自5月12日開始��,全球多個(gè)國(guó)家發(fā)生了一起大規(guī)模信息安全攻擊事件,一種名為WannaCry2的“勒索病毒”軟件, 利用Windows系統(tǒng)漏洞入侵全球多個(gè)國(guó)家的高校內(nèi)網(wǎng)���、政府機(jī)構(gòu)專網(wǎng)���、金融機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)等����,導(dǎo)致了數(shù)萬(wàn)臺(tái)計(jì)算機(jī)癱瘓。
什么是WannaCry2勒索病毒�����?
WannaCry2勒索病毒是一種快速傳播的網(wǎng)絡(luò)攻擊病毒��,以偷竊用戶數(shù)據(jù)并用其對(duì)用戶進(jìn)行勒索或敲詐的犯罪手段���,在今年3月份首次被探測(cè)到����,該攻擊一開始看似普通釣魚攻擊方式,也就是用戶點(diǎn)擊有問題的鏈接���,激活了隱藏的惡意軟件并控制用戶設(shè)備��,WannaCry2利用并激活公開的Windows操作系統(tǒng)漏洞�,從一臺(tái)工作站高速傳播到整個(gè)網(wǎng)絡(luò)����。因此該攻擊不像普通釣魚攻擊一次僅僅攻擊一個(gè)用戶的系統(tǒng),而是“以一對(duì)多”的傳播方式快速攻擊網(wǎng)絡(luò)上的多個(gè)用戶��。截止至今已經(jīng)影響了近100個(gè)國(guó)家�����,攻擊來源至今尚不得而知�,因此用戶需要盡快準(zhǔn)備應(yīng)對(duì)措施。
WannaCry2勒索病毒攻擊意味深長(zhǎng)
設(shè)計(jì)這種“以一對(duì)多”攻擊方式的影響非常深遠(yuǎn)���,全球組織需要理解這些攻擊的基本要素����,該勒索病毒本質(zhì)上采取了一種靠勒索獲取利益的策略��,但犯罪分子未來可能會(huì)采取新的策略和模式。例如���,他們可以利用微軟漏洞以一對(duì)多攻擊模式偷竊個(gè)人敏感數(shù)據(jù)或植入遠(yuǎn)程訪問木馬病毒�,進(jìn)行更多破壞�。
對(duì)IBM安全軟件客戶的影響
針對(duì)此波攻擊,安全研究團(tuán)隊(duì)就已經(jīng)幫助IBM安全軟件用戶確保不受此類攻擊的影響��,其中IBM的終端管理產(chǎn)品在微軟發(fā)布當(dāng)天即3月14日發(fā)布了更新�,IBM入侵防御系統(tǒng)在4月20日發(fā)布更新特征庫(kù),更新后的產(chǎn)品具有對(duì)該漏洞的防御能力���。因此�����,IBM自身的系統(tǒng)和使用IBM入侵防御系統(tǒng)以及通過IBM終端管理產(chǎn)品更新了補(bǔ)丁的用戶并未遭到此波病毒的入侵。
對(duì)于以后類似的勒索病毒軟件���,甚至利用未知漏洞和其它方式進(jìn)行攻擊的勒索軟件�����,IBM的安全免疫系統(tǒng)(SIEM + Endpoint)可以實(shí)施檢測(cè)并加以阻斷�,可以防止用戶遭受侵害。如下圖所示:
IBM的SIEM平臺(tái)Qradar和終端管理平臺(tái)BigFix���,可以很好的完成從更新補(bǔ)丁�、異常告警到隔離終端等一系列工作���,針對(duì)此類攻擊提供快速有效的響應(yīng)��。
非IBM安全軟件用戶建議
非IBM用戶除了盡快更新Windows系統(tǒng)相關(guān)補(bǔ)丁外�,也可利用X-ForceExchange安全情報(bào)平臺(tái)獲得最新的安全信息���。X-Force Exchange安全情報(bào)平臺(tái)在漏洞披露當(dāng)天即發(fā)布了漏洞警告����,提醒用戶升級(jí)相關(guān)補(bǔ)?��?����;在攻擊爆發(fā)當(dāng)天即發(fā)布預(yù)警�,提醒用戶應(yīng)對(duì)其進(jìn)行足夠的重視��,積極應(yīng)對(duì)。并且除了公布漏洞和攻擊消息�����,X-Force Exchange安全情報(bào)平臺(tái)還提供了用于防御的Snort規(guī)則���、此波攻擊主要IP�、已發(fā)現(xiàn)惡意軟件哈希值等多項(xiàng)重要信息��,便于用戶進(jìn)行自查和防御�����。
給所有企業(yè)的防護(hù)行動(dòng)建議
企業(yè)級(jí)客戶可以采取下面的步驟防范此類攻擊�����,或者現(xiàn)在就尋求幫助:
•立刻對(duì)系統(tǒng)打補(bǔ)丁以阻止攻擊��。例如�����,IBM的 BigFix 解決方案幾個(gè)星期以前就可以自動(dòng)部署防范WannaCry2的補(bǔ)丁包��。
•部署安全情報(bào)系統(tǒng)以及時(shí)探測(cè)攻擊�����,例如Watson for Cyber Security��。
•與企業(yè)安全團(tuán)隊(duì)一起開發(fā)應(yīng)急響應(yīng)手冊(cè), 以便在受到攻擊時(shí)快速進(jìn)行響應(yīng)和應(yīng)對(duì)�。
•確保您的雇員、供應(yīng)商以及其他與您公司有業(yè)務(wù)往來的相關(guān)方得到日常安全培訓(xùn)�����,例如如何發(fā)現(xiàn)可疑郵件(有可能藏有釣魚鏈接)��。
•參考X-Force Ransomware Response Guide (X-Force專門針對(duì)勒索惡意軟件的指南)來評(píng)估組織是否準(zhǔn)備好應(yīng)對(duì)此類攻擊���。
•跟蹤X-ForceExchange (X-Force 情報(bào)共享平臺(tái))的最新發(fā)布內(nèi)容以及網(wǎng)站SecurityIntelligence.com
歡迎聯(lián)系寶通集團(tuán)咨詢IBM產(chǎn)品信息
寶通集團(tuán)聯(lián)系方式
咨詢熱線:400-830-0107
寶通官網(wǎng):www.bjshst.cn
客戶垂詢郵箱:Customer@ex-channel.com
客戶垂詢QQ:1305742380
地址:深圳市福田區(qū)深南大道1006號(hào)國(guó)際創(chuàng)新中心C座11樓
郵編:518026
當(dāng)前位置:
