Wannacry勒索反思:別讓感冒成了絕癥
普通感冒這種小病,對(duì)人類來說已經(jīng)不構(gòu)成生命威脅,甚至可以說已經(jīng)是朝夕相處、稀松平常,怎么會(huì)成為絕癥呢?
這是一個(gè)常掛在嘴邊的段子:是艾滋病危險(xiǎn)還是感冒危險(xiǎn)?艾滋病雖然致命,但只要控制潔身自好,就很難患病;而感冒雖然病癥不重,但一不小心就會(huì)得上,而且如果不重視,就會(huì)發(fā)展其他嚴(yán)重并發(fā)癥。
回看Wannacry,它就像這樣一場感冒,卻最終發(fā)展成了絕癥。
?? ??
Wannacry的威脅程度微不足道
說Wannacry是“感冒”,真的不是我看不起它,而是因?yàn)樗谋举|(zhì)就只是操作系統(tǒng)漏洞,而且這個(gè)漏洞三月份就被微軟打補(bǔ)丁修復(fù)了,事件后所有廠商給出的意見,最終還是打補(bǔ)丁封端口,這實(shí)在是太初級(jí)也太好修復(fù)了。相比動(dòng)輒出現(xiàn)在各類宣傳中技術(shù)高超的0day和APT2.0們,實(shí)在是見了面都不好意思打招呼。但就是這么一位“感冒”老兄,掀起的浪花一點(diǎn)都不比“艾滋”大哥小,搞得大批高校政府能源單位損失慘重,現(xiàn)身說法地詮釋了別把豆包不當(dāng)干糧這句至理名言。
Wannacry讓這個(gè)幾個(gè)系統(tǒng)漏洞這個(gè)感冒,在上周末瞬間發(fā)展成了禽流感、甲流、甚至非典。我們緊急就醫(yī)后剛剛松口氣的同時(shí),不得不冷靜下來,反思這一切的原因。
?? 
反思1:你在明我在暗:,防御者處于天然劣勢(shì)
在攻防兩端的較量中,攻擊者可以選擇任意時(shí)間、任意地點(diǎn)、任意漏洞利用、任意攻擊面發(fā)起攻擊,而防御者必須在全時(shí)間、全網(wǎng)絡(luò)、全攻擊面上全部進(jìn)行防御。從概率、難度和工作量上來說,攻擊方占據(jù)天然的優(yōu)勢(shì)。
回過頭來,我們站在攻擊者的角度來調(diào)研,100%的攻擊者表示只要有人能訪問你的數(shù)據(jù),數(shù)據(jù)就一定會(huì)丟失,88%的受訪攻擊者聲稱他們12小時(shí)就能攻破一個(gè)目標(biāo),69%的受訪者表示安全團(tuán)隊(duì)幾乎從未抓到過他們的行蹤。這個(gè)結(jié)果告訴我們一個(gè)殘酷的事實(shí):攻擊者實(shí)際成功率其實(shí)很高,已經(jīng)部署的防御系統(tǒng)實(shí)際失效率很高。
所以,在跟攻擊者做斗爭時(shí),防御者要放下架子:不要總想著一拳把人家KO,而要多多周旋,以智退敵。問題不再是是否被黑,而是什么時(shí)候被黑和什么時(shí)候發(fā)現(xiàn)被黑。當(dāng)攻擊者的成本越來越高,攻擊者自然更傾向于半途知難而退,這更像一種“勸降”。
?? 
反思2:意識(shí)比技術(shù)更重要
我們常常在足球比賽中提到“意識(shí)”這個(gè)詞,一名球員在體力和速度上可能落后0.5秒,但上佳的意識(shí)可以讓他提早啟動(dòng)1秒和選擇最優(yōu)路線,最終還是可以成功搶點(diǎn)破門。
在網(wǎng)絡(luò)安全領(lǐng)域亦是如此,防御技術(shù)上部署了再多再高端的安全設(shè)備,意識(shí)不到位依然無效。
沒有意識(shí)到風(fēng)險(xiǎn)是最大的風(fēng)險(xiǎn)。
網(wǎng)絡(luò)安全具有很強(qiáng)的隱蔽性,
一個(gè)技術(shù)漏洞、安全風(fēng)險(xiǎn)可能隱藏幾年都發(fā)現(xiàn)不了。
結(jié)果是“誰進(jìn)來了不知道、是敵是友不知道、干了什么不知道”,長期“潛伏”在里面,一旦有事就發(fā)作了。
以上這段講話簡直就是Wannacry的神預(yù)測:3月份就存在的漏洞,長期潛伏無人處置,一旦有事被利用就發(fā)作了。我相信此次中招的單位中,絕大部分部署了安全設(shè)備和措施,技術(shù)能力上是可以防御此次勒索病毒的,但是結(jié)果為何事與愿違?這說明網(wǎng)絡(luò)安全意識(shí)還不夠,需要工具來提醒和呈現(xiàn),來加強(qiáng)和鞏固意識(shí)。
反思3:病不在重而在于拖
近幾天在網(wǎng)絡(luò)上流行了一個(gè)段子,叫做扁鵲見蔡桓公"之"微軟見客戶":
微軟見用戶,立有間,微軟曰:“君有漏洞在電腦,不治將恐深。”用戶曰:“寡人無疾。”微軟出,用戶曰:“醫(yī)之好治不病以為功!”
