中華數位 郵件 攻擊

在WannaCry事件之後,企業的資安防護與人員意識是否也成功升級?

2017-05-19
大約在2017/5/12這個時間點,全球開始遭受到一波嚴重的WannaCrypt0r(亦簡稱為WannaCry、WanaCry)勒索軟體攻擊。其實,此次利用的漏洞微軟早在2017/3/14發布了MS17-010 Patch的更新程式,時隔兩個月,為何仍造成全球如此大的衝擊?
不外乎是資訊安全相關措施沒有完全落實,恰好驗證了巴菲特所說「只有退潮的時候,你才知道誰在裸泳」,事件發生了,才知道哪裡沒有做好、哪裡暗藏資安危機,但這需要付出慘痛的代價。資安措施沒有完全落實的原因,不見得是考慮不周或是人員怠惰,本次事件受到攻擊的系統,多半沒有開啟Windows Update的自動更新功能。

而細究不開啟更新的主要原因包括:使用了盜版的Windows不敢更新;使用了會關閉自動更新的電腦軟體;合法的Windows 7使用者或管理者擔心Windows更新會自動升級到Windows 10帶來非預期的問題,而將更新關閉;使用者的自動更新功能故障無法處理,卻沒有請專業人員協助解決問題。

本次事件發生後大約三日,WannaCry的感染擴散問題已受到有效控制,對事件的關注也慢慢從探求如何處理,轉變成思考如何預防及攻擊者的來源、目的。而最讓人想問的不外乎會不會再有下一波?這個攻擊有沒有可能循經典的勒索軟體經典的釣魚郵件模式進行擴散?

系統漏洞容易修補,但使用者的認知漏洞防不勝防

先將目光從WannaCry移開,思考一下,資安事件特別嚴重的是否只有這一起?這次的事件是否影響深遠?系統的漏洞是否是最危險的?事實上,資安事件分分秒秒都在發生,較WannaCry更嚴重的事件,如APT偷偷攻擊某些國家的關鍵基礎設施;較WannaCry影響更深遠的事件,如專門攻擊IoT的惡意程式Mirai原始碼被公開;而利用漏洞的攻擊多半都有特效藥,只要能正確的更新安全性修正,問題都能瞬間被控制住或彌平。但透過電子郵件發動的攻擊,直搗受害者的「認知漏洞」則沒有特效藥,仍然持續流行,且防不勝防。

雖然目前還沒有發現這幾波WannaCry透過電子郵件管道擴散的確切案例或證據,但在WannaCry事件剛爆發時,中華數位與ASRC研究中心除了針對正在流行的勒索軟體釣魚郵件變化模式進行對應的更新,例如與WannaCry同期爆發的勒索病毒「Jaff」,也針對WannaCry 2月至5月份相關樣本的特徵防護更新釋出至SPAM SQR,確保萬一WannaCry突然改變攻擊管道時,SPAM SQR用戶仍能免於此勒索軟體的攻擊。

WannaCry持續變種,未來是否會試圖透過釣魚郵件擴散直搗使用者認知漏洞,我們持續監控中,也發現利用CVE-2017-0199漏洞攻擊的惡意郵件近期有明顯增多的趨勢,提醒企業慎防。

標準應變措施中暗藏著新的隱憂

WannaCry事件除了因為是蠕蟲式的擴散造成短時間大範圍的感染外,更重要的是直接影響了終端用戶會接觸到的電腦相關設備,所以才會這麼有感。

也因為這起事件,激起了一般民眾對於資安的重視。各方專家呼籲的標準應變措施包括了漏洞修補更新、病毒碼更新,以及重要檔案離線備份。因應這次事件所進行漏洞修補更新,預計可直接避免近期同樣被揭露的危險漏洞(如:CVE-2017-0290)在短時間再度遭到大規模的利用。而檔案離線備份,固然是預防勒索軟體最終極的手段,但中華數位企業資料保護小組特別指出,在這波應變措施的程序背後,也隱藏著另一個隱憂:重要檔案備份。

在WannaCry來得又急又兇,兵荒馬亂的緊急外接硬碟備份動作,可能在企業無暇兼顧之下,意外大開方便之門,員工是否有遵守公司機關制定的備份策略?是否有機密外洩的可能?這些都是在WannaCry事件後需要特別注意的。中華數位企業資料保護研究小組建議企業平時即應重視營業秘密管理規範與制度之落實,任何涉及公司智慧資產的電腦檔案資料備份作業,均應依循公司指定方式實施(非備份至個人私有儲存裝置),才可避免因任何突發資安事件的應變,反而導致企業重要資料外洩。

資安問題層出不窮,也不會有消滅的一天,透過資安管理策略的擬定,強化資安架構,企業才有機會在退潮之前掌握新的資安危機。

關於WannaCry造成的衝擊

2017年5月中旬,全球開始遭受到一波嚴重的 WannaCrypt0r (亦簡稱為WannaCry、WanaCry) 勒索軟體攻擊,此勒索軟體結合外洩美國NSA(美國國安局)攻擊武器EternalBlue與DOUBLEPUSLAR,利用了 Windows系統的SMB v1漏洞,主動搜尋開啟445 Port的機器來進行蠕蟲式的散播。未修補此漏洞之 Windows系統在感染後,特定檔案會遭到加密,加密過後的檔案會被改為 .WNCRY副檔名,若是受害者想要解密檔案,則需要支付300美金價值的比特幣贖金給攻擊者。 WannaCry造成全球150個國家、20萬臺電腦淪陷,成為史上最嚴重的勒索軟體災難。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!