退潮之后，才知道誰在裸泳

—— 事件發生了，才知道哪里暗藏信息安全危機

大約在2017/5/12這個時間點，全球開始遭受到一波嚴重的 WannaCrypt0r (亦簡稱為WannaCry、WanaCry) 勒索軟件攻擊。其實，此次利用的漏洞微軟早在 2017/3/14 發布了 MS17-010 Patch 的更新程序，時隔兩個月，為何仍造成全球如此大的沖擊?

不外乎是信息安全相關措施沒有完全落實，恰好驗證了巴菲特所說：“只有退潮的時候，你才知道誰在裸泳”，事件發生了，才知道哪里沒有做好、哪里暗藏信息安全危機，但這需要付出慘痛的代價。信息安全措施沒有完全落實的原因，不見得是考慮不周或是人員怠惰，本次事件受到攻擊的系統，多半沒有開啟Windows Update 的自動更新功能。

而細究不開啟更新的主要原因包括：

使用了盜版的 Windows 不敢更新;

使用了會關閉自動更新的計算機軟件;

合法的 Windows 7 用戶或管理員擔心 Windows 更新會自動升級到 Windows 10 帶來非預期的問題，而將更新關閉;

用戶的自動更新功能故障無法處理，卻沒有請專業人員協助解決問題。

本次事件發生后大約三日， WannaCry 的感染擴散問題已受到有效控制，對事件的關注也慢慢從探求如何處理，轉變成思考如何預防及攻擊者的來源、目的。而最讓人想問的不外乎會不會再有下一波?這個攻擊有沒有可能循經典的勒索軟件經典的釣魚郵件模式進行擴散?

系統漏洞易補，認知漏洞難防

先將目光從 WannaCry 移開，思考一下，信息安全事件特別嚴重的是否只有這一起?這次的事件是否影響深遠?系統的漏洞是否是最危險的?事實上，信息安全事件分分秒秒都在發生，較 WannaCry 更嚴重的事件，如 APT 偷偷攻擊某些國家的關鍵基礎設施;較 WannaCry 影響更深遠的事件，如專門攻擊 IoT 的惡意軟件Mirai 原始碼被公開;而利用漏洞的攻擊多半都有特效藥，只要能正確的更新安全性修正，問題都能瞬間被控制住或彌平。但通過電子郵件發動的攻擊，直搗受害者的「認知漏洞」則沒有特效藥，仍然持續流行，且防不勝防。

雖然目前還沒有發現這幾波WannaCry通過電子郵件管道擴散的確切案例或證據，但在WannaCry事件剛爆發時，Softnext守內安與 ASRC 研究中心除了針對正在流行的勒索軟件釣魚郵件變化模式進行對應的更新 - 例如與 WannaCry 同期爆發的勒索病毒「Jaff」，也針對 WannaCry 2月至5月份相關樣本的特征防護更新發布至 SPAM SQR ，確保萬一 WannaCry 突然改變攻擊管道時， SPAM SQR 用戶仍能免于此勒索軟件的攻擊。

WannaCry 持續變種，未來是否會試圖通過釣魚郵件擴散直搗用戶認知漏洞，我們持續監控中，也發現利用CVE-2017-0199漏洞攻擊的惡意郵件近期有明顯增多的趨勢，提醒企業慎防。

標準應變措施中 暗藏著新隱憂

WannaCry事件除了因為是蠕蟲式的擴散造成短時間大范圍的感染外，更重要的是直接影響了終端用戶會接觸到的計算機相關設備，所以才會這么有感。也因為這起事件，激起了一般民眾對于信息安全的重視。各方專家呼吁的標準應變措施包括了漏洞修補更新、病毒特征更新，以及重要文檔脫機備份。因應這次事件所進行漏洞修補更新，預計可直接避免近期同樣被揭露的危險漏洞 (如：CVE-2017-0290)在短時間再度遭到大規模的利用。而文檔脫機備份，固然是預防勒索軟件最終極的手段，但Softnext守內安企業數據安全保護小組特別指出，在這波應變措施的程序背后，也隱藏著另一個隱憂：重要文件備份。

