「設定更新已經完成25%,不要關閉你的電腦」急著下班時,看到這個很”想哭”嗎? 談WannaCry 勒索病毒和更新修補的現實問題

2017年至今被標記為重大的漏洞有637個而且還在增加中,這比2016年(共回報1057個)的速度更快,而且這些數字僅僅是用於遠端攻擊的漏洞!這些並不一定都會影響你的企業,但現實是你每個月都要面臨嚴重漏洞。

旁觀者的直覺反應是「為什麼他們沒有修補自己的系統?」就跟數位世界內的大多數問題一樣,這並沒有看上去那麼簡單。雖然責怪受害者很容易,但這波勒索活動真正凸顯出了防禦方所面臨的根本難處。

WannaCry攻擊活動使用的是已公開近 60天的已知漏洞。不幸的是,我們將會在未來,持續看到該漏洞被攻擊。

[編者按:關於趨勢科技產品與 WannaCry 相關的最新資訊,請參閱。]

作者:Mark Nunnikhoven(趨勢科技雲端研究副總)

2017年5月12日出現的 WannaCry勒索病毒被精心設計來充分利用今日大型企業所最常見的安全難題。從基本的網路釣魚開始,此變種利用最近的漏洞(CVE-2017-0144/MS17-010)在脆弱的內部網路散播,肆虐於大型組織。

來看看這則紐約時報的貼文,他們用我的資料作出一張很酷的動態地圖

– MalwareTech(@MalwareTechBlog)2017年5月13日

旁觀者的直覺反應是「為什麼他們沒有修補自己的系統?」就跟數位世界內的大多數問題一樣,這並沒有看上去那麼簡單。雖然責怪受害者很容易,但這波勒索活動真正凸顯出了防禦方所面臨的根本難處。

這並非最新的零時差漏洞,修補程式MS17-010在攻擊(或持續性攻擊)前59天就已經發布。今日安全社群所面臨的難題之一是如何在大量業務活動內有效的溝通網路安全。

 

馬上更新修補程式,不要再拖了 !

安全社群的共識是,更新修補是你的第一道防線。儘管如此,組織需要花上100天更久來部署修補程式的狀況並不少見。為什麼?原因很複雜。但大致可歸結到一個事實,就是IT對業務運作很重要。任何中斷都令人沮喪和代價高昂。

從使用者的角度來看,「設定更新已經完成25%,不要關閉你的電腦」急著下班時,看到這個很想哭嗎?持續進行更新很累人也妨礙到了工作。更糟的是更新後無法預期應用程式會發生什麼事。

在大約10年前,「最佳實作」是在更新修補程式前先進行廣泛的測試。在此時,主要原因是修補程式的品質。更新修補程式導致系統崩潰是很平常的事。時至今日,更新修補程式有時會出現相同的問題,但已經相當少見,並非常規。

現在最大的挑戰是客製化或第三方應用程式沒有遵循建議的程式開發最佳實作。這些應用程式可能使用未公開的功能、特別的行為或沒有正式支援的捷徑。修補程式可能讓這些重要的業務應用程式無法使用,直到它們也出了修補程式。

這個週期就是為什麼大多數企業堅持要測試修補程式,這顯著延遲部署的傳統做法。投資自動化測試來縮短部署時間的成本昂貴且很難評估是否值得,因為IT基礎設施有太多其他需要關注的地方了。

而一長串持續到來的修補程式也讓企業很難評估部署重大安全修補程式的風險和挑戰。

Windows XP,Windows Server 2003和 Windows 8持續存活著,有很多很多需要被保護的脆弱系統

談論更新修補的論點假設(當然地)修補程式可以解決問題。這就是零時差。雖然零時差威脅真實存在,但長的修補週期代表著已經出現30天、180天和永久的漏洞也可能被用在攻擊中。Verizon的資料外洩調查報告持續強調著有多少組織遭受已有修補程式的漏洞攻擊。

WannaCry攻擊活動使用的是已公開59天的已知漏洞。不幸的是,我們將會在未來持續看到該漏洞被攻擊。

讓事情更糟的是,MS17-010曾經只更新在支援的平台。微軟已經改變立場來發布修補程式給所有受影響的平台(對他們作出此決定鼓掌)。雖然只替支援的平台提供修補程式合乎常理,但現實是「支援」的數量跟「部署」的數量遠遠不同。

我們知道Windows XP和Windows Server 2003和Windows 8持續存活著 – 根據部分報告指出,它們佔了Windows桌面系統的11.6%Windows伺服器的17.9%。這代表有很多很多需要被保護的脆弱系統。

