人消費(fèi)者的勒索攻擊占到總攻擊的57%，針對機(jī)構(gòu)的攻擊為43%。Symantec公司在2014年新增發(fā)現(xiàn)77個(gè)家族，但在2015年則新增發(fā)現(xiàn)了100個(gè)家族。在以數(shù)據(jù)為核心的信息時(shí)代，數(shù)據(jù)已成為機(jī)構(gòu)、個(gè)人正常運(yùn)轉(zhuǎn)的基礎(chǔ)。所以當(dāng)數(shù)據(jù)受到威脅時(shí)，很多機(jī)構(gòu)和個(gè)人為了不造成更大的損失，只好向勒索者妥協(xié)，支付贖金贖回?cái)?shù)據(jù)。

2.3 對網(wǎng)絡(luò)應(yīng)用的管控不嚴(yán)

“WannaCry”病毒在傳播中利用了主要利用139，445端口進(jìn)行傳播感染。這2個(gè)端口涉及到網(wǎng)絡(luò)共享、網(wǎng)絡(luò)共享打印的應(yīng)用。在互聯(lián)網(wǎng)中，運(yùn)營商已對個(gè)人關(guān)閉了這些端口，但在局域網(wǎng)中一些機(jī)構(gòu)和個(gè)人對這2個(gè)端口和其它關(guān)聯(lián)端口的管控不嚴(yán)，存在隨意開啟網(wǎng)絡(luò)共享的情況，結(jié)果導(dǎo)致病毒的傳播和侵入。

2.4 使用停止維護(hù)的操作系統(tǒng)

盡管微軟公司的個(gè)人桌面終端操作系統(tǒng)已經(jīng)更新到win10，并早已停止對windowsXP操作系統(tǒng)版本的漏洞補(bǔ)丁修補(bǔ)維護(hù)，但是我們看到windowsxp系統(tǒng)仍然被一部分個(gè)人用戶和企業(yè)用戶所使用。根據(jù)市場研究公司Net Applications的統(tǒng)計(jì)截至2016年6月仍有9.78%的全球用戶使用windows xp系統(tǒng)。如圖3所示。

對于仍在繼續(xù)使用已經(jīng)停止維護(hù)更新的操作系統(tǒng)的用戶而言，在沒有其他安全輔助措施（如前置的網(wǎng)絡(luò)入侵防護(hù)設(shè)備、本機(jī)安裝殺毒軟件）的情況下，意味著其因后續(xù)漏洞的發(fā)現(xiàn)而遭遇入侵的可能性幾乎是100%。針對本次事件，微軟公司的發(fā)言人就發(fā)表聲明聲稱：微軟已發(fā)布了Win32.WannaCrypt，對抗惡意軟件Ransom。但相當(dāng)一部分用戶因?yàn)槭褂肵P系統(tǒng)或更老的系統(tǒng)，或者關(guān)閉了微軟升級(jí)推送，導(dǎo)致PC在高風(fēng)險(xiǎn)狀況下運(yùn)行。

3 解決建議

根據(jù)以上信息安全運(yùn)維中存在的問題，我們認(rèn)為對于企業(yè)機(jī)構(gòu)而言，今后應(yīng)該在以下方面加強(qiáng)信息安全建設(shè)。

3.1 完善漏洞安全閉環(huán)管理

企業(yè)需要建立包括IT資產(chǎn)管理、安全漏洞發(fā)送與處置跟蹤、安全漏洞定期評估檢測、安全漏洞威脅情報(bào)引入、安全漏洞補(bǔ)丁修補(bǔ)與驗(yàn)證在內(nèi)的安全漏洞閉環(huán)管理手段和機(jī)制。通過閉環(huán)管理，實(shí)現(xiàn)對IT資產(chǎn)的全方位掌握，了解安全漏洞對所屬IT資產(chǎn)的影響面和影響程度，減少漏洞發(fā)布與補(bǔ)丁修補(bǔ)之間的時(shí)間差，最大程度降低因安全漏洞未及時(shí)修補(bǔ)而遭受入侵攻擊的可能性。

