普華永道評點WannaCry 勒索軟體攻擊事件

至頂網CIO與應用頻道 05月22日 北京消息：自上周五起攻擊全球多個國家和地區電腦的勒索軟體 WannaCry 已對眾多的全球性組織造成影響。普華永道專家分析，病毒的主要載體是通過微軟窗口的伺服器消息區塊 (SMB) 協議中未經修補的遠程代碼執行漏洞，並且此惡意軟體也可能經電子郵件的附件而擴散。

為應對本次的全球電腦病毒攻擊，普華永道的網路安全專家提出新的洞察，對於威脅的預判，以及一系列可在未來受惡意軟體衝擊時盡量降低風險及財務損失的網路安全措施：

普華永道企業信息、網路安全及私隱服務合伙人易偉祺 (Marin Ivezic) 指出:

- WannaCry 利用微軟窗口操作系統程序漏洞作快速且大規模的攻擊，實屬前所未見。

- WannaCry 之所以能夠形成廣泛攻擊及損害，是因為其病毒能夠在同一個網路上，入侵任何有系統漏洞問題的電腦，甚至在互聯網上無需受害者執行任何動作的前提下就可隨機地攻擊電腦，這也是現今主流勒索軟體的攻擊模式之一。

- WannaCry 攻擊的破壞力如此之強，是因為其能夠結合多個惡意代碼進行攻勢，因此傳播能力廣泛，這些程序代碼包括： WannaCry 勒索軟體，EternalBlue 和 DoublePulsar。

- 這次網路攻擊印證了一種以全新手法、以自動化方式散播惡意軟體。幾乎可以肯定，網路罪犯將來會更多使用這種模式進行攻擊。他們會使用相類似的手法，捆綁其他類型的惡意軟體並發動迅速且大規模的攻擊，這可對網路與電腦造成更大的損害，例如竊取數據數據並致使商業機構運作癱瘓。目前已有一些報告指出，當通過 EternalBlue 漏洞發動攻擊的破壞力逐漸減低，網路罪犯會伺機利用其他系統漏洞進行攻擊。

- 以自動化形式散播惡意軟體，並如同 WannaCry 的大攻擊規模，將會是網路犯罪的新常態。

- 本次 WannaCry 攻擊主要是通過黑客組織 ShadowBrokers 早前發放的 EternalBlue 漏洞。 ShadowBrokers 自去年六月起已定期發放新的程序漏洞。這進一步印證了我們對於網路威脅的預測：以蠕蟲程序進行破壞的WannaCry的網路攻擊將會成為一種常態。

實時措施

- 要緩解 WannaCry 的衝擊或降低實時風險，企業應該聽取其電腦安全事故應變小組 (CERTs)，信息分享及分析中心 (ISACs) 及其他可靠資源的建議。在過去幾天，我們已提出了一些重要的實時性補救方案，並已廣泛流傳。

- 除去這些已廣泛流傳的應急方案，企業應該提防 WannaCry 通過 DoublePulsar 攻擊被病毒侵襲的電腦，攻擊者有可能取得對系統的全面控制，即使加密的病毒文件被解密或重設系統，都於事無補。即使所有加密檔都被拆解，企業都應通過 Re-image 技術修復所有受病毒破壞的系統部分。

- 結合網路攻擊者最近發布的一系列安全漏洞，我們建議企業應該監察外向型的窗口系統的伺服器信息區塊和遠程桌面協議 (RDP) 的埠，並確認以下的漏洞是否修復或不適用：

• 「EternalBlue」 MS17-010;
• 「EmeraldThread」 MS10-061;
• 「EternalChampion」 CVE-2017-0146, CVE-2017-0147;
• 「ErraticGopher」 Windows Vista 早前發放;
• 「EskimoRoll」 MS14-068;
• 「EternalRomance」 MS17-010;
• 「EducatedScholar」 MS09-050;
• 「EternalSynergy」 MS17-010;
• 「EclipsedWing」 MS08-067.

- 如電腦使用窗口 2003 或 XP 作業程序，就要注意 「EsteemAudit」 及相關已不再支持的漏洞，並嘗試用其他方法以確保 RDP 的連接。

策略性措施

系統安全性補救

本次的全球性網路攻擊對企業發出了一個強有力的警告，他們急需提高其系統的安全性，進行及時和最高規格的補救措施，持續而密集地維護安全。 然而這些工作往往會因為成本及企業資源有限而被忽略。企業面對的網路安全威脅愈來愈複雜，增強安全性補救措施以減少漏洞，是必不可少的投資。

普華永道公布的《2017 年全球信息安全狀況? 》調查指出，中國內地及香港受訪者

在2016年對網路安全的預算開支達 730萬美元，較2015年減少了 7.6%，但企業曾

於2015年大幅增加網路安全的預算開支。

備份

在 WannaCry 網路攻擊事件之後，仍然有很多企業沒有定期為其系統進行備份，個人電腦尤為重災區。實際上，完善的備份工作及系統重設能大大降低如 WannaCry 勒索軟體攻擊的影響。

虛擬化

如果可行的話，企業應考慮使用虛擬化解決方案，一旦系統受電腦病毒感染，虛擬化方案能使系統快速地重設至正常狀態。

網路區段

另一個在 WannaCry 攻擊後反映的普遍安全性不足問題，就是網路結構扁平化，這個現象在中國企業更常見。舉例說，多家企業的網路建構在單一扁平化網路，當其中一部電腦受病毒感染，有可能使網路內所有電腦都受感染。普華永道建議企業將網路區段化，將企業網路按架構及信息的價值高低進行分段，這將有效降低惡意軟體在網路內的散播，減少所受的衝擊。

競爭風險因素

在當今競爭激烈但又高度連接的市場環境中，不排除某些網路攻擊是來自行業競爭對手。根據我們的調查，中國內地及香港受訪者面對來自競爭對手的網路攻擊威脅，要高出全球平均值。

據普華永道的觀察，那些有意通過網路攻擊打擊對手的公司，會利用地下渠道，聘用網路攻擊者對區內目標企業進行網路攻擊。有時，這些攻擊是由「內部人員」提供財政支持。

普華永道建議企業不應單靠「關門」措施，即 SMB 及/或 RDP 以應對這些新型攻擊，而更應該提防那些蓄意攻擊者或內部人員會在網路內對起始系統進行攻擊或破壞。我們的調查指出，34% 的中國內地及香港受訪企業表示，其系統遭受的安全性事件，與同業競爭者有關。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！