基本的「資安衛生」能否預防 WannaCry 的快速傳播？ 可以的！

分享文章:

作者：IBM 資安防禦團隊

2017年5月12日星期五，網路犯罪分子推出了被認為是史上最大的勒索軟體攻擊。這種被稱為“WannaCry”的勒索軟體以前所未有的速度爆發，於48小時內在全球超過100個國家的超過10萬個機關與企業的系統中傳播。

若說這是史上最大的勒索軟體攻擊，的確是無可置疑，但僅說了一個很表面的事實。在這次攻擊的成功之下，以及許多規模相當的其他資安事件，都呈現了同樣的老問題：未被管理的風險和未解決的漏洞。

補丁的重要性

這個勒索軟體的衝擊是對基本資安重要性的當頭棒喝，特別是對微軟的產品修補方面。資安的基本工作就像我們生活中保持良好的「衛生習慣」 一樣，安全專業人員長期強調基礎「資安衛生」的重要性，如補丁和備份；然而，安全更新往往被認為是對業務的干擾，所以這些建議常常被忽視。

Microsoft Windows 作業系統的文件共享協議（SMBv1）的缺陷助長了這次攻擊的規模，但其實可以輕易地避免。那些確實在微軟於3月份發布的關鍵 Windows 進行補丁部署的人們得到了保護。而那些沒這麼作的人們就暴露在風險中了。

WannaCry 利用此 Windows 漏洞，即使不用透過最終用戶的這個媒介，就能夠以極高的速度從一個工作站擴展到龐大的端點網路。因此，WannaCry 採用了一種快速的傳播方式，取代傳統常見的釣魚郵件方式發送攻擊。

這次大規模攻擊凸顯了還有如此多的機關與企業仍在使用過時、未打補丁的系統。如果這些機關與企業的網路能及時地部署關鍵的 Microsoft Windows 補丁，WannaCry 的影響可能就會大大地降低。

機關企業應該如何保護自己？

機關與企業正努力地在整個 Windows 基礎架構上緊急部署相關的 Microsoft 補丁。除了支持系統的 3月14日補丁（MS17-010）之外，Microsoft 更為舊版系統（如Windows XP）發布了一個緊急補丁。

我們不鼓勵受害者遭受這些攻擊之後向犯罪分子付贖款，因為這無法保證就會解鎖數據 – 另外的風險是這可能會使他們成為下一次攻擊的主要目標。

展望未來，讓我們以更加彈性的方式因應這類攻擊，並且不需要考慮支付贖金。隨著勒索軟體的增加以及數位化資料所代表的巨大價值，無論是企業和消費者都需要對重要與業務關鍵資料進行備份並提高警覺。

以下是機關企業應關注的幾個重點領域，以提高「資安衛生」：

• 修補所有軟體：部署補丁程式，並確保擴展到安全軟體。在員工使用的端點設備上安裝最新的防病毒和惡意軟體檢測軟體。為這些解決方案設置常規掃描和自動更新。更新您經常使用的任何軟體，並刪除您很少使用的應用程式。
• 隨時警惕：如果電子郵件看起來太好了，好到不像是真的，那可能就是它囉！打開附件和點擊鏈接時要小心。WannaCry可能不會從這樣的“釣魚”攻擊開始，但大多數勒索軟體攻擊都是這樣騙的。
• 備份：規劃和維護常規的備份作業。確保備份是安全的，而不是一直連接或映射到即時網路。定期測試備份，驗證其完整性和可用性，以便在緊急情況下發揮功能。
• 禁用巨集 （Macro）：當透過電子郵件附件啟動 Office文件時，禁用Microsoft Office文件巨集，特別是來自外界的。
• 計畫：事件回應計畫是從任何安全事件快速發現並恢復的關鍵。擬定計畫，並確保實踐和優化它們來協調回應。
• 確保公司內部的員工、供應商和其他人員定期接受安全訓練，例如當發現可疑郵件，以及如果出現問題時該立即聯繫誰。

根據IBM X-Force Research的勒索軟體報告，勒索軟體是2016年最流行的線上威脅。美國政府統計數據顯示，每天進行追蹤的4000多次攻擊中，有超過65％的垃圾郵件夾帶著惡意軟體。隨著WannaCry的成功，勒索軟體攻擊持續上升的趨勢不會很快消失。

為了避免像WannaCry這樣的未來攻擊，世界各地的機關與企業都需要了解這些攻擊的要素，並準備好面對各式變種。最重要的是，需要落實預防性措施（如定期安全更新和備份）來保持系統的安全性。我們不應將「資安衛生」措施視為妨害，要將其視為避免自己成為下一個安全威脅犧牲者的必要舉措。