普华永道评点WannaCry 勒索软件攻击事件

至顶网CIO与应用频道 05月22日 北京消息：自上周五起攻击全球多个国家和地区电脑的勒索软件 WannaCry 已对众多的全球性组织造成影响。普华永道专家分析，病毒的主要载体是通过微软窗口的服务器消息区块 (SMB) 协议中未经修补的远程代码执行漏洞，并且此恶意软件也可能经电子邮件的附件而扩散。

为应对本次的全球电脑病毒攻击，普华永道的网络安全专家提出新的洞察，对于威胁的预判，以及一系列可在未来受恶意软件冲击时尽量降低风险及财务损失的网络安全措施：

普华永道企业信息、网络安全及私隐服务合伙人易伟祺 (Marin Ivezic) 指出:

- WannaCry 利用微软窗口操作系统程序漏洞作快速且大规模的攻击，实属前所未见。

- WannaCry 之所以能够形成广泛攻击及损害，是因为其病毒能够在同一个网络上，入侵任何有系统漏洞问题的电脑，甚至在互联网上无需受害者执行任何动作的前提下就可随机地攻击电脑，这也是现今主流勒索软件的攻击模式之一。

- WannaCry 攻击的破坏力如此之强，是因为其能够结合多个恶意代码进行攻势，因此传播能力广泛，这些程序代码包括： WannaCry 勒索软件，EternalBlue 和 DoublePulsar。

- 这次网络攻击印证了一种以全新手法、以自动化方式散播恶意软件。几乎可以肯定，网络罪犯将来会更多使用这种模式进行攻击。他们会使用相类似的手法，捆绑其他类型的恶意软件并发动迅速且大规模的攻击，这可对网络与电脑造成更大的损害，例如窃取数据数据并致使商业机构运作瘫痪。目前已有一些报告指出，当通过 EternalBlue 漏洞发动攻击的破坏力逐渐减低，网络罪犯会伺机利用其他系统漏洞进行攻击。

- 以自动化形式散播恶意软件，并如同 WannaCry 的大攻击规模，将会是网络犯罪的新常态。

- 本次 WannaCry 攻击主要是通过黑客组织 ShadowBrokers 早前发放的 EternalBlue 漏洞。 ShadowBrokers 自去年六月起已定期发放新的程序漏洞。这进一步印证了我们对于网络威胁的预测：以蠕虫程序进行破坏的WannaCry的网络攻击将会成为一种常态。

实时措施

- 要缓解 WannaCry 的冲击或降低实时风险，企业应该听取其电脑安全事故应变小组 (CERTs)，信息分享及分析中心 (ISACs) 及其他可靠资源的建议。在过去几天，我们已提出了一些重要的实时性补救方案，并已广泛流传。

- 除去这些已广泛流传的应急方案，企业应该提防 WannaCry 通过 DoublePulsar 攻击被病毒侵袭的电脑，攻击者有可能取得对系统的全面控制，即使加密的病毒文件被解密或重设系统，都于事无补。即使所有加密档都被拆解，企业都应通过 Re-image 技术修复所有受病毒破坏的系统部分。

- 结合网络攻击者最近发布的一系列安全漏洞，我们建议企业应该监察外向型的窗口系统的服务器信息区块和远程桌面协议 (RDP) 的端口，并确认以下的漏洞是否修复或不适用：

• “EternalBlue” MS17-010;
• “EmeraldThread” MS10-061;
• “EternalChampion” CVE-2017-0146, CVE-2017-0147;
• “ErraticGopher” Windows Vista 早前发放;
• “EskimoRoll” MS14-068;
• “EternalRomance” MS17-010;
• “EducatedScholar” MS09-050;
• “EternalSynergy” MS17-010;
• “EclipsedWing” MS08-067.

- 如电脑使用窗口 2003 或 XP 作业程序，就要注意 “EsteemAudit” 及相关已不再支持的漏洞，并尝试用其他方法以确保 RDP 的连接。

策略性措施

系统安全性补救

本次的全球性网络攻击对企业发出了一个强有力的警告，他们急需提高其系统的安全性，进行及时和最高规格的补救措施，持续而密集地维护安全。 然而这些工作往往会因为成本及企业资源有限而被忽略。企业面对的网络安全威胁愈来愈复杂，增强安全性补救措施以减少漏洞，是必不可少的投资。

普华永道公布的《2017 年全球信息安全状况® 》调查指出，中国内地及香港受访者
在2016年对网络安全的预算开支达 730万美元，较2015年减少了 7.6%，但企业曾
于2015年大幅增加网络安全的预算开支。

备份

在 WannaCry 网络攻击事件之后，仍然有很多企业没有定期为其系统进行备份，个人电脑尤为重灾区。实际上，完善的备份工作及系统重设能大大降低如 WannaCry 勒索软件攻击的影响。

虚拟化

如果可行的话，企业应考虑使用虚拟化解决方案，一旦系统受电脑病毒感染，虚拟化方案能使系统快速地重设至正常状态。

网络区段

另一个在 WannaCry 攻击后反映的普遍安全性不足问题，就是网络结构扁平化，这个现象在中国企业更常见。举例说，多家企业的网络建构在单一扁平化网络，当其中一部电脑受病毒感染，有可能使网络内所有电脑都受感染。普华永道建议企业将网络区段化，将企业网络按架构及信息的价值高低进行分段，这将有效降低恶意软件在网络内的散播，减少所受的冲击。

竞争风险因素

在当今竞争激烈但又高度连接的市场环境中，不排除某些网络攻击是来自行业竞争对手。根据我们的调查，中国内地及香港受访者面对来自竞争对手的网络攻击威胁，要高出全球平均值。

据普华永道的观察，那些有意通过网络攻击打击对手的公司，会利用地下渠道，聘用网络攻击者对区内目标企业进行网络攻击。有时，这些攻击是由“内部人员”提供财政支持。

普华永道建议企业不应单靠“关门”措施，即 SMB 及/或 RDP 以应对这些新型攻击，而更应该提防那些蓄意攻击者或内部人员会在网络内对起始系统进行攻击或破坏。我们的调查指出，34% 的中国内地及香港受访企业表示，其系统遭受的安全性事件，与同业竞争者有关。