勒索病毒催生的企业安防新思路

WannaCry和Petya肆虐的这段期间,绿盟君在朋友圈得到了前所未有的关注。
各路IT英雄纷至沓来,争相“致以慰问”:

作为攻防界的老司机,绿盟君需要唠一唠这事儿。

快快拿出西瓜,搬起小板凳,坐到黑板面前来吧!

其实早在WannaCry爆发的两个月之前,微软就发布了针对该漏洞的补丁MS17-010。可是,为什么还是有那么多的组织中招呢?这就要涉及到补丁圈那欲说还休的二三事了。

及时更新补丁:知易行难

为了网络安全起见,一般企业都会制定补丁更新策略,可能一周一打补丁,可能一月一打补丁。微软也有沿袭已久的“周二补丁日”,目的就是提供补丁规律性。但是实际上,补丁的发布可能在任何时段,也有可能滞后。再加上企业的IT环境日趋复杂,充斥着大大小小的第三方供应商,所谓“牵一发而动全身”,这种复杂的生态系统让实时更新补丁难上加难。

补丁偶尔引发故障

有时候打了最新的补丁后系统会发生故障。例如微软去年发布的MS16-072补丁就引发了用户组的问题,还对隐藏程序的快捷方式和网络打印机产生了影响。虽然微软马上就撤回了这次发布,但是这次小事件产生的影响却不容小觑。相当一部分企业会采取“让子弹飞一会儿”的策略,在补丁发布后等上那么一段时间,待补丁被证实稳定后再更新。另外,企业也会倾向于只选择安装它认为必须的补丁,而忽略其他的补丁。有时,为了避免问题,可能整个补丁就放弃不打。

总有漏网之鱼

无论企业内的软件更新流程有多么健全,总有那么几个漏网之鱼。这些被更新程序遗漏的机器可能位于系统架构的底层而逃过法眼,也可能它们对于业务来说没有那么重要而被忽略。最近的一份报告指出,6%的企业中,半数以上的计算机都运行在过时的操作系统上;而24%的企业中拥有半数以上的过时浏览器。而WannaCry勒索病毒瞄准的恰恰正是这些系统。

除了软件更新这个难题外,现在无边无界的网络也为网络安全问题增加了重重险阻。企业IT部门的管辖范围不再像原来只限于一个单纯的企业内部网。为了增加便利性,越来越多的员工工作在防火墙之外,可能遍布于世界各地。员工使用的办公工具也不限于电脑,还包括了平板、智能手机以及其他智能设备。

在这样一个无边无际的网络下,虽说可以而把网络划分为子网段,但这也仅仅是让病毒的传播速度变慢而非彻底拦截。把网络“武装到牙齿”的被动防护手段已经远远不够了。

去年一年内,就有90%的美国企业遭受黑客攻击;去年五年内,有97%的英国企业遭受过数据泄露。现在摆在眼前的问题已经不再是系统有没有漏洞,而是系统可能已经在不自知的情况下被攻陷了。与其将全部的精力投入到被动的防护中,企业应该开始主动出击,想病毒之所想,把网络威胁遏制在在潜伏期。

因此,绿盟主张:

工具是否有用,还需实践检验。且来看看TACPetya战役中的表现。

  1. TAC截获两个Petya样本,动态沙箱全部检测:

  2. 这两个文件虽然HASH不同,但是在TAC虚拟执行里面的行为是一样的。TAC分析这两个样本的网络行为,发现了样本进行蠕虫扫描的活动:

  3. 到VirusToal上确认这个样本,发现大部分防病毒引擎已经能够检测。

事实证明,TAC产品无需升级任何病毒码,不管是WannaCry,还是Petya,都能够第一时间进行检测,多次证明了TAC沙箱引擎检测能力。正所谓,任尔东西南北风,我自岿然不动!

 

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

发表评论