WannaCry勒索軟件感染了數千臺Windows電腦,這是對安全軟件的重要性的清醒的提醒,尤其當重要的漏洞有了補丁之后。雖然讓受感染的公司蒙羞很容易,但是專家說微積分比這難多了。不管怎樣,專家認為WannaCry已經足夠嚴重,值得立即打補丁。
快速摘要:黑客放出惡意軟件在電腦間傳播,通過加密數據讓電腦癱瘓,然后要求300美金的解鎖費。這個用EternalBlue服務器信息塊蠕蟲創建的勒索軟件是黑客從國際安全局偷來的,影響了運行Windows 7和Windows XP的電腦。
微軟于3月14日發布了阻止WannaCry的安全更新。微軟整個周末都在為2014年就停止支持的Windows XP發布了類似的補丁。但WannaCry的傳播速度太快了,跨越150個國家的聯邦快遞,雷諾,英國國民健康服務(NAS)和其它機構有超過200000臺電腦被這個勒索軟件感染。WannaCry表明更大范圍的攻擊開始了,因為該勒索軟件的變種已經在周一影響到一些電腦了。
打不打補丁
該消息讓IT部門陷入混亂。首席信息官和首席信息安全官們爭先恐后地減輕破壞,到底要不要打補丁的決策是一個值得企業探索的過程。
網絡安全公司Carbon Black的首席技術官,前國家安全局分析師Mike Viscuso說IT部門的團隊按月或按季度為數十甚至數百個他們內部部署的應用打補丁或進行升級。在補丁出來之前,IT部門會進行回歸測試以確保他們的定制軟件仍然運行新代碼。
微軟的區域負責人Troy Hunt在Pfizer對多個操作系統和瀏覽器進行升級,他說補丁最痛苦最昂貴的部分是確保與現有軟件的兼容性。
Hunt在他的博客里寫道:“我記得的最后一個補丁是關于Internet Explore的升級,修正機構里非功能的網頁應用的成本高達七位數。機構應該積極主動地監視,測試和推出這些補丁。這并不好玩,它很燒錢并且它仍然會打破其它依賴性,但是另一種選擇很可能導致像英國國民健康服務(NHS)那樣的結果,甚至更糟。”
Viscuso說無法測試出補丁的不兼容性是很危險的。比如說,如果一家金融服務公司在進行升級時破壞了一個重要的高速交易應用,它必須關閉應用并修復代碼,停機時間可能會讓公司遭受數以百萬計的損失。
順得哥情失嫂意...
但是不能及時打補丁也會招致風險
當供應商在正常的補丁周期外發布一個補丁,就像微軟那樣在3月14日發布MS17-010,它打亂了公司的IT和業務流程制定的步伐。Viscuso說很多公司一直等到下一個周期才推出一些東西。這就是為什么有這么多公司受到了WannaCry的影響,他們在微軟發布升級的時候還沒有打補丁。
安全軟件制造商邁克菲的首席技術官Steve Grobman說為WannaCry漏洞打上補丁是不用動腦筋的事兒,但它也提出了一定的挑戰,因為它可以被遠程利用。只要連上網絡就有可能引入威脅。
但因為這個補丁是處理服務器信息塊的,而服務器信息塊是操作系統啟用文件共享的部分,所以在打補丁期間破壞應用的可能性是很高的。Grobman說這種風險對于有大量舊應用的機構來說尤其高,其中一些舊應用可能有20年甚至是幾十年歷史了,它們的開發者可能已經故去。故此很多公司就是選擇不打補丁。
“當他們去工作時把壺留在爐具上而很多年一直都沒出事。”Grobman如是說。“當你做危險的行為時僅僅是因為壞事沒有發生,但這并不意味著危險的事情不會發生。”
Grobman希望首席執行官們重新調整他們的IT過程,采取更激進的方法打補丁。當Shadow Brokers的黑客團隊聲稱從國家安全局偷了EternalBlue和其它的漏洞利用并楊言會盜取更多漏洞利用時這個就顯得尤為重要。
但是,Carbon Black的Viscuso說隨著每年大約5000多個漏洞的出現,讓首席技術官為所有的漏洞打上補丁是不可能的。他說首席技術官必須把那些對企業構成最大威脅的漏洞分級,測試它們并制定升級計劃。
給首席信息官的訊息:時常保持你的工作電腦升級到最新補丁并在必要時打應急補丁。確保電腦運行在當前操作系統并管理你的殺毒軟件。每晚備份電腦和服務器,這樣的話即便勒索軟件真的入侵了你的網絡,你也可以快速恢復資源。
京公網安備 11010502049343號