未雨绸缪:如何应对下一波可能的“永恒之蓝”

  • 来源:深信服安全中心
  • 发布时间:2017-05-20
#

事件描述

“永恒之蓝”危害巨大

“永恒之蓝”勒索病毒带来的危害巨大,波及面也非常广,中招的用户损失也非常厉害。 据《华尔街日报》报道,硅谷网络风险建模公司Cyence的专家表示,此次网络攻击造成的全球电脑死机直接成本总计约80亿美元。更关键的事,目前受感染的主机,并没有什么好的方式能够在不提交勒索金的情况下恢复文件。数据的丢失将给企业带来难以估计的损失。

互联网安全事件持续存在

互联网安全事件实际上一直存在, 2014年的“心脏滴血”漏洞事件让整个互联网为之一颤;2015年爆出java反序列化漏洞;2016年10月美国因恶意软件导致网络大面积瘫痪;而今,“永恒之蓝”席卷全球。

可以说,“永恒之蓝”这样的安全事件并非偶然。实际上,现在的黑客技术早已发展为庞大的生意,从技术提供,到实施入侵,再到在线销售,一条完整的“黑客经济”链条已经成型。中国黑客的黑色产业链规模价值上百亿元,在利益的驱动下,互联网安全事件频发。

应对“永恒之蓝”类的安全事件,有哪些好的安全建设实践!

1、在业务发布/办公上网的互联网边界的实践

某全国知名互联网企业,互联网是其生存之本!

早在2015年,该企业CIO李总就认识到传统安全架构在事前风险实时预知、事后快速检测到危害及快速应对及止损的重要性。其在2016年1月,选择了在互联网边界部署了一台他认为能满足他们诉求的设备!

部署拓扑图:

blob.png

2016年,是安全事件频发的一年,在这一年,借助这台设备他总能及时预知风险,及时应对!

2017年4月15日,该设备发布了重大事件库:NSA重要武器库泄露了杀伤力极大的网络武器,并及时推送了入侵检测规则!image.png图:NSA相关入侵检测规则

在入侵检测规则策略的提醒下,其更新了所有window服务器和上网PC的相关补丁。

2017年5月12日晚(周五),无良黑客推翻了多米诺骨牌,全球拉响了Wannacry蠕虫病毒的警报。

在2017年5月13日(周六)早晨,李总知道了这个事件,这时他第一时间感到了庆幸:庆幸自己早已在安全设备的预警和指导下安排更新了补丁,基本可以判断,本次病毒无法感染到他们公司的windows服务器和PC。他向在周末值守的IT同事做了确认,其公司当前未受任何影响。

2017年5月14日,其有少许不放心,登陆了安全设备,看到又推送了Wannacry重大事件库,如下图:

blob.png

并有指导通过内置的扫描工具,进行扫描,如下图:

blob.png

其快速扫描了其关注的网段,确认补丁均已更新,确定不会受本次病毒影响。

另外,安全设备还提醒,其可以检测Wannacry的感染情况,其查看入侵检测日志,发现其所有Windows服务器和PC均未感染。

2017年5月15日(周一),开始早晨上班,很多朋友公司乱做一团的时候,其从容的喝着咖啡,构想着未来IT布局的问题……

大敌当前,临危不乱!这一刻,他也深深的感到,他的认知是对的!

当前的安全形势下,在事件多发的互联网边界位置,只考虑事中的防御是不够的,事前及时预知风险、及时预防,以及事后快速识别和定位问题、判断影响并采取措施,非常非常必要! 

2、在数据中心边界的实践

2017年5月13日,在Wannacry病毒肆虐的情况下,某省某政府单位金某网的内网几乎全部沦陷!

但他们非常庆幸的发现,其非常重要的一片服务器区是没有受到Wannacry病毒任何影响的。

这些服务器区都是防护设备和防护策略的,为什么其他的服务器区都沦陷了,而只有这个服务器区没受影响呢?!

不同的,只有供货厂家的不同!

他们发现,原来这片服务器区用的是一家叫Sangfor的AF产品。

部署拓扑图:

blob.png

他们发现,这台设备在2017年4月15日就更新了针对NSA武器库的检测策略,如下图:

blob.png

另外,这台设备显示,这片服务器区其实被黑客入侵了40余次,都被这台设备拦截了。万幸!

当前,该金某网还有5个业务区的业务需要快速上线,每个区至少两台防护设备,10台,赶快从这个厂家购买10台设备抗起来…..赶紧…..,负责人某处长,心里想着!

3、在业务内网的实践

持续检测内网威胁,深度保护业务安全

某市某医院作为全国首批三甲医院,承担着“普济众生”的社会职责,其信息化建设始终走在当地医疗行业前列。

该院信息科主任起初并不认可态势感知产品,他认为:“我要的是御敌于国门之外,不要他进来了你才告诉我,我是不允许任何‘坏人’进来的! 

