勒索病毒暴露杀毒软件“软肋”,是时候听听英国安全厂商Sophos怎么说!

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

【51CTO.com原创稿件】5月12日晚上8点开始肆虐的“蠕虫”式勒索病毒软件攻击事件仍在持续发酵,虽然5月15日工作日第一天并没有爆发预期中的攻击高峰,但是该勒索软件还在传播,攻击范围仍在缓慢扩散。

记者发现,目前网络安全厂商应对措施主要分为两种,一种是下载微软补丁,更新病毒库,例如金山安全软件、360、Mcafee纷纷更新病毒库,有的还提供了修复工具;另一种是利用防火墙端口控制,将445端口隔离,例如亚信安全、赛门铁克,就采取封堵端口,有的还采取加装IPS措施。

不可否认,这些措施是有效果的,“WannaCry”勒索软件没有在周一发生更大规模爆发,与安全厂商提供的这些补救措施有莫大关系。但是我们也必须看到,正是这次“蠕虫”式勒索病毒软件攻击事件,暴露出传统杀毒软件的软肋——永远慢人一步,只能被动防御。

记者第一时间想到了Sophos 公司,这家有着30 年防病毒和网络防护经验的老牌安全厂商,2年前曾在全球推出首款反勒索软件产品。那么Sophos的反勒索软件经受住本次考验了吗?他们采取的安全措施与其他安全厂商有何不同?Sophos的安全策划是否可以为其他安全厂商所借鉴?记者采访了Sophos中国总经理钟明辉、高级工程师李黎,请他们分享了对本次事件的观点与深度思考。

钟明辉

Sophos中国总经理钟明辉

钟明辉告诉记者,就目前中国市场而言,凡是部署了Sophos反勒索软件产品的用户,目前没有被勒索软件攻击的反馈。

为什么WannaCry会攻击成功?

人们现在已经了解,WannaCry 勒索软件是利用了微软在445 端口的MS17-010漏洞传播扩散的。然而,就在今年3月,微软已经发布了该漏洞的补丁,那么在大多数企业都已经部署了安全产品的现状下,为什么勒索软件还是能成功进入?

高级工程师李黎认为成功进入的最主要的原因是,攻击者成功地使用了钓鱼邮件,利用社会工程学方式,勒索软件从这个途径进入内部网络。

其次,本次勒索软件,与以往勒索软件不同,其嵌套了一个黑客攻击工具,利用微软操作系统445端口漏洞,从被感染主机对内部其他主机进行了蠕虫式传播。内部的不同网络通讯区域间,没有屏蔽掉用于内部网络共享的445端口,防火墙策略形同虚设,而且操作系统补丁更新不及时。虽然不少企业IT管理员已经认识到及时更新补丁的重要性,但是打补丁后的系统稳定性,业务可用性都需要时间与精力去评估,因此打补丁执行力度上大打折扣。因此,综合因素混杂在一起,就出现了用户内网被大规模攻陷的情况。

第三, 缺乏先进的预见性防御技术。勒索软件的出现暴露了传统杀毒软件的“软肋”,勒索软件不是传统的病毒,而是有针对性的恶意程序,并开始借助黑客工具、利用系统高危漏洞来快速传播。这是非常典型的零日威胁攻击。

为什么Sophos能防得住?

记者了解到,Sophos这款反勒索软件产品叫做Sophos Intercept X,正如钟明辉所言,已经部署这款产品的用户,无需做任何操作即可抵御WannaCry的攻击。为什么Sophos Intercept X可以做到主动防御零日威胁呢?

据李黎介绍,Intercept X是Sophos 下一代端点安全解决方案之一,主要功能就是阻止未知的零日威胁攻击。有别于传统的防病毒软件,Sophos Intercept X不需要病毒库的支撑,而是分析程序对已知漏洞技术的使用和其自身的行为,例如分析可疑程序的复杂加密行为,并迅速阻止该行为。

面对当今千变万化的勒索软件的攻击,Intercept X可以阻止勒索软件对文件的持续加密。通过独特的技术在文件遭受加密前,自动创建文件副本,如文件已被加密,则会还原被加密的文件。用户没有任何损失。