有第三方安全解決方案(部分來自趨勢科技)可以協助解決此一問題,這些舊系統拖累了前進的腳步。老化的系統很難維護,對組織造成的風險也更大。

惡意軟體,如2017年5月12日的 WannaCry(想哭)勒索病毒/勒索蠕蟲變種利用了此一現實來讓他們攻擊取得最大的成功,也取得最大的利益。

安全團隊需要協助其他IT團隊解釋投資更新現有基礎設施的必要性。這是個很困難成功的爭論。畢竟業務流程跟工作流程已經跟這些系統整合在一起,而且運作可靠。

問題是如何量化它們所構成的風險(維護和安全方面),或至少用適當的角度來看待這些風險,以做出明智的業務決策。

 

2017年至今被標記為重大的漏洞有637個而且還在增加中

2017年至今被標記為重大的漏洞有637個而且還在增加中,這比2016年(共回報1057個)的速度更快,而且這些數字僅僅是用於遠端攻擊的漏洞!這些並不一定都會影響你的企業,但現實是你每個月都要面臨嚴重漏洞。

為了下這個會干擾業務運作的決定,你將不得不去評估影響。這時組織往往會動搖。非常難根據數字去下這個決定。

理論上來說,你應該用停機的成本(部署修補程式期間)和可能遭受攻擊的成本相比較。Ponemon和IBM有2016年資料外洩事件的成本估算,平均為400萬美元(對歐盟企業是全球營業額的4%)。這代表除非停機成本超過400萬美元,不然都該更新修補程式。

除了沒有將外洩事件發生的機率算進去,也沒有加上使用安全措施來解決問題的成本。這樣就會變得太複雜且個別差異化。

如何正確評估此一決定在IT界一直都有爭議,但如果是WannaCry(想哭)勒索病毒/勒索蠕蟲,則公式其實相當簡單。

微軟在2017年三月發布MS17-010並標記為重大。一個月之後,出現非常高知名度且非常公開的資料檔包含了易於瞭解和執行,會攻擊MS17-010所修補漏洞的攻擊碼。在此時,安全團隊可以向自己的組織保證會有攻擊出現利用此漏洞。

這讓攻擊出現的機率成為100%。所以除非需要花費4百萬美元,不然就應該立刻修補你的系統。

 

緩解方案

無法修補的系統仍然需要保護。因為WannaCry,所有受影響的系統這時都可以修補,必須感謝微軟的慷慨舉動。但如果是其他的惡意軟體威脅,通常就不是如此。

此時就需要緩解方案。這些緩解方案也可以爭取部署修補程式的時間。

WannaCry是新變種在傳統防惡意軟體掃描更新前就能夠造成嚴重損害的明顯例子。此時端點系統上的機器學習模型和行為分析技術就相當重要。

這些技術對新威脅提供了持續且及時的防護。以 WannaCry作例子,這類型的端點防護系統就不受影響。之後經由安全社群更加深入的分析,傳統控制措施就能夠偵測並防止WannaCry的最新變種生根。

一旦就定位,強大的網路控制措施(如入侵防禦)可以封鎖阻斷WannaCry在整個企業網路內部肆意散播。這也是另一種網路內部微區段(microsegmentation)的論點。

最後,網路釣魚郵件持續成為惡意軟體散播的最有效方法。在2016年所有的勒索病毒攻擊有79%透過網路釣魚開始。主動積極地掃描電子郵件威脅並部署強大的網頁閘道是必要的作法。

 

防範下一個威脅

WannaCry快速地對現實世界造成了嚴重的影響。在整個過程中,它暴露出真實世界網路安全所面臨的根本難題。

更新修補是一個關鍵問題,它需要整個IT組織與其他業務單位共同合作才能有效。年復一年,大多數攻擊都是利用已經可以修補的漏洞。這意味著大多數網路攻擊都是可預防的。

快速修補加上能夠緩解新或已知威脅的合理安全控制措施是企業減少數位世界運作風險的超強武器。

雖然問題和解決方案都屬於技術層面,但要讓事情做好得從溝通開始。沒有比現在更好的時間來開始進行了。

你怎麼看待舊系統和更新修補呢?你是如何解決組織內的這些問題?

 

@原文出處:WannaCry & The Reality Of Patching 作者:Mark Nunnikhoven(趨勢科技雲端研究副總)

 

《延伸閱讀》