在WannaCry來得又急又兇，兵荒馬亂的緊急外接硬盤備份動作，可能在企業無暇兼顧之下，意外大開方便之門，員工是否有遵守公司機關制定的備份策略?是否有機密外泄的可能?這些都是在WannaCry事件后需要特別注意的。

Softnext守內安企業數據安全保護小組建議：企業平時即應重視數據安全管理規范與制度之落實，任何涉及公司智能資產的計算機文檔數據備份作業，均應依循公司指定方式實施(非備份至個人私有儲存設備)，才可避免因任何突發信息安全事件的應變，反而導致企業重要數據外泄。

信息安全問題層出不窮，也不會有消滅的一天，通過信息安全管理策略的擬定，強化信息安全架構，企業才有機會在退潮之前掌握新的信息安全危機。

關于WannaCry造成的沖擊

2017年5月中旬，全球開始遭受到一波嚴重的 WannaCrypt0r (亦簡稱為WannaCry、WanaCry) 勒索軟件攻擊，此勒索軟件結合外泄美國 NSA(美國國安局) 攻擊武器 EternalBlue 與 DOUBLEPUSLAR，利用了 Windows 系統的 SMB v1 漏洞，主動搜尋開啟 445 Port 的機器來進行蠕蟲式的散播。未修補此漏洞之 Windows 系統在感染后，特定文檔會遭到加密，加密過后的文檔會被改為 .WNCRY 擴展名，若是受害者想要解密文檔，則需要支付 300 美金價值的比特幣贖金給攻擊者。 WannaCry 造成全球150個國家、20萬臺電腦淪陷，成為史上最嚴重的勒索軟件災難。

關于病毒郵件防御

Softnext守內安 郵件安全網關(高性能郵件威脅防御系統HMDS)除整合多重防毒引擎外，亦建立了自動病毒指紋機制，強化整體更新的速度。并引用 ASRC 病毒特征，讓程序自動解壓文檔后，再進行掃描分析，可進一步發覺隱藏的邏輯混淆特征，有效應對同種變異的病毒郵件。

關于信息安全架構強化服務

Softnext守內安致力于協助企業數據安全管理制度的建立，輔以 ISO27001、弱點掃描服務偵測威脅，并通過符合 OWASP、NIST SP 800-115 的滲透測試指南來檢查漏洞，持續協助信息系統安全修補、套件管理、安全參數設置等強化工作，也將陸續展開。

關于Softnext 守內安:

作為大中華區的郵件安全市場領導者，已有四成福布斯十佳CEO企業選擇的郵件安全管理應用——Softnext守內安，憑借在網絡內容安全應用領域十多年的深入鉆研，致力于郵件安全以及網絡內容的風險管控，提供面向市場、面向客戶的最新威脅防御的網絡安全產品，到威脅防御與聯合防御體系，并成功拓展到SaaS云端防御領域，轉型云端安全防護服務商，為云計算服務商提供云端安全防御，加固安全縱橫防御體系;同時，亦成為阿里云郵生態合作伙伴;秉承“服務 品質 值得信賴”的全新品牌理念，在FROST &SULLIVAN(全球知名市調公司)大中華區調研中，除了成為連續五年復合業績成長率第一名的質優企業。

作為郵件風險管理和信息安全內控管理服務的專業研發廠商，Softnext守內安立于本土，深入的本土化耕耘，相繼獲頒【中國軟件和信息技術服務業最有價值品牌】和【品牌建設卓越團獎隊】，郵件安全三劍客連續三年蟬聯【上海市優秀軟件產品獎】，并獲得Frost &Sullivan授予【年度郵件內容安全服務提供商】的殊榮，并在品牌建設上，屢獲軟件和信息技術服務業【最有價值品牌獎】。

了解更多內容安全信息，歡迎關注Softnext守內安官方微信：~