Patch

  • 已知漏洞才是遭駭大宗 資安莫再捨薪輿而逐秋毫

    零時差攻擊沒你想的普遍 快調整安全弱點管理優先順序

    已知漏洞才是遭駭大宗 資安莫再捨薪輿而逐秋毫

    文章來源:網管人

    Craig Lawson、Kasey Panetta
     
    去(2017)年以來WannaCry和Petya勒索病毒攻擊事件肆虐全球,Equifax資料外洩事件也引發極大關注。要吸引媒體注意很容易,但這不應該是安全專業人士最應該擔心的威脅。

    安全漏洞遭到利用,至今仍是造成大多數資安缺口的根本原因,絕大多數的資料外洩事件都起源於漏洞遭到駭客利用,其中大部分的攻擊是來自於已知的漏洞,而非零時差攻擊(Zero Day Attack)。

    過去10年間,零時差漏洞在所有漏洞佔比中只有約0.4%,因偵測這類漏洞所花費的金錢,和它們真正產生的風險相比實在不成比例。

    相較之下,其實有大量的資料外洩與病毒感染事件,都來自少數不斷被重複利用的已知漏洞。

    這個道理就像人們總是擔心大白鯊的攻擊,而忽略了身形嬌小的蚊子一樣,蚊子每年都會害死數百萬人,而大白鯊每年殺死的人數卻跟遭受雷擊身亡的數字差不多。零時差攻擊確實存在,但對大多數的組織而言卻不算是最大的威脅。

    漏洞管理最大的問題在於,組織未能把修正和彌補被網路威脅來源鎖定的漏洞列為優先工作項目。

    組織必須針對最大的安全威脅,調整安全漏洞管理的優先順序。雖然Gartner觀察到安全威脅的手法正不斷進步,但大部分案例中,威脅來源都不會使用過於複雜的工具來進行攻擊,相反地,它們經常都是利用已知漏洞進行攻擊。

    提升安全性的方法並不只有投資新技術,正如近日大量出現的全球性資安事件所揭示的,更重要的是要打好基本功。組織只要加強一些基本的安全及風險相關網路使用習慣(hygiene),像是威脅導向漏洞管理、集中式日誌管理、內網隔離(Internal Network Segmentation)、備份與系統強化,就能大幅改善安全狀態。

    Gartner認為,在2020年底之前,遭入侵的安全漏洞中仍有99%都是安全及IT專業人員在事件發生時已知的問題。若能先處理好入侵和資料遺失的最主要原因,就能打好基礎來處理更難的問題。同時也不能停下推動改善漏洞管理專案的腳步,但更重要的是藉由阻擋最大的風險,也就是透過已知的公開漏洞來減少攻擊面(Attack Surface)。

    過去10年間,儘管資料外洩事件的數量增加而且更多的威脅出現,但遭到入侵的漏洞數量其實呈現逐年持平狀態。就本質上來說,有更多的安全威脅在利用同樣的少部分漏洞。

    組織的優先要務,就是把工作重點放在如何修補那些已知的公開漏洞,或具備能勝任相關修補任務的能力。這種方法能有效降低或預防風險,但目前只有極少數組織做到。這樣的工作優先順序,能降低需要處理的漏洞數量,代表企業可以花更多精力處理更少量的安全漏洞,為組織的安全性狀態帶來更大的好處。

    <本文作者Craig Lawson為Gartner研究副總裁、Kasey Panetta為Gartner品牌內容經理。>
  • WannaCry勒索病毒不相信眼淚,破局有四招!

    這是一次破壞性極強的黑客襲擊事件,病毒頃刻之間蔓延全球,爆發不到48小時,100多個國家和地區的企業紛紛中招,目前所知的波及國家數量已超150個,中招設備數量超過30萬台,沒錯,它就是讓人頭疼到想哭的WannaCry勒索病毒。

    WannaCry勒索病毒,有人歡喜有人愁

    WannaCry把中招的人搞得真心想哭。試想,打開電腦,你就有可能面臨著一筆300美元的比特幣「贖金」。雖然安全專家極力強調,不要繳納贖金以免助紂為虐,可不交的話,電腦中所有的重要資料便會丟失,為此讓人虐心。據統計,在事件爆發的第二天晚間,全球已有90人交付贖金,其後繳納贖金的人數上升至116人,而這一數字還在不斷上漲。

    大多數IT安全人員因為這次席捲全球的勒索攻擊事件而在周末忙得不可開交,有的忙著更新補丁,有的猶豫交贖金。而IBM內部尚未接到受感染的案例報告,因為IBM在4月份已通過BigFix向所管理的終端自動推送了此補丁。

