2017年信息安全熱點事件及分析—WannaCry蠕蟲式勒索病毒席捲全球
博弋信息
boyi-tech-sh
關注
概述
2017年5月12日,WannaCry蠕蟲式勒索病毒在全球範圍內大爆發,該蠕蟲病毒感染計算機後會加密其中的大量文件,包括照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件,加密後的文件後綴名被統一修改為「.WNCRY」,並會彈出勒索對話框,提示勒索目的並向用戶索要比特幣。
用戶主機一旦被勒索軟體滲透,只能通過重裝操作系統的方式來解除勒索行為,但用戶重要數據文件不能直接恢復。
WannaCry勒索病毒是自「熊貓燒香」以來影響力最大的病毒之一,全球範圍內至少150個國家中招,影響到金融、能源、醫療等眾多行業。部分大型企業的應用系統和資料庫文件被加密,無法正常工作,影響巨大。該病毒甚至入侵了國內某電廠,導致廠內生產大區與管理大區內部分工控機出現重啟或藍屏現象。
技術原理
WannaCry勒索病毒利用Windows操作系統445埠存在的SMB服務漏洞(對應微軟漏洞公告:MS17-010)發起攻擊,並具有自動傳播的能力。
當Microsoft伺服器消息塊1.0(SMBv1)伺服器處理某些請求時,存在多個遠程執行代碼漏洞。成功利用這些漏洞的攻擊者可以獲取在目標系統上執行代碼的能力。
防範方法
技術防範
一. 關閉埠
1.策略阻斷埠
通過Windows防火牆設置阻止tcp445和其他關聯埠連接。
2.禁用SMBv1
對於客戶端操作系統,打開控制面板中的「程序」,單擊「啟用或關閉Windows功能」,清除「SMB 1.0/CIFS文件共享支持」複選框;對於伺服器操作系統,打開伺服器管理器,單擊「管理」菜單,選擇「刪除角色和功能」,在「功能」窗口中,清除「SMB 1.0/CIFS文件共享支持」複選框。最後重啟系統完成禁用操作。
二.網路隔離
優化網路結構,強化網路隔離措施,尤其是避免將重要網段部署在網路邊界處或直接連接外部系統,重要網段與其他網段之間採取可靠的技術隔離手段,如物理隔離或邏輯隔離等。通過在系統網路邊界處的嚴格隔離措施,可以將病毒阻擋在系統網路邊界之外,使病毒無法進入系統網路內部。
通過不同網段間完善的隔離措施,即使部分主機遭受該蠕蟲病毒攻擊,也可以將受影響範圍控制在一定區域內,避免重要系統、重要主機遭受感染,減少安全事件所造成的損失。
三.備份
對於核心系統、重要系統中的業務數據,以及個人數據,建議採取數據備份措施,實時或定期備份數據至不同的存儲介質上。由於WannaCry勒索病毒會導致系統文件被加密,數據大量丟失,通過數據備份措施,可以便於數據及時恢復,防止重要數據丟失造成的巨大損失。
管理防範
可以通過管理手段達到事先防範該蠕蟲病毒攻擊的目的,包括建立完善和落實系統安全管理制度、備份與恢復管理、介質管理、設備管理、系統運維管理、安全意識教育和培訓管理等。
一.加強新系統安全管理
在信息安全管理制度體系中,應建立系統安全管理制度,對系統安全策略、安全配置等作出具體規定,明確規定對於伺服器、重要客戶端操作系統,關閉不必要的服務,新安裝伺服器操作系統應滿足最小化安裝的原則,即最小服務配置,僅安裝需要的組件和應用程序。若發現Windows操作系統中的445埠或其他關聯埠為不必要的服務,應立即禁用該埠。
通過落實、嚴格執行此類系統安全管理制度,可以事先將WannaCry勒索病毒所利用的攻擊傳播埠堵住,防止系統主機和重要客戶端主機被感染,從而避免系統服務中斷、重要數據丟失帶來的巨大損失。
二.加強備份與恢復管理
應識別需要定期備份的重要業務信息、系統數據等,對備份方式、備份頻度、存儲介質和保存期等進行規範,定義明確的備份策略和恢復策略,建議定期執行恢復程序以檢查和測試備份恢復的有效性,確保系統、數據可以正常恢復。