李黎告诉记者,虽然目前这款WannaCry软件已经出现了近20余个变种,但是万变不离其宗,所有勒索软件都离不开最终对文件的破坏这一行为。Intercept X就是抓住这个特征,结合独有的高级行为分析引擎,只要发现程序行为异常,就立即阻断。除此之外,Intercept X还有阻止漏洞技术被利用功能,可以阻止恶意软件利用漏洞技术进行入侵。“我们的软件还会自动进行根源分析,帮助用户真正了解威胁是从哪里来,到哪里去,干了什么事,实现从开始到结束可视化攻击链的呈现。解决管理员亡羊不知如何补牢的现状。”

记者获悉,英国剑桥郡的金博尔顿学校在经历耗时的勒索软件攻击后安装了 Intercept X,现在Intercept X 的 CryptoGuard 技术每天可以找出约 200 次的勒索软件攻击意图,并将其拦截。该学校IT技术人员Alex Bradshaw表示,Intercept X让他从繁重安全运维操作中解脱出来,每天有更多的时间投入到日常工作中。

在攻击中反思

钟明辉告诉记者,针对本次勒索软件事件的高发区之一——英国医疗系统,Sophos已经发布了一条免费服务来解决这个问题。英国政府也在第一时间发布规定,要求企业除了安装杀毒软件以外,还要安装反勒索软件。

他指出,本次攻击事件从另外一个角度而言,也带来了很多反思,不论对客户还是安全厂商,都面临同样的问题:倘若下一次再发生一次零日威胁攻击,还防得住吗?现有的安全架构,是否存在纰漏?安全策略能否需要调整?有没有比打补丁更好的解决办法?

钟明辉认为,虽然本次勒索软件攻击事件给全球的企业带来了巨大的损失,但是从损失里可以汲取教训,相信很多人已经意识到,提升安全意识不应该是为了应付而作。“如果一名IT从业者,没有把安全当做所有工作的重要基础,那一定会有问题的。”他强调,安全是整个IT非常重要一环,不是被动的,而是主动的。

曾经很多人认为查杀病毒是一项非常虚无的工作,看不见摸不着,但是这次数额不小的比特币勒索,让很多客户突然意识到安全的价值,也开始寻求更高效的安全技术产品。

Sophos的安全产品之所以能够做到快人一步,和他们始终追求新的安全防护技术这一发展策略不无关系。他们最早提出“同步安全”的理念,在几年前就做到端点和防火墙之间的联动,实现从网络边界到内网端点的立体化防护。今年二月,Sophos 还收购一家具有前瞻性的新一代恶意软件防护厂商Invincea, 透过新一代机器学习技术,用于研究如何高效追踪、查杀病毒及恶意程序。“我们愿意将新的技术带给客户,传递更先进的安全理念,给客户更好的选择。”

采访的最后,钟明辉表示,他希望越来越多的企业用户意识到,安全应该是网络架构初期就开始设计考虑的重要因素,一旦前期没有意识到安全的重要性,那么后期作为补充被部署到网络中,就难免出现漏洞,为人所趁。“安全需要规划,这个阶段越提前效果越好。”

作者:周雪
来源:51CTO

相关文章
|
安全
骇客宣称已入侵多家认证机构 波及微软、谷歌
今年3月入侵Comodo凭证机构的伊朗黑客ComodoHacker宣布,他入侵的凭证机构包括DigiNotar、StartCom与 GlobalSign在内。 今年3月入侵Comodo凭证机构的伊朗黑客ComodoHacker本周透过Pastebin宣布,他不但是骇进Comodo的元凶,也入侵其他4家高知名度的凭证机构,包括DigiNotar、StartCom与GlobalSign在内。
958 0
|
安全
关于网络谣言“杀毒软件厂商制造病毒”的严正声明
2010年12月1日,北京瑞星公司发现360公司员工王翌在其新浪微博发表了"瑞星、某山等传统杀毒软件自制病毒也不是新闻"文章及相关评论。北京瑞星公司认为,王翌博文及其博文评论中关于瑞星公司部分的文字,系作者捏造之事实,给瑞星公司的名誉以及商业信誉造成了严重的损害。
1034 0
|
安全 数据安全/隐私保护
又一重大漏洞现身 “疯怪”危及世界互联网安全
本文讲的是又一重大漏洞现身 “疯怪”危及世界互联网安全,安全专家警告,一个潜伏多年的安全漏洞将危及计算机与网页间的加密连接,导致苹果和谷歌产品的用户在访问数十万网站时遭到攻击,包括白宫、国家安全局和联邦调查局的网站,并危及世界互联网安全。
1231 0
|
安全 网络安全 数据安全/隐私保护