由于客户内部出现疑似信息泄露,又由于最近勒索病毒爆发,客户期望能尽快使用深信服的方案。

其部署拓扑如下:

blob.png

系统部署之后,很快发现了4个失陷业务:

blob.png

发现其中一个失陷业务存在勒索病毒风险:

blob.png

同时发现多个业务感染了飞客蠕虫病毒主机:

blob.png

当我们向客户汇报发现5.15号发生的某个IP访问HIS数据库的异常路径,存在信息泄露风险时,客户表示:“我们就是在前天发生了类似的事件,我们担心我们的信息出现了泄漏,即使没泄漏,我们的HIS系统也已经被不明身份的人访问了,但我们无法定位,你赶快帮我们想想办法。”

最终我们帮助客户在院办楼6楼发现了多台失陷主机,并进行了查杀处置。客户当即表达了对深信服安全态势感知系统的高度认可,并说到:“我的应用越来越多,DMZ区未来异常重要,你这个东西内网都能做好,DMZ肯定没问题,赶紧加探针!”

另外,特别需要提到的是,客户不久前测试过其他友商的态势感知,但均什么都没发现,“无疾而终”。

当客户知道,深信服的下一代墙AF不但可以向探针一样作为感知节点,而且还具备内容级的保护能力后,立即决定,各业务区的内网防火墙,全部换成AF。

构建一套能持续感知内网风险,且能在不同的业务域边界进行深度内容级别保护的方案,正是他需要的!

4、SAAS安全服务的实践

可怕的!不是勒索病毒,而是欠缺预警机制的安全体系

“永恒之蓝”对哪几类人不具威胁性?

有人说,没网的人;也有人说,没有电脑的人;对也不对!

深信服说,是能及时看见威胁并做好防护人。最大的威胁是不能及时看见威胁!

早在一个月之前……

4月15日,深信服互联网风险监测中心监测到MS17-010漏洞;

4月16日,对在线用户进行全面扫描,并对进行预警,帮助用户做到未雨绸缪;

4月16日-5月11日,监测中心每日持续进行复查“永恒之蓝”高危漏洞,直至修复;

截止事件发生前,有问题的161个网站隔周修复漏洞的站点超过100个,修复率98.1%;

 blob.png 

图:MS17-010漏洞地域分布                        图:MS17-010漏洞修复情况

5月12日晚,WannaCry全球爆发;

5月13日,敏感期复查,并电话预警!

5月17日,深信服发布针对“永恒之蓝”MS17-010漏洞的内网检测工具!仅仅发布当天即有488位用户下载使用,并发现了2000多个高危IP,很好的帮助用户解决了网络内部遗漏风险。

blob.png

图:深信服互联业务检测服务

截止当前,没有一例使用了深信服互联网业务风险监测服务的客户遭到勒索。

深信服北京研究院院长周欣,对此次事件分析总结如下:WannaCry 勒索软件是利用NSA黑客武器库中“永恒之蓝”MS17-010漏洞传播扩散的,MS17-010漏洞是造成本次勒索软件迅速蔓延的重要根源。但是该漏洞早在一个月之前就被深信服互联网风险监测中心监测到,并对在线用户进行了扫描和告警,事件发生前已经有98%用户按照风险报告进行了漏洞修复,成功的抵御了这次安全事件。截止目前,在线8000多用户的漏洞修复率达到100%,勒索案例为0。

5、终端安全的实践

某省国家统计局调查队因OA服务器遭受攻击,需要找出攻击源。在准备测试EDR产品寻找攻击源的期间爆发了wannacry病毒攻击事件。对于该调查队来说,服务器上面包含了用户的审计资料,数据一旦被加密,损失不可估量。

管理员小张接到通知,根据要求需要马上对所有主机封堵共享端口访问。想到一台一台主机去处理,瞬间有种即将崩溃的感觉。经过一番沟通后,随后深信服给出了EDR产品高效解决方案。

1、使用微隔离功能,封堵主机的风险端口,避免病毒攻击传播;

登陆EDR控制台,【安全策略】-->【微隔离策略】页面,点击“添加”新建策略,新增封堵135,137,138,139,445端口策略下发所有主机。所有主机策略瞬间封堵生效,3分钟搞定。

blob.png

2.开启webshell检测对服务器web的入口进行全面扫描,避免新的攻击再次入侵;

3.开启恶意文件检测功能,进行全面监控,清除恶意文件。

blob.png

 最终因为响应及时,公司成功避免了这次勒索病毒的袭击,同时通过产品测试,发现大量潜在的webshell风险文件和恶意程序行为。

blob.pngblob.png

管理员小张开心的说:“IT管理选对产品方案很重要!再有类似系统漏洞爆发,我们也能快速应对!”