從“WannaCry”勒索病毒看信息安全運維中的不足

吳秋玫

摘 要“WannaCry”勒索病毒已爆發了近2個月，針對這次事件，本著實事求是的理念，筆者細致地探討分析了該事件所揭露出來在信息安全運維中存在的不足，并針對這些問題，提出了后續的改進方向和措施。

【關鍵詞】勒索病毒 信息安全 運維 改進措施

1 背景

“WannaCry”勒索病毒是通過二次開發框架在美國國安局（NSA）開發的網絡戰武器“永恒之藍”侵入模塊（永恒之藍侵入模塊是美國國安局開發的網絡戰武器，并利用長達5年之久。而該武器泄露后被Shadow Brokers 黑客組織于2017年4月進行披露公布）上加入了加密和勒索顯示功能，從而實現對用戶磁盤數據的加密和經濟勒索。2017年5月初，該病毒在全球的爆發給全球多國政府、企業機構以及個人帶來了一次負面的震撼教育。通過這次事件所造成的影響，清晰的揭露出了我們在信息安全運維中存在的不足。如圖1所示。

2 存在問題

首先我們分析這次“WannaCry”勒索病毒引出的四個技術層面的問題。

2.1 漏洞補丁管理不到位

據2017年1月16日Shavlik公司發布的調查報告中顯示，59%的受調查者表示每月用于補丁和漏洞管理的時間少于8個小時。由此我們看到，盡管絕大多數用戶都意識到漏洞管理的重要性，但在實踐過程中，投入的精力和資源并沒有相應的重視。此外，用戶往往更多依賴于廠家或服務商來告知漏洞的修補。而在用戶真正動手實施修補的時候，以下幾個因素又往往影響到修補工作的時間進度和完成度。

（1）漏洞的危害及可利用程度；

（2）補丁的修補容易程度；

（3）受影響系統/軟件的數量；

（4）受影響系統/軟件的重要程度；

（5）受影響系統/軟件的使用頻率。

正是由于以上諸多因素的存在，使得用戶IT業務環境中的漏洞修補時間與漏洞發布時間總是存在一定的時間差。在本次事件中，微軟公司其實早在2017年3月就公布了針對“永恒之藍”的漏洞補丁：MS17-010，但是由于企業機構中存在的漏洞補丁修補滯后的情況，該漏洞補丁并沒有得到及時的修補，導致黑客利用漏洞發現和補丁修補之間的時間差進行了大肆的攻擊和破壞。

此外，我們還應看到黑客團體針對零日和高危漏洞的開發和利用速度極快。以2015年6月23日發布的Adobe Flash應用軟件CVE-2015-3113為例，黑客團體在一周內就在Magnitude、Angler、Nuclear、RIG、Neutrino漏洞利用平臺上集成了該漏洞，其中最快的為Magnitude，4天后就進行了發布。兩相對比，可以看到面對漏洞威脅，大多數企業總是落后黑客半拍。

2.2 用戶安全意識薄弱

勒索病毒往往利用釣魚郵件進行侵入。當前的釣魚郵件通常采取點擊誘騙、提供登錄入口、內嵌附件、持續性欺騙以及高度定制化的方式來誘騙郵件接收者。而郵件接收者出于好奇、害怕和緊急這三個最主要的人為感情因素而遭遇欺詐。根據統計，在互聯網中每125封郵件中就有1封郵件含有惡意軟件。在2016年中，垃圾郵件及內含惡意軟件的垃圾郵件數量都有上升。用戶安全意識薄弱是導致釣魚郵件實施成功的主要原因，當前很多機構都沒有定期開展對員工的安全意識培訓，培訓內容沒有針對性，沒有把安全意識考核納入績效考核。如圖2所示。

另外，正是由于部分個人和機構向勒索者的妥協，使得勒索軟件的數量劇增。2015年針對個人消費者的勒索攻擊占到總攻擊的57%，針對機構的攻擊為43%。Symantec公司在2014年新增發現77個家族，但在2015年則新增發現了100個家族。在以數據為核心的信息時代，數據已成為機構、個人正常運轉的基礎。所以當數據受到威脅時，很多機構和個人為了不造成更大的損失，只好向勒索者妥協，支付贖金贖回數據。

2.3 對網絡應用的管控不嚴

“WannaCry”病毒在傳播中利用了主要利用139，445端口進行傳播感染。這2個端口涉及到網絡共享、網絡共享打印的應用。在互聯網中，運營商已對個人關閉了這些端口，但在局域網中一些機構和個人對這2個端口和其它關聯端口的管控不嚴，存在隨意開啟網絡共享的情況，結果導致病毒的傳播和侵入。

