Fahmida+Y.+Rashid+杨勇

当WannaCry或者ExPetr这样的攻击出现时，管理和保护IT基础设施的现实使得IT和安全人员处于无法获胜的境地，所以不要责怪他们。

最新的勒索软件攻击影响了世界各地数千名受害者，让我们有一种强烈的似曾相识的感觉。这一恶意软件不同于五月份WannaCry所使用的恶意软件，宣称负责的犯罪集团也不同，但应对感染暴发的建议是一样的：给有漏洞的系统打上补丁，不付赎金，并从备份中恢复。

新的勒索软件——卡巴斯基实验室在确定这不是Petya恶意软件变种后，将其命名为ExPetr，它涉及到几个变种，包括EternalBlue和EternalRomance，表面上看都是利用了美国国家安全局开发的软件。EternalBlue是基于Windows的SMBv1开发的，5月份也被WannaCry使用过。

与WannaCry不同的是，ExPetr是在局域网而不是互联网上传播的，但ExPetr加密主引导记录，这要比仅仅加密单个文件更具破坏性。ExPetr可能是一种新的攻击形式，但其所作所为并没有什么新东西。它利用一些已知的漏洞，通过不应该在互联网上使用的协议进行传播，还滥用现有的操作系统实用程序（PsExec）。

很常见的是指责和责备。安全专家们在博客、社交媒体和电子邮件上发表了看法：

此次攻击是企业没有严格采取安全措施的另一个例子。

如果企业正确地给系统打上补丁，并实施了纵深防御方法来保护其网络，就很容易避免这些攻击。

WannaCry早就敲响了警钟，但事实上，新的勒索软件仍然在世界各地快速传播，这说明仍然有很多企业和用户还没有使用微软早在今年3月就发布的MS17-010补丁。

SMBv1早就过时了——端口没必要开放给互联网。忽视安全是不负责任的——包括安全方面的投资、时间和优先权。

还有很多。

请停止，骂人没用。

IT和运营部门都充分意识到核心IT和安全基础，例如补丁管理、定期备份、灾难恢复和业务连续性以及应急响应等，对于保护他们的网络和用户免受破坏性攻击是非常重要的。不负责任或者不称职的人是不会去做好打补丁工作的，也无视他们自己和陷入困境的安全同事们所面临的挑战。毫无争议的事实是，有漏洞的系统运行的软件是得不到支持的，这些软件是过时的或者是没有打上补丁。这对任何人来说都不是什么意外，也不应该是安全的。

Duo Security的首席安全策略官Wendy Nather说：“任何事情似乎总是会有意外，无论我们怎么强调打补丁是一种解决方案，很多情况下都没有打上。这就像大家都在谈论这个问题，但认识还不够，没能真正解决这个问题。”

不要疏忽大意，理解挑战。

如果系统不在您的控制之下，您就不能更新它。

所有的系统都应该定期打补丁，说起来很容易，但它忽略了一个关键问题：IT并不是经常性地访问网络上的系统。如果打了补丁的系统会被取消质保或者不再保证许可时，就没有必要更新这些系统了。或者，考虑在制造工厂的情况，与机器连接的计算机会被认为是机器的一部分，而不在IT的控制之下。车间管理人员不希望IT参与到设备管理中，但IT必须考虑安全问题，以及与其他系统的兼容性。

Nather说：“问题是普遍存在的，特别是缺乏基本安全的企业，而金融交易终端和银行网络是由集中的受过良好训练的系统来运营的，即便如此也是存在各种问题。”

认识到企业的制约因素

这是公共部门的一个大问题——立法法规和削减政府开支的计划妨碍了IT的安全支出。Nather说：“纳税人不打算为运行不错的硬件和软件进行更新而付费。”除了公共部门，企业还会有其他的制约因素。例如，非营利组织对它能做什么以及把钱花在哪里都有严格的规定。

“用到最后”与“尽早和经常更新”直接矛盾

当在技术上花费了数百万美元（比如说核磁共振机器）后，您期望它一直能用很多年。需要有定期维护窗口来更新软件，这似乎也与当初的承诺相违背。在医疗领域，病人的安全是至关重要的，意味着软件每改变一次，设备都必须针对安全而重新测试和认证。

任何非常依赖于外部的系统都需要较长的时间来更新

企业平均需要120天时间来给他们的系统打上补丁。这包括对不同系统配置的测试，确保没有应用程序冲突，并确定当前功能不会丢失。复杂的依赖关系意味着更新可能会无意中破坏某些重要的东西。例如，Windows XP是一个老的操作系统，一些售货亭和设备还在使用它，尽管不再为桌面版本提供支持了，但也不会轻易的被淘汰掉。

Nather说：“我们需要解决几十年的老系统和企业所受制约因素等问题，而且还有这一事实——没人知道现在企业要实现高效的安全措施需要多大的投入；我们甚至不知道企业能否负担得起。”

要务实

应该找出与当前存在的架构相关的解决方案，而不是IT基础设施应该是什么样子的乌托邦式的想法。企业有很多老系统，多年来在没有打补丁的系统和设备上进行了大规模的投资。迁移并不总是解决办法，安全行业应更具创新性，找到与企业合作的方法来更新过时的系统，或者采取保护措施来保护现有的资源。企业对其资金的使用是有限制的，要把有限的资源发挥出最大效益则需要很多创造性的理念。

Nather说：“考虑到这一问题所涉及的复杂性、外部风险、经济刺激、技术债务等，我们可能在技术上也要采用类似于‘可负担的医疗法案等措施。”

如果企业的系统正在运行未打过补丁的软件，那么软件更新是很好的第一步。如果这不行，而且经常会是这样，那就不要再指手畫脚了，去寻找解决的办法。预防措施包括限制和保护PsExec的使用、限制用户的权限、禁用SMBv1、禁用端口445（SMB）和139（文件和打印机共享），不允许企业之外的用户使用这些端口。对于ExPetr的情况，阻止c：＼Windows＼perfc.dat写入或者执行能够防止被感染。在%windir%中提前创建一个名为perfc的文件，该文件没有扩展名，这也能够防止勒索软件的执行。

Nather说：“我们都

不想惊恐地看到另一次WannaCry式的攻击，坦率地说，我们都应该承认这不会是最后一次攻击。这会变得更糟，而变好不太可能。”

Fahmida Y. Rashid是CSO的资深作家，其写作主题是信息安全。

原文网址：

http：//www.csoonline.com/article/3204132/cyber-attacks-espionage/the-fault-for-ransomware-attacks-lies-with-the-challenges-security-teams-face.html