「WannaCry(想哭)勒索病毒/勒索蠕蟲」所利用的漏洞,是美國國安局 (NSA) 遭到外流的某項工具所攻擊的漏洞,同樣情況的還有另一個叫做「EwokFrenzy」的漏洞。EwokFrenzy 在 ZDI 資料庫中登記的漏洞編號為 ZDI-07-011,這是 10 年前的事了。難道這意味著該漏洞在廠商已經修正 10 年之後還有效嗎?看起來似乎如此。而這也是我們 20 多年來一直呼籲大家定期修補系統並做好備份的重要原因。
Zero Day Initiative (ZDI) 漏洞懸賞計畫機構對於修補漏洞的看法或許和大多數人不同。通常,我們會收到研究人員的第一手通報,然後我們會在內部驗證漏洞是否為真。接著,我們會通報給廠商。最後,當廠商釋出修補更新之後,我們會發布漏洞的一些詳細資訊。這些修補更新就是防範網路攻擊最好的方法。但最近,一個 Microsoft 在 2017 年 3 月即已修正的漏洞被一個叫做「Wanna」、「WannaCry(想哭)勒索病毒/勒索蠕蟲」或「Wcry」的勒索病毒所攻擊,使得全球都傳出災情。
怎麼會有 60 天前就已修正的問題會在全球造成這麼大的災情呢?人們為什麼不安裝修補更新呢?有時候,修補工作並不如您想像的容易,尤其對大型企業。
第一步:前置工作
要建立一套完整的修補作業,企業首先必須掌握自己所有的資產。而這項工作聽起來容易,做起來卻相當困難。企業可選擇採用開放原始碼軟體或商用軟體工具來搜尋並登記其網路上的所有系統和裝置。就算他們用的是免費軟體,安裝建置仍需耗費成本。一旦企業找出所有需要保護的資產,接下來他們必須建立一套明確的流程來更新這些裝置,並且留下清楚的記錄。此時不光只有工作站和伺服器必須更新,一些網路裝置 (如路由器和交換器) 也要保持更新。所以,企業必須決定:是否該採用一套自動化系統?或是由系統管理員逐一到每台裝置上進行更新?由於早期的安全更新通常需要重新開機,或者可能打斷業務流程,因此,何時套用更新就很重要。此外,留下修補的記錄可以確保企業整體修補版本的一致性。
第二步:掌握最新修補訊息
接下來,您要做的就是掌握最新的修補訊息。就算企業規劃再周詳,若主事者根本沒有掌握到廠商發布的修補更新訊息 (例如:訂閱電子郵件通知、RSS 摘要、Twitter 訊息或其他廠商通知管道等等),一切也是枉然。在這方面,某些廠商確實做得比較好。一旦您掌握了最新的修補更新,接下來您要決定是否立即安裝。中小企業很可能是採取手動安裝。但任何一家電腦數量可觀的大型企業都應該投資一套自動化安裝工具。就像前述掃瞄資產的工具一樣,這方面企業有許多選擇,而花費的成本也各不相同。不過,自動化系統所需的成本,還是遠低於手動安裝的人工成本。
第三步:測試修補更新
在部署任何一項修補更新之前,企業還有一個不可或缺的步驟,那就是測試。萬一某項更新造成了不良的後果而必須回復的話,將造成營運中斷與生產力的雙重損失。為了避免這樣的情況發生,企業必須進行多項測試。只要人力允許,測試時至少必須將修補更新套用到非生產環境的類似系統上看看,以確保業務在系統更新之後還能正常運作。
第四步:套用修補更新
在您清點資源、建立流程、拿到修補更新、建立自動化部署機制,並且完成測試之後,恭喜您!現在您可以安裝修補更新了。
企業除了必須面對複雜的更新修補流程之外,還必須克服心理上的障礙。簡單來講,許多人對於資安修補更新總是又期待又怕受傷害,原因有幾點:
- 資安修補雖然是為了修正漏洞,但卻經常導致其他軟體無法運作,甚至讓整台系統變得不穩。
- 修補更新有時候並未解決根本問題。
- 某些廠商還會在更新當中加入一些使用者不想要的額外軟體或功能,例如原本要更新即時通訊軟體,卻因為這樣而換成另一個預設的瀏覽器。
- 最糟的情況或許是:有些資安修補甚至會導致其他漏洞。
儘管這些年來資安產業整體的水準都有所提升,但上述問題還是存在,尤其歷史上的一些夢魘。
Wcry 所利用的漏洞,是美國國安局 (NSA) 遭到外流的某項工具所攻擊的漏洞,同樣情況的還有另一個叫做「EwokFrenzy」的漏洞。EwokFrenzy 在 ZDI 資料庫中登記的漏洞編號為 ZDI-07-011,這是 10 年前的事了。難道這意味著該漏洞在廠商已經修正 10 年之後還有效嗎?看起來似乎如此。而這也是我們 20 多年來一直呼籲大家定期修補系統並做好備份的重要原因。
做好修補工作既不簡單,也不容易,通常也不便宜。但放任著漏洞不管,對企業可能帶來的損失 (包括財務與名譽損失) 遠遠超過修補所需的成本。況且,萬一企業遭到攻擊,要從災難當中復原,不僅更加困難、更加複雜,而且代價更高。所以,該是好好坦然面對的時候了。
原文出處:Why “Just Patch It!”Isn’t as Easy as You Think 作者: Dustin Childs (Zero Day Initiative 通訊)