居十日,微軟復(fù)見,曰:“君之病在端口,不治將益深。”用戶不應(yīng)。微軟出,用戶又不悅。
居十日,微軟復(fù)見,曰:“君之病在病毒,不治將益深。”用戶又不應(yīng)。微軟出,用戶又不悅。
居十日,微軟望用戶而還走。用戶故使人問之,微軟曰:“疾在漏洞,補(bǔ)丁之所及也;在端口,組策略之所及也;在病毒,defender類殺軟之所及也;已中毒,司命之所屬,無奈何也。今已中毒,臣是以無請(qǐng)也。”
居五月,用戶電腦被鎖,使人索微軟,微軟復(fù)述如上。用戶文件遂亡。
上述段子生動(dòng)形象地再現(xiàn)了小病擴(kuò)大的過程,它告訴我們?cè)诰W(wǎng)絡(luò)安全領(lǐng)域處理威脅要及時(shí),威脅潛伏的時(shí)間越長,其威脅能力就越大,破壞力就越強(qiáng),拖延癥的后果可不是鬧著玩的,拖到最后威脅就變得致命。
?? ??
反思4:檢測要持續(xù),響應(yīng)要快速
傳統(tǒng)安全設(shè)備的日志,或者集中匯總到SOC上的日志,常常進(jìn)行短暫但不持續(xù)的檢測。前面我們看到,一次攻擊可能持續(xù)12個(gè)小時(shí)以上,這次攻擊可能偽造成從N個(gè)點(diǎn)發(fā)起,又針對(duì)N個(gè)攻擊面,按照每分鐘10條日志的保守計(jì)算,這次攻擊將要產(chǎn)生1200條日志,在沒有規(guī)律的情況下這些日志看似獨(dú)立難以綜合分析。收集到這種海量日志,又缺乏進(jìn)行關(guān)聯(lián)分析的方法,對(duì)攻擊防御幾乎無法起到任何作用。
所以面對(duì)這樣的對(duì)手,防御者要進(jìn)行持續(xù)可跟蹤的檢測和快速地響應(yīng)。Gartner指出,用戶應(yīng)該大幅提升安全檢測手段的投資,應(yīng)該占到整體安全投資的30%以上,預(yù)計(jì)到2020年,安全檢測和響應(yīng)的投資將從10%增長到60%。在網(wǎng)絡(luò)安全法的第五章第五十一條,也明確提到:國家建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報(bào)制度。國家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門加強(qiáng)網(wǎng)絡(luò)安全信息收集、分析和通報(bào)工作,按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息。所以不論國內(nèi)外的聲音都告訴我們,需要構(gòu)建持續(xù)監(jiān)測和快速響應(yīng)的防御系統(tǒng)。
?? 
?? 
可視化安全威脅態(tài)勢(shì)感知方案的目標(biāo)
通過以上的反思和總結(jié),以Gartner提出的新一代自適應(yīng)安全防御架構(gòu)和Tim Bass提出的態(tài)勢(shì)感知框架為指導(dǎo)思想,安博通在業(yè)界率先發(fā)布了可視化安全威脅態(tài)勢(shì)方案,該套方案放棄了傳統(tǒng)方案萬能防護(hù)、被動(dòng)防護(hù)和短時(shí)防護(hù)的弊端,致力于實(shí)現(xiàn)以下目標(biāo):縮小暴露面、延長攻擊時(shí)間、加強(qiáng)風(fēng)險(xiǎn)意識(shí)以及降低發(fā)現(xiàn)成本。
?? 
?? 