2.4 使用停止維護的操作系統

盡管微軟公司的個人桌面終端操作系統已經更新到win10，并早已停止對windowsXP操作系統版本的漏洞補丁修補維護，但是我們看到windowsxp系統仍然被一部分個人用戶和企業用戶所使用。根據市場研究公司Net Applications的統計截至2016年6月仍有9.78%的全球用戶使用windows xp系統。如圖3所示。

對于仍在繼續使用已經停止維護更新的操作系統的用戶而言，在沒有其他安全輔助措施（如前置的網絡入侵防護設備、本機安裝殺毒軟件）的情況下，意味著其因后續漏洞的發現而遭遇入侵的可能性幾乎是100%。針對本次事件，微軟公司的發言人就發表聲明聲稱：微軟已發布了Win32.WannaCrypt，對抗惡意軟件Ransom。但相當一部分用戶因為使用XP系統或更老的系統，或者關閉了微軟升級推送，導致PC在高風險狀況下運行。

3 解決建議

根據以上信息安全運維中存在的問題，我們認為對于企業機構而言，今后應該在以下方面加強信息安全建設。

3.1 完善漏洞安全閉環管理

企業需要建立包括IT資產管理、安全漏洞發送與處置跟蹤、安全漏洞定期評估檢測、安全漏洞威脅情報引入、安全漏洞補丁修補與驗證在內的安全漏洞閉環管理手段和機制。通過閉環管理，實現對IT資產的全方位掌握，了解安全漏洞對所屬IT資產的影響面和影響程度，減少漏洞發布與補丁修補之間的時間差，最大程度降低因安全漏洞未及時修補而遭受入侵攻擊的可能性。

3.2 定期安全意識培訓

企業需要定期對企業員工開展信息安全意識培訓，在培訓內容中應該盡可能關注和講解最新的安全威脅手段，讓員工掌握一些日常工作中應知、應會的信息安全知識及操作方法。此外，建議通過不定期的內部安全測試來驗證和考核員工的安全意識，這種安全測試可以聘請專業第三方以不公開的方式進行，也可以由內部機構通過書面考試等方式實現，其核宗旨就是讓每一員工都能具有最基本的信息安全意識，確保本人崗位范圍內所有數據的安全。

3.3 提升未知威脅安全檢測能力

鑒于目前基于特征碼、特征庫的傳統安全防護手段無法檢測和識別利用0day漏洞和特殊惡意代碼進行攻擊的情況，建議增加通過沙箱運行檢測、威脅情報獲知等方式和手段來提升對未知威脅的感知及檢測阻斷。在這其中尤其需要加強網絡的未知威脅安全檢測以及郵件系統的未知威脅檢測。

3.4 加強網絡安全基線管控

建議定期開展網絡安全評估和資產梳理，對網絡行為、網絡應用、網絡安全配置制定安全基線，杜絕網絡中開啟不必要的端口和應用、避免出現弱口令等危險安全配置，降低網絡入侵攻擊的攻擊面和攻擊途徑。

3.5 淘汰和更新陳舊操作系統

建議對機構中存在的陳舊windows操作系統進行系統更迭或將原有單機系統部署使用的方式更替為瘦客戶機或云桌面的方式。但是以上的方式中如將陳舊windows系統進行更迭將存在著投入費用巨大的情況（購買正版）。而廋客戶機和云桌面的方式將意味著使用習慣的改變以及可能的業務運行模式變更。因此以上方式在實踐中需要斟酌考量。

4 結束語

“WannaCry”勒索病毒盡管已過去近一個多月，但是該病毒暴露出了部分企業機構在未建立漏洞閉環管理、安全意識教育不到位、缺乏有效應對未知威脅檢測的手段、網絡安全基線管控不嚴以及使用已無廠商維護的操作系統這些方面存在的信息安全運維問題。因此，企業應該吸取此次事件給予的教訓和經驗，立即著手解決以上安全問題，彌補信息安全管理手段和機制上的漏洞，進一步提升信息安全管控能力。

參考文獻

[1]https：//intel.malwaretech.com/WannaCrypt.html.

[2]http：//www.realwire.com/releases/Shavlik-and-AppSense-survey-Security-and-patch-management.

[3]“Enterprise Phishing Susceptibility and Resiliency Report 2016”.

[4]“Cisco 2017 Annual Cybersecurity Report”.

[5]http：//geek.csdn.net/news/detail/88195.

作者單位

云南電網有限責任公司普洱供電局 云南省普洱市 665000