緩解WannaCry勒索病毒:“kill-switch”非長久之計

責任編輯:editor005

作者:Michael Heller

2017-05-17 14:36:17

摘自:TechTarget中國

有專家表示,應(yīng)遵循US-CERT1月份給出的建議,盡可能禁用SMBv1、阻斷445端口以阻止WannaCry勒索病毒的傳播。” 

作為對WannaCry的緊急響應(yīng),微軟為那些已不再支持的Windows版本發(fā)布補丁。除了打補丁外,安全專業(yè)人士一直在研究制止感染的辦法。

英國研究者@MalwareTech(Marcus Hutchins,IT工程師)對該勒索病毒進行了分析,發(fā)現(xiàn)惡意軟件中的命令和控制(C&C)域被硬編碼,并采用注冊域名的標準方法。這樣做打破了C&C連接,像緩解WannaCry勒索病毒的“kill-switch”一樣。

網(wǎng)絡(luò)安全公司Comae Technologies創(chuàng)始人Matt Suiche發(fā)現(xiàn)一個WannaCry勒索病毒變體。Suiche指出,將域注冊為“kill-switch”只是一個臨時措施,因為該勒索病毒之后的變體可以更改域名,并且還包括不具有硬編碼C&C域的WannaCry惡意軟件的變體。

有專家表示,應(yīng)遵循US-CERT1月份給出的建議,盡可能禁用SMBv1、阻斷445端口以阻止WannaCry勒索病毒的傳播。

數(shù)據(jù)安全軟件公司Varonis技術(shù)人員Brian Vecci表示:“如果有補丁可用,要盡快打補丁。”Vecci表示:“系統(tǒng)漏洞這個問題一直都存在,打補丁是一種防御方式,但不是唯一的。禁用SMBv1并阻斷相關(guān)端口是應(yīng)對這種攻擊的基本的安全程序(如修補和關(guān)閉舊協(xié)議),這有助于防止這種攻擊帶來的損害”。

IT自動化和集成公司Ivanti首席工程師Duncan McAlynn表示,禁用SMBv1是“最顯而易見的做法”。McAlynn表示:“這比修改注冊表要有效。對于InfoSec將采取的其他防御措施,企業(yè)持審慎態(tài)度。“類似這種‘深度防御措施’將包括應(yīng)用程序白名單、設(shè)備控制、下一代防火墻以及后期威脅檢測等解決方案。”

云安全公司AvePoint首席合規(guī)和風險官Dana Simberkoff表示,后續(xù)針對WannaCry勒索病毒等攻擊的安全措施一定不要忘了“持續(xù)的員工教育”。

Simberkoff表示:“這種教育絕非一年一度的培訓課程,而是普遍存在于整個企業(yè)文化中。在沒有安全教育或經(jīng)驗的情況下,人們很容易做出不正確的安全決策。這意味著系統(tǒng)需要安全易用,對員工的教育應(yīng)包括:有關(guān)修補操作系統(tǒng)的重要性的信息、未修補系統(tǒng)與漏洞之間的直接聯(lián)系等。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號