如果把態(tài)勢(shì)感知系統(tǒng)比作人體的話,負(fù)責(zé)風(fēng)險(xiǎn)威脅防范的安全設(shè)備的策略就是“血肉”,安全策略管理就是“靈魂”。那么當(dāng)四肢感覺到威脅,將信息傳回大腦,而后大腦反應(yīng)決策再做出響應(yīng)過程中,傳導(dǎo)信號(hào)的“神經(jīng)元”是什么呢?安博通認(rèn)為,可視化系統(tǒng)就是這里的神經(jīng)元,起到承上啟下傳導(dǎo)的重要作用,而本套方案亦能進(jìn)行安全策略的管理。
?? 
可視化安全威脅態(tài)勢(shì)感知方案預(yù)防Wannacry勒索案例
在安博通可視化安全威脅態(tài)勢(shì)感知系統(tǒng)防護(hù)下,可以使用以下三層要件來預(yù)防Wannacry勒索行為。
層級(jí)一:基于安全域架構(gòu)的安全策略可視化
將安全域和安全策略可視化后,通過電子版的策略合規(guī)基線圖,可以清晰地呈現(xiàn)訪問路徑。針對(duì)Wannacry勒索,此時(shí),防御者應(yīng)該可以清楚地發(fā)現(xiàn)從互聯(lián)網(wǎng)區(qū)域到內(nèi)部區(qū)域存在非法訪問行為,并且系統(tǒng)發(fā)出告警。
?? 
層級(jí)2:流量實(shí)時(shí)監(jiān)控與主動(dòng)探測
在這一層級(jí),我們?cè)噲D把路徑上的流量呈現(xiàn)出來,對(duì)異常流量進(jìn)行告警,并對(duì)業(yè)務(wù)質(zhì)量和網(wǎng)絡(luò)質(zhì)量進(jìn)行主動(dòng)探測。針對(duì)Wannacry勒索,此時(shí),防御者在收到前文所述的路徑告警信息后,可以查詢到該非法路徑上的流量為目標(biāo)445端口的SMB文件共享,從外到內(nèi)的文件共享明顯是非法異常流量,系統(tǒng)將繼續(xù)告警。至此,即時(shí)意識(shí)不到位,一名安全防御者應(yīng)該已經(jīng)意識(shí)到事態(tài)有問題。
?? 
層級(jí)3:縱深安全事件數(shù)據(jù)的疊加與分析
在這一層級(jí),我們把各個(gè)層面的信息匯總起來疊加到系統(tǒng)上,得到更為立體的安全態(tài)勢(shì)分析。針對(duì)Wannacry勒索,此時(shí)用戶根據(jù)路徑和流量的告警繼續(xù)查詢,發(fā)現(xiàn)路徑上的IDS設(shè)備正在上報(bào)利用漏洞的日志,而終端安全組件也在上報(bào)未打補(bǔ)丁的日志。至此,防御者不僅應(yīng)該很輕易地意識(shí)到存在攻擊,而且能夠結(jié)合安全事件情報(bào)定位到攻擊手段和防御方法,并通過系統(tǒng)迅速下發(fā)策略響應(yīng)解決此問題。
?? 
可視化安全威脅態(tài)勢(shì)感知平臺(tái)部署展示
安博通可視化安全威脅態(tài)勢(shì)平臺(tái)設(shè)計(jì)為數(shù)據(jù)采集層、數(shù)據(jù)處理層和數(shù)據(jù)應(yīng)用層,并進(jìn)行統(tǒng)一運(yùn)維管理:
?? 
以下是各個(gè)可視化呈現(xiàn)維度截圖,請(qǐng)各位看官自行欣賞:
安全域基礎(chǔ)架構(gòu)可視化
?? 
安全路徑可視化分析與查詢
?? 
合規(guī)矩陣可視化監(jiān)控
?? 
安全策略可視化管理
?? 
業(yè)務(wù)質(zhì)量可視化
?? 
網(wǎng)絡(luò)質(zhì)量可視化
?? 
用戶行為可視化
?? 
安全態(tài)勢(shì)感知綜合可視化展現(xiàn)
?? 
打造網(wǎng)絡(luò)作戰(zhàn)全景圖
安博通可視化安全威脅態(tài)勢(shì)感知平臺(tái)可適配大屏展現(xiàn),真正為安全防御者提供網(wǎng)絡(luò)作戰(zhàn)的全景地圖,通過可視化展現(xiàn)提升安全意識(shí)和減小暴露面,通過路徑、流量和威脅情報(bào)的層面延長攻擊時(shí)間和提升攻擊成本,讓W(xué)annacry這樣的低級(jí)威脅無法潛伏,也讓高級(jí)持續(xù)性攻擊無所遁形。
?? 
