勒索病毒暴露杀毒软件“软肋”,是时候听听英国安全厂商Sophos怎么说!

原创
安全
本次攻击事件从另外一个角度而言,也带来了很多反思,不论对客户还是安全厂商,都面临同样的问题:倘若下一次再发生一次零日威胁攻击,还防得住吗?现有的安全架构,是否存在纰漏?安全策略能否需要调整?有没有比打补丁更好的解决办法?

【51CTO.com原创稿件】5月12日晚上8点开始肆虐的“蠕虫”式勒索病毒软件攻击事件仍在持续发酵,虽然5月15日工作日第一天并没有爆发预期中的攻击高峰,但是该勒索软件还在传播,攻击范围仍在缓慢扩散。

  记者发现,目前网络安全厂商应对措施主要分为两种,一种是下载微软补丁,更新病毒库,例如金山安全软件、360、Mcafee纷纷更新病毒库,有的还提供了修复工具;另一种是利用防火墙端口控制,将445端口隔离,例如亚信安全、赛门铁克,就采取封堵端口,有的还采取加装IPS措施。

  不可否认,这些措施是有效果的,“WannaCry”勒索软件没有在周一发生更大规模爆发,与安全厂商提供的这些补救措施有莫大关系。但是我们也必须看到,正是这次“蠕虫”式勒索病毒软件攻击事件,暴露出传统杀毒软件的软肋——永远慢人一步,只能被动防御。

  记者第一时间想到了Sophos 公司,这家有着30 年防病毒和网络防护经验的老牌安全厂商,2年前曾在全球推出首款反勒索软件产品。那么Sophos的反勒索软件经受住本次考验了吗?他们采取的安全措施与其他安全厂商有何不同?Sophos的安全策划是否可以为其他安全厂商所借鉴?记者采访了Sophos中国总经理钟明辉、高级工程师李黎,请他们分享了对本次事件的观点与深度思考。

[[191474]]

Sophos中国总经理钟明辉

  钟明辉告诉记者,就目前中国市场而言,凡是部署了Sophos反勒索软件产品的用户,目前没有被勒索软件攻击的反馈。

  为什么WannaCry会攻击成功?

  人们现在已经了解,WannaCry 勒索软件是利用了微软在445 端口的MS17-010漏洞传播扩散的。然而,就在今年3月,微软已经发布了该漏洞的补丁,那么在大多数企业都已经部署了安全产品的现状下,为什么勒索软件还是能成功进入?

  高级工程师李黎认为成功进入的最主要的原因是,攻击者成功地使用了钓鱼邮件,利用社会工程学方式,勒索软件从这个途径进入内部网络。

  其次,本次勒索软件,与以往勒索软件不同,其嵌套了一个黑客攻击工具,利用微软操作系统445端口漏洞,从被感染主机对内部其他主机进行了蠕虫式传播。内部的不同网络通讯区域间,没有屏蔽掉用于内部网络共享的445端口,防火墙策略形同虚设,而且操作系统补丁更新不及时。虽然不少企业IT管理员已经认识到及时更新补丁的重要性,但是打补丁后的系统稳定性,业务可用性都需要时间与精力去评估,因此打补丁执行力度上大打折扣。因此,综合因素混杂在一起,就出现了用户内网被大规模攻陷的情况。

  第三, 缺乏先进的预见性防御技术。勒索软件的出现暴露了传统杀毒软件的“软肋”,勒索软件不是传统的病毒,而是有针对性的恶意程序,并开始借助黑客工具、利用系统高危漏洞来快速传播。这是非常典型的零日威胁攻击。

  为什么Sophos能防得住?

  记者了解到,Sophos这款反勒索软件产品叫做Sophos Intercept X,正如钟明辉所言,已经部署这款产品的用户,无需做任何操作即可抵御WannaCry的攻击。为什么Sophos Intercept X可以做到主动防御零日威胁呢?

