WannaCry的啟示（一）：網絡保安豈止於防火牆？

日期 : 2017年7月19日

機構 : 思科系統（香港）有限公司

作者 : 思科香港、澳門及台灣區技術總監伍偉強

 

近期WannaCry成為網絡保安界焦點，這個肆虐全球電腦用戶的勒索軟件，跟一般勒索軟件不同，它並非使用網釣電郵（Phishing）散播病毒，而是在全無人手干預的情況下，自動掃描被攻擊電腦所連接的網絡上是否存在微軟視窗的一個SMB漏洞。雖然這個漏洞已在微軟一個早在三月發佈的安全公告中被修復，然而大部分「中招」是沒有定期更新系統的用戶，甚至是已不再受支援的操作系統。而且，WannaCry的傳播機制，正是利用了一個由美國國家安全局（NSA）洩漏出的攻擊工具來製造，讓其在短短數天時間，已在全球逾150個地區策動攻擊，逾20萬個用戶電腦「中招」 。

當商業及公共機構面對新型威脅，只是安裝新一代防火牆並不足夠應付；而是需要一個整合及自動化的網絡保安架構，配合完善的網絡保安情報系統，才能多層面地阻擋日益嚴峻的網絡攻擊。而且，商業及公共機構必須把注意力延伸至整個攻擊週期，除了在攻擊前阻擋入侵外，還需要在受到攻擊時能夠即時偵測威脅，及事後能即時確定被入侵的範團，並隨之修復被攻擊的系統。

例如當WannaCry於5月12日爆發時，一些雲端保安的操作平台已經在十數分鐘的短時間內把WannaCry的kill switch域名加入「偵測域名名單」中，更在數小時後列入「惡意程式」類型，阻止所有用戶連到該域名。此外，一些進階惡意軟件防護方案，在取得勒索軟件樣本後，經過沙箱模擬及自動分析後以判定其為一惡意程式，立刻阻擋它入侵商業及公共機構用戶的終端、電郵、網絡閘道等。WannaCry爆發當日，某一威脅情報團隊發佈了網誌文章，深度分析WannaCry勒索軟件的特性，並一直持續監控全球網絡，提供情報以保護商業及公共機構客戶免受WannaCry或其他威脅的攻擊。下圖說明了坊間的資訊保安方案以偵測和應對「WannaCry」勒索軟件的事件簿。

（圖片來源：思科香港)