最近wannacry弄得大家人心惶惶,但是我想告訴大家的是,其實如果有養成良好的習慣,綁架軟體並沒有想像中可怕;還有可以透過一些資安政策,避免類似的攻擊手法。
其實SMB協定,非常被泛用在一般資訊領域,尤其在NAS或是NFS系統上,因為他透過了簡易的方式共享了檔案。很早以前,它依存在NetBIOS協定之上,NetBIOS over TCP/IP這項協定在XP之後大量的被使用,就像各位所熟知的網路上的芳鄰。但由於NetBIOS本身的設計上面就有許多的資安漏洞,所以微軟一直想要拋棄這項舊包袱,但是多數的使用者依賴性,導致現在還是存在,並且泛用在一些組織中。
這次被攻擊的主角是SMB協定,而且是主動被攻擊,所以像是本人的NAS也有受到來自四面八方的攻擊者測試存取NAS,由於SMB直接對外開放。而且可以看得出來攻擊端的對外跳板來自於俄羅斯、香港、北非(經IP地理資訊系統對照,雖然未必精確),而且使用帳號測試密碼嘗試存取SMB服務。而且可以發現,駭客其實是熟知資安的專家,它不會密集高頻的測試你的admin密碼,大約是五分鐘測試五次,而且各種可行帳號都會輪流測試(例如: GUEST或是Root);而密碼測試的部分,我猜是使用了字典攻擊。
為什麼會低頻的測試?
迴避了資安部分的原則(Policy),例如:我的資安原則是”在一分鐘內,測試該帳號十次登入失敗,即禁止該IP連線30分鐘。”
如果被阻擋IP,它一小時只能測試我單一帳號20次密碼。
如果使用低頻,例如五分鐘內測試五次密碼,它一小時內能試60次。
可以有效降低暴力破解的時間。
當然像其他重要的密碼原則,如同:密碼複雜化、定期更新密碼、密碼不得重複等資安政策落實,都會延展駭客暴力破解密碼的時間。最害怕的就是,並未關閉那些具有管理權限的帳號又沒有設定密碼,那很容易的SMB漏洞,就淪為被攻擊的羔羊。
所以我們在上述的紀錄檔稽核過程中,可以知道,我們需要延展資安原則,例如:在半小時內,測試該帳號十次登入失敗,即禁止該IP永久連線;直到管理者手動解禁。我們需要落實密碼原則,關閉預設的帳號(Admin和Root即應立刻停用,以其他實名帳號替之),立即將駭客IP打入永久禁止連線黑名單,以防堵再次被密碼測試。如果企業組織有更強大的IDS或IPS系統,可以建立更為完善的防堵規則,那便可更有效率的自動阻擋類似攻擊。
我還記得以前老師在課堂上面說過,最安全資料儲存方式就是將資料置於永不揮發的記憶裝置,或者硬碟、光碟中,並將其置於安全的保險庫內。
任何裝置能以任何方法連上網際網路,從該刻起,所有資料即非絕對安全。所以在雲端的任何資料,都不能說是完全靠譜。雲端上面的資料,具有一定程度的可靠性,通常會具有版本回朔跟定期備份的功能。但是,他無法保證任何的隱私權,因為如果它的系統有漏洞導致資料外洩,就像先前SONY跟APPLE都曾發生過大規模被盜用個資和雲端儲存資料的問題。
備份這件事情比任何事都重要,但是資料分成兩種,第一種是具有隱私成分的個資、機密資料,會建議離線儲備,會比在線儲備安全,例如:透過硬碟、磁帶、內部私有雲,使用異地的方式做存放。另一種是不具個資的例行性資料或是交易資料,這種可以透過網路或外部裝置進行備份,例如:各種公有雲或外部雲。
不要過於信任任何種類的用戶端防毒軟體,防毒軟體是一種極為消極的防禦方式;如果是在企業內部,應該利用體制(例如:資訊安全規範),來約束員工,並且制定可追蹤跟稽查的紀錄,來防止員工瀏覽高危險網域。當然,配合IPS與IDS防禦,Mail SPAM的黑白名單制定,遠比防毒軟體要來得有效。
為什麼不要過度信任防毒軟體,因為防毒軟體是有毒它才能防禦、才能提供對應的解決和移除,沒有一種防毒軟體可以對抗一種還沒有公開過的病毒的,再者本人認為防毒軟體本身就是一種毒,因為它會變相的拖累用戶端的效能,不管何種防毒幾乎都是常駐程式,既然是常駐程式沒有不耗損資源的。還有,防毒軟體時常過度誤判,導致防毒效果越好的軟體會經常性的誤殺可能需要的執行檔或是文件;以及病毒碼空窗期,如果非定時更新病毒碼,難道那段時間就不會有中毒風險嗎?連Windows Update微軟都承認有空窗期了。
良好的規範可以導正試用者習慣不去點擊危險連結、不造訪危險網站,這點遠比任何的軟體要強,甚至有效;因為這個習慣,絕對可以避免中毒。
曾經看過客戶把整台伺服器的軟體防火牆關閉,然後裝上防毒軟體;這是一種不可取的行為,因爲防火牆是相當積極的防禦手段;而防毒軟體是相當消極的防禦手段。就單以這次的檔案綁架來說,如果你防火牆政策是白名單,老實說根本就無懼於wannacry,我很少見過企業組織會開啟對外的SMB協定,除了一些IT非常消極的公家單位外。
這篇文章大概只寫出資安問題的冰山一小角,更大的問題在於:垃圾郵件、DDOS、木馬程式、假冒DNS、假冒網站、縮址與轉址、危險附件、檔案勒索...。
沒有留言:
張貼留言