在2017年6月1日正式實施的《中華人民共和國網路安全法》中更是明確規定,關鍵信息基礎設施的運營者應當「採取數據分類、重要數據備份和加密等措施」、「對重要系統和資料庫進行容災備份」。
通過落實、嚴格執行備份與恢復方面的管理要求,可以避免感染該蠕蟲病毒而導致的數據丟失。
採取數據備份措施成功防範該類蠕蟲病毒攻擊的一個真實案例是,美國某市政府伺服器遭遇了勒索軟體攻擊,一台屬於IT部門的伺服器被全部加密並被要求支付贖金以恢複數據,由於數據進行過定期備份,工作人員在對伺服器進行徹底清理後利用備份恢復了伺服器及其系統,未造成過多損失。
三.加強介質管理
應在管理制度中明確規定存儲介質的安全使用過程,包括移動硬碟、移動U盤的安全使用,包括私人移動介質不能隨意接入系統伺服器主機、重要管理終端等,企業/單位內部工作用移動介質的使用過程應得到嚴格管理,不得隨意帶出私用。
通過落實、嚴格執行此類介質管理制度,可以避免由移動介質導致的將病毒從網路外部傳播進來,或由移動介質導致的將病毒的傳播範圍擴大化。
四.加強設備管理
應建立設備管理制度,在其中明確對於各類設備的操作和使用,包括移動終端、伺服器主機、便攜電腦等,各類設備應安裝殺毒軟體,保持定期升級,並且不得隨意接入互聯網。通過落實、嚴格執行此類設備管理制度,可以防止私接網路或不恰當操作導致的病毒感染。
五.加強系統運維管理
應在管理制度中對系統的安全運維管理進行規範,明確規定定期對系統安全策略配置情況、系統漏洞情況、介質安全使用情況、設備安全使用情況等進行檢查,及時修復系統漏洞。完善監測預警系統的建設,做好系統運行狀態的監控,尤其是各類安全日誌。
通過周期性的全面安全檢查,及時更新系統安全補丁、完善系統安全配置,另外,通過對安全事件的集中管理和監測,都可以對該類漏洞的攻擊做到事前防範、主動防禦。
六.加強安全意識教育和培訓
應在管理制度中明確安全意識教育和培訓的內容,加強對各類人員的安全教育和培訓,對各類安全管理制度進行宣貫,同時可以針對不同崗位人員進行不同的安全培訓,如針對運維技術人員開展安全技術培訓,提高技術人員的安全技術水平;針對行政辦公人員開展安全意識教育培訓,提高全體人員的安全意識,可以做到不輕易打開來源不明的郵件,個人數據及時備份,安全使用辦公電腦和移動介質等等。
通過落實、嚴格執行此類管理制度,可以在日常工作過程中避免該類勒索病毒的感染或由於病毒感染導致的數據丟失。
監控平台的運用
在2017年6月1日正式實施的《中華人民共和國網路安全法》中明確規定,網路運營者應「採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月」,「負責關鍵信息基礎設施安全保護工作的部門,應當建立健全本行業、本領域的網路安全監測預警和信息通報制度,並按照規定報送網路安全監測預警信息」,將監測預警措施制度化、法制化。
2017年8月9日,工業和信息化部發布了《公共互聯網網路安全威脅監測與處置辦法》,明確指出「相關專業機構、基礎電信企業、網路安全企業、互聯網企業、域名註冊管理和服務機構等應當加強網路安全威脅監測與處置工作,明確責任部門、責任人和聯繫人,加強相關技術手段建設,不斷提高網路安全威脅監測與處置的及時性、準確性和有效性。」
通過建立部署部署安全監控與數據分析平台,可以實現對系統的網路監控、流量監控、日誌關聯分析,監控業務系統上下行流量和不同應用主機間的網路流量,對網路設備、安全設備和伺服器主機的日誌集中收集和分析。周期性對運行日誌和審計數據進行分析,在此基礎上,加強對445等埠(其他關聯埠如: 135、137、139)的內部網路區域訪問審計,便於及時發現非授權行為或潛在的攻擊行為,做到對該類蠕蟲病毒的監測和預警報告。
對系統網路和流量、系統日誌數據進行監控,並以此開展主動的安全威脅搜尋、安全態勢感知,而不是坐等病毒攻擊的發生然後進行修復,利用具有網路監控能力的技術對於網路和信息安全事件的事前防範來說是非常重要的,這種積極的防禦機制有助於增強系統的安全性。