3.2 定期安全意識(shí)培訓(xùn)

企業(yè)需要定期對企業(yè)員工開展信息安全意識(shí)培訓(xùn)，在培訓(xùn)內(nèi)容中應(yīng)該盡可能關(guān)注和講解最新的安全威脅手段，讓員工掌握一些日常工作中應(yīng)知、應(yīng)會(huì)的信息安全知識(shí)及操作方法。此外，建議通過不定期的內(nèi)部安全測試來驗(yàn)證和考核員工的安全意識(shí)，這種安全測試可以聘請專業(yè)第三方以不公開的方式進(jìn)行，也可以由內(nèi)部機(jī)構(gòu)通過書面考試等方式實(shí)現(xiàn)，其核宗旨就是讓每一員工都能具有最基本的信息安全意識(shí)，確保本人崗位范圍內(nèi)所有數(shù)據(jù)的安全。

3.3 提升未知威脅安全檢測能力

鑒于目前基于特征碼、特征庫的傳統(tǒng)安全防護(hù)手段無法檢測和識(shí)別利用0day漏洞和特殊惡意代碼進(jìn)行攻擊的情況，建議增加通過沙箱運(yùn)行檢測、威脅情報(bào)獲知等方式和手段來提升對未知威脅的感知及檢測阻斷。在這其中尤其需要加強(qiáng)網(wǎng)絡(luò)的未知威脅安全檢測以及郵件系統(tǒng)的未知威脅檢測。

3.4 加強(qiáng)網(wǎng)絡(luò)安全基線管控

建議定期開展網(wǎng)絡(luò)安全評估和資產(chǎn)梳理，對網(wǎng)絡(luò)行為、網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)安全配置制定安全基線，杜絕網(wǎng)絡(luò)中開啟不必要的端口和應(yīng)用、避免出現(xiàn)弱口令等危險(xiǎn)安全配置，降低網(wǎng)絡(luò)入侵攻擊的攻擊面和攻擊途徑。

3.5 淘汰和更新陳舊操作系統(tǒng)

建議對機(jī)構(gòu)中存在的陳舊windows操作系統(tǒng)進(jìn)行系統(tǒng)更迭或?qū)⒃袉螜C(jī)系統(tǒng)部署使用的方式更替為瘦客戶機(jī)或云桌面的方式。但是以上的方式中如將陳舊windows系統(tǒng)進(jìn)行更迭將存在著投入費(fèi)用巨大的情況（購買正版）。而廋客戶機(jī)和云桌面的方式將意味著使用習(xí)慣的改變以及可能的業(yè)務(wù)運(yùn)行模式變更。因此以上方式在實(shí)踐中需要斟酌考量。

4 結(jié)束語

“WannaCry”勒索病毒盡管已過去近一個(gè)多月，但是該病毒暴露出了部分企業(yè)機(jī)構(gòu)在未建立漏洞閉環(huán)管理、安全意識(shí)教育不到位、缺乏有效應(yīng)對未知威脅檢測的手段、網(wǎng)絡(luò)安全基線管控不嚴(yán)以及使用已無廠商維護(hù)的操作系統(tǒng)這些方面存在的信息安全運(yùn)維問題。因此，企業(yè)應(yīng)該吸取此次事件給予的教訓(xùn)和經(jīng)驗(yàn)，立即著手解決以上安全問題，彌補(bǔ)信息安全管理手段和機(jī)制上的漏洞，進(jìn)一步提升信息安全管控能力。

參考文獻(xiàn)

[1]https：//intel.malwaretech.com/WannaCrypt.html.

[2]http：//www.realwire.com/releases/Shavlik-and-AppSense-survey-Security-and-patch-management.

[3]“Enterprise Phishing Susceptibility and Resiliency Report 2016”.

[4]“Cisco 2017 Annual Cybersecurity Report”.

[5]http：//geek.csdn.net/news/detail/88195.

作者單位

云南電網(wǎng)有限責(zé)任公司普洱供電局 云南省普洱市 665000