  据李黎介绍,Intercept X是Sophos 下一代端点安全解决方案之一,主要功能就是阻止未知的零日威胁攻击。有别于传统的防病毒软件,Sophos Intercept X不需要病毒库的支撑,而是分析程序对已知漏洞技术的使用和其自身的行为,例如分析可疑程序的复杂加密行为,并迅速阻止该行为。

  面对当今千变万化的勒索软件的攻击,Intercept X可以阻止勒索软件对文件的持续加密。通过独特的技术在文件遭受加密前,自动创建文件副本,如文件已被加密,则会还原被加密的文件。用户没有任何损失。

  李黎告诉记者,虽然目前这款WannaCry软件已经出现了近20余个变种,但是万变不离其宗,所有勒索软件都离不开最终对文件的破坏这一行为。Intercept X就是抓住这个特征,结合独有的高级行为分析引擎,只要发现程序行为异常,就立即阻断。除此之外,Intercept X还有阻止漏洞技术被利用功能,可以阻止恶意软件利用漏洞技术进行入侵。“我们的软件还会自动进行根源分析,帮助用户真正了解威胁是从哪里来,到哪里去,干了什么事,实现从开始到结束可视化攻击链的呈现。解决管理员亡羊不知如何补牢的现状。”

  记者获悉,英国剑桥郡的金博尔顿学校在经历耗时的勒索软件攻击后安装了 Intercept X,现在Intercept X 的 CryptoGuard 技术每天可以找出约 200 次的勒索软件攻击意图,并将其拦截。该学校IT技术人员Alex Bradshaw表示,Intercept X让他从繁重安全运维操作中解脱出来,每天有更多的时间投入到日常工作中。

  在攻击中反思

  钟明辉告诉记者,针对本次勒索软件事件的高发区之一——英国医疗系统,Sophos已经发布了一条免费服务来解决这个问题。英国政府也在第一时间发布规定,要求企业除了安装杀毒软件以外,还要安装反勒索软件。

  他指出,本次攻击事件从另外一个角度而言,也带来了很多反思,不论对客户还是安全厂商,都面临同样的问题:倘若下一次再发生一次零日威胁攻击,还防得住吗?现有的安全架构,是否存在纰漏?安全策略能否需要调整?有没有比打补丁更好的解决办法?

  钟明辉认为,虽然本次勒索软件攻击事件给全球的企业带来了巨大的损失,但是从损失里可以汲取教训,相信很多人已经意识到,提升安全意识不应该是为了应付而作。“如果一名IT从业者,没有把安全当做所有工作的重要基础,那一定会有问题的。”他强调,安全是整个IT非常重要一环,不是被动的,而是主动的。

  曾经很多人认为查杀病毒是一项非常虚无的工作,看不见摸不着,但是这次数额不小的比特币勒索,让很多客户突然意识到安全的价值,也开始寻求更高效的安全技术产品。

  Sophos的安全产品之所以能够做到快人一步,和他们始终追求新的安全防护技术这一发展策略不无关系。他们最早提出“同步安全”的理念,在几年前就做到端点和防火墙之间的联动,实现从网络边界到内网端点的立体化防护。今年二月,Sophos 还收购一家具有前瞻性的新一代恶意软件防护厂商Invincea, 透过新一代机器学习技术,用于研究如何高效追踪、查杀病毒及恶意程序。“我们愿意将新的技术带给客户,传递更先进的安全理念,给客户更好的选择。”

  采访的最后,钟明辉表示,他希望越来越多的企业用户意识到,安全应该是网络架构初期就开始设计考虑的重要因素,一旦前期没有意识到安全的重要性,那么后期作为补充被部署到网络中,就难免出现漏洞,为人所趁。“安全需要规划,这个阶段越提前效果越好。”

【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】

责任编辑:周雪 来源: 51CTO
相关推荐

2010-11-10 15:35:42

2018-08-16 14:28:34

2009-11-09 11:59:27

2021-11-09 10:41:34

数字化转型IT技术

2018-01-05 10:48:54

混合云尚阳科技IDC

2010-08-26 15:38:31

2009-10-30 09:45:20

2010-12-02 10:24:37

瑞星

2013-01-07 11:19:30

2019-01-09 08:42:18

2009-08-10 16:01:06

2009-10-28 10:15:51

杀毒软件病毒批处理

2009-08-30 21:31:32

2013-01-08 10:41:01

杀毒软件国产国外

2017-05-16 17:21:07

2018-10-15 10:27:44

云桌面

2010-11-02 20:56:10

2009-09-18 18:03:05

2012-06-05 09:55:01

2016-05-12 21:49:28

点赞
收藏

51CTO技术栈公众号