WannaCry的啟示（一）：網絡保安豈止於防火牆？

日期 : 2017年7月19日

机构 : 思科系统（香港）有限公司

作者 : 思科香港、澳门及台湾区技术总监伍伟强

 

近期WannaCry成为网络保安界焦点，这个肆虐全球电脑用户的勒索软件，跟一般勒索软件不同，它并非使用网钓电邮（Phishing）散播病毒，而是在全无人手干预的情况下，自动扫描被攻击电脑所连接的网络上是否存在微软视窗的一个SMB漏洞。虽然这个漏洞已在微软一个早在三月发布的安全公告中被修复，然而大部分「中招」是没有定期更新系统的用户，甚至是已不再受支援的操作系统。而且，WannaCry的传播机制，正是利用了一个由美国国家安全局（NSA）泄漏出的攻击工具来制造，让其在短短数天时间，已在全球逾150个地区策动攻击，逾20万个用户电脑「中招」 。

当商业及公共机构面对新型威胁，只是安装新一代防火墙并不足够应付；而是需要一个整合及自动化的网络保安架构，配合完善的网络保安情报系统，才能多层面地阻挡日益严峻的网络攻击。而且，商业及公共机构必须把注意力延伸至整个攻击周期，除了在攻击前阻挡入侵外，还需要在受到攻击时能够即时侦测威胁，及事后能即时确定被入侵的范团，并随之修复被攻击的系统。

例如当WannaCry于5月12日爆发时，一些云端保安的操作平台已经在十数分钟的短时间内把WannaCry的kill switch域名加入「侦测域名名单」中，更在数小时后列入「恶意程式」类型，阻止所有用户连到该域名。此外，一些进阶恶意软件防护方案，在取得勒索软件样本后，经过沙箱模拟及自动分析后以判定其为一恶意程式，立刻阻挡它入侵商业及公共机构用户的终端、电邮、网络闸道等。 WannaCry爆发当日，某一威胁情报团队发布了网志文章，深度分析WannaCry勒索软件的特性，并一直持续监控全球网络，提供情报以保护商业及公共机构客户免受WannaCry或其他威胁的攻击。下图说明了坊间的资讯保安方案以侦测和应对「WannaCry」勒索软件的事件簿。

（图片来源：思科香港)