作為對(duì)WannaCry的緊急響應(yīng),微軟為那些已不再支持的Windows版本發(fā)布補(bǔ)丁。除了打補(bǔ)丁外,安全專業(yè)人士一直在研究制止感染的辦法。
英國(guó)研究者@MalwareTech(Marcus Hutchins,IT工程師)對(duì)該勒索病毒進(jìn)行了分析,發(fā)現(xiàn)惡意軟件中的命令和控制(C&C)域被硬編碼,并采用注冊(cè)域名的標(biāo)準(zhǔn)方法。這樣做打破了C&C連接,像緩解WannaCry勒索病毒的“kill-switch”一樣。
網(wǎng)絡(luò)安全公司Comae Technologies創(chuàng)始人Matt Suiche發(fā)現(xiàn)一個(gè)WannaCry勒索病毒變體。Suiche指出,將域注冊(cè)為“kill-switch”只是一個(gè)臨時(shí)措施,因?yàn)樵摾账鞑《局蟮淖凅w可以更改域名,并且還包括不具有硬編碼C&C域的WannaCry惡意軟件的變體。
有專家表示,應(yīng)遵循US-CERT1月份給出的建議,盡可能禁用SMBv1、阻斷445端口以阻止WannaCry勒索病毒的傳播。
數(shù)據(jù)安全軟件公司Varonis技術(shù)人員Brian Vecci表示:“如果有補(bǔ)丁可用,要盡快打補(bǔ)丁。”Vecci表示:“系統(tǒng)漏洞這個(gè)問題一直都存在,打補(bǔ)丁是一種防御方式,但不是唯一的。禁用SMBv1并阻斷相關(guān)端口是應(yīng)對(duì)這種攻擊的基本的安全程序(如修補(bǔ)和關(guān)閉舊協(xié)議),這有助于防止這種攻擊帶來的損害”。
IT自動(dòng)化和集成公司Ivanti首席工程師Duncan McAlynn表示,禁用SMBv1是“最顯而易見的做法”。McAlynn表示:“這比修改注冊(cè)表要有效。對(duì)于InfoSec將采取的其他防御措施,企業(yè)持審慎態(tài)度。“類似這種‘深度防御措施’將包括應(yīng)用程序白名單、設(shè)備控制、下一代防火墻以及后期威脅檢測(cè)等解決方案。”
云安全公司AvePoint首席合規(guī)和風(fēng)險(xiǎn)官Dana Simberkoff表示,后續(xù)針對(duì)WannaCry勒索病毒等攻擊的安全措施一定不要忘了“持續(xù)的員工教育”。
Simberkoff表示:“這種教育絕非一年一度的培訓(xùn)課程,而是普遍存在于整個(gè)企業(yè)文化中。在沒有安全教育或經(jīng)驗(yàn)的情況下,人們很容易做出不正確的安全決策。這意味著系統(tǒng)需要安全易用,對(duì)員工的教育應(yīng)包括:有關(guān)修補(bǔ)操作系統(tǒng)的重要性的信息、未修補(bǔ)系統(tǒng)與漏洞之間的直接聯(lián)系等。”
京公網(wǎng)安備 11010502049343號(hào)