    但千萬不要誤以為WannaCry攻擊風波已經平息,未來將還會有更多更新的勒索病毒軟體會利用類似漏洞開展新一波攻擊。作為近來最流行的在線威脅,勒索病毒軟體有時每天發生超過40,000次攻擊,並占攜帶惡意代碼的所有垃圾郵件的65%以上。

    據跟蹤垃圾郵件趨勢的IBM X-Force研究人員指出,2016年,勒索軟體垃圾郵件的增長速度達到了驚人的6000%,從2015年占垃圾郵件的0.6%已上升至2016年占垃圾郵件的平均40%,而2017年情況顯然只會更糟。面對如此嚴峻的安全形勢,唯有依託IBM安全免疫系統,未雨綢繆,方能無懼無憂。

    防範WannaCry勒索病毒攻擊的正確招式

    勒索病毒看似破壞力驚人,其實破解只需四大招!

    1. 補丁更新:公司需要確認是否及時安裝了最新補丁,在勒索病毒變種前對其加以遏制。
    2. 網路阻斷:對於為安裝補丁的系統來說,攔截機制是第二道防線。因此,公司必須確保安全軟體及網路攔擊技術已更新至最新版本。
    3. 即時監控:增設監控,通過數據反饋安全進展。
    4. 積極應對:公司應與IT安全團隊緊密協作,並制定受到感染後的應對策略。

    IBM WannaCry

    看了上面的防範四大招,我們來復原一下IBM安全解決方案為客戶保駕護航的全過程。其實,早在今年3月檢測出 Windows漏洞時,IBM X-Force 的安全研究人員就已做出應對,提醒用戶升級相關補丁;藉助 IBM 的 BigFix 安全補丁和 QRadar 網路保護技術,客戶可以對其數據進行妥善保護。此外,Watson for Cyber Security 能夠分析攻擊警告,並向客戶及託管安全運營中心反饋相關數據。

    其中IBM的終端管理產品在微軟補丁發布當天,即3月14日便發布了更新,IBM入侵防禦系統在4月20日發布更新特徵庫,更新後的產品具有對該漏洞的全面防禦能力。同時,對於其它非IBM用戶防護此病毒除了儘快更新Windows系統相關補丁外,也可利用IBM X-Force Exchange安全情報平台獲得最新的安全信息。X-Force Exchange安全情報平台在漏洞披露當天即發布了漏洞警告,提醒用戶升級相關補丁;除了公布漏洞和攻擊消息,X-Force Exchange安全情報平台還提供了用於防禦的Snort規則、此波攻擊主要IP、已發現惡意軟體哈希值等多項重要信息,便於用戶進行自查和防禦。

    基於四大招,IBM安全解決方案在此次網路安全攻擊中的應對策略如下:

    01補丁支持

    藉助BigFix Patch管理,確保能夠發現並報告所有終端設備的安全情況,儘可能讓受到感染的終端設備自動安裝補丁。並利用閉環驗證,確保補丁安裝成功。同時啟用所有終端設備的持續策略執行狀態,縮小受攻擊面。

    02網路阻斷

    藉助QRadar Network Security,在內部部署網路保護設備。確保進行IP信譽度評分及 URL 過濾,以自動攔截惡意站點存取。並確保網路保護的簽名及Firmware保持在最新版本。

    03即時監控

    通過QRadar Watson、X-Force Exchange與X-Force Malware Analysis的即時聯動,藉助X-Force獲得通用的關聯視圖,對安全分析相關日誌、網路流量及用戶行為進行優先排序,進一步部署網路安全設備,即時檢測惡意軟體及攻擊活動。同時,對使用基於雲的惡意軟體分析服務及自動發送/接收功能,以便快速識別威脅。並利用Watson認知功能打破結構化數據的局限,並將全球最新的研究洞察力運用到活躍威脅防禦之中。

    04積極應對

    實現ResilientBigFix與X-Force IRIS的多方聯動下的未雨綢繆,制定並測試意外事件響應計劃,確保人員、流程與技術的統一。同時確保 IR 流程的統一性、可靠性及合規性,而且可輕鬆予以改進。並在威脅傳播並造成更大危害之前識別、檢測、遏制並修復威脅。此外,通過諮詢具有豐富意外事件管理與安全智能經驗的專家,協助客戶渡過危機,並通過完整的 IR 統籌安排與自動化啟動決定性行動。

    可以看見,IBM的QRadar、X-Force與BigFix等安全產品在此次對於勒索病毒的防禦中各司其職又相互聯動,對安全隱患實施監測並予以阻斷,有效防止用戶遭受侵害。

    從WannaCry到Adylkuzz等層出不窮的勒索軟體,勒索病毒的進攻方式愈加隱蔽,危害更為嚴重,是時候給你的企業建立真正的安全免疫系統了。快快深入了解IBM安全解決方案,不等勒索找上門。