退潮的時候,才知道誰在裸泳 – 在WannaCry事件之後,企業的資安防護與人員意識是否也成功升級?
大約在2017/5/12這個時間點,全球開始遭受到一波嚴重的 WannaCrypt0r (亦簡稱為WannaCry、WanaCry) 勒索軟體攻擊。其實,此次利用的漏洞微軟早在 2017/3/14 發佈了 MS17-010 Patch 的更新程式,時隔兩個月,為何仍造成全球如此大的衝擊?不外乎是資訊安全相關措施沒有完全落實,恰好驗證了巴菲特所說「只有退潮的時候,你才知道誰在裸泳」,事件發生了,才知道哪裡沒有做好、哪裡暗藏資安危機,但這需要付出慘痛的代價。資安措施沒有完全落實的原因,不見得是考慮不周或是人員怠惰,本次事件受到攻擊的系統,多半沒有開啟Windows Update 的自動更新功能。
而細究不開啟更新的主要原因包括:使用了盜版的 Windows 不敢更新;使用了會關閉自動更新的電腦軟體;合法的 Windows 7 使用者或管理者擔心 Windows 更新會自動升級到 Windows 10 帶來非預期的問題,而將更新關閉;使用者的自動更新功能故障無法處理,卻沒有請專業人員協助解決問題。
本次事件發生後大約三日, WannaCry 的感染擴散問題已受到有效控制,對事件的關注也慢慢從探求如何處理,轉變成思考如何預防及攻擊者的來源、目的。而最讓人想問的不外乎會不會再有下一波?這個攻擊有沒有可能循經典的勒索軟體經典的釣魚郵件模式進行擴散?
系統漏洞容易修補,但使用者的認知漏洞防不勝防
先將目光從 WannaCry 移開,思考一下,資安事件特別嚴重的是否只有這一起?這次的事件是否影響深遠?系統的漏洞是否是最危險的?事實上,資安事件分分秒秒都在發生,較 WannaCry 更嚴重的事件,如 APT 偷偷攻擊某些國家的關鍵基礎設施;較 WannaCry 影響更深遠的事件,如專門攻擊 IoT 的惡意程式Mirai 原始碼被公開;而利用漏洞的攻擊多半都有特效藥,只要能正確的更新安全性修正,問題都能瞬間被控制住或彌平。但透過電子郵件發動的攻擊,直搗受害者的「認知漏洞」則沒有特效藥,仍然持續流行,且防不勝防。
雖然目還沒有發現這幾波WannaCry透過電子郵件管道擴散的確切案例或證據,但在WannaCry事件剛爆發時,中華數位與 ASRC 研究中心除了針對正在流行的勒索軟體釣魚郵件變化模式進行對應的更新 – 例如與 WannaCry 同期爆發的勒索病毒「Jaff」,也針對 WannaCry 2月至5月份相關樣本的特徵防護更新釋出至 SPAM SQR ,確保萬一 WannaCry 突然改變攻擊管道時, SPAM SQR 用戶仍能免於此勒索軟體的攻擊。
WannaCry 持續變種,未來是否會試圖透過釣魚郵件擴散直搗使用者認知漏洞,我們持續監控中,也發現利用CVE-2017-0199漏洞攻擊的惡意郵件近期有明顯增多的趨勢,提醒企業慎防。
標準應變措施中暗藏著新的隱憂
WannaCry事件除了因為是蠕蟲式的擴散造成短時間大範圍的感染外,更重要的是直接影響了終端用戶會接觸到的電腦相關設備,所以才會這麼有感。也因為這起事件,激起了一般民眾對於資安的重視。各方專家呼籲的標準應變措施包括了漏洞修補更新、病毒碼更新,以及重要檔案離線備份。因應這次事件所進行漏洞修補更新,預計可直接避免近期同樣被揭露的危險漏洞 (如:CVE-2017-0290)在短時間再度遭到大規模的利用。而檔案離線備份,固然是預防勒索軟體最終極的手段,但中華數位企業資料保護小組特別指出,在這波應變措施的程序背後,也隱藏著另一個隱憂:重要檔案備份。
在WannaCry來得又急又兇,兵荒馬亂的緊急外接硬碟備份動作,可能在企業無暇兼顧之下,意外大開方便之門,員工是否有遵守公司機關制定的備份策略?是否有機密外洩的可能?這些都是在WannCry事件後需要特別注意的。中華數位企業資料保護研究小組建議企業平時即應重視營業秘密管理規範與制度之落實,任何涉及公司智慧資產的電腦檔案資料備份作業,均應依循公司指定方式實施(非備份至個人私有儲存裝置),才可避免因任何突發資安事件的應變,反而導致企業重要資料外洩。
資安問題層不出窮,也不會有消滅的一天,透過資安管理策略的擬定,強化資安架構,企業才有機會在退潮之前掌握新的資安危機。