IBM Security 针对全球性‘’WannaCry2‘’勒索病毒攻击事件的建议

自5月12日开始，全球多个国家发生了一起大规模信息安全攻击事件，一种名为WannaCry2的“勒索病毒”软件, 利用Windows系统漏洞入侵全球多个国家的高校内网、政府机构专网、金融机构的网络系统等，导致了数万台计算机瘫痪。

什么是WannaCry2勒索病毒？

WannaCry2勒索病毒是一种快速传播的网络攻击病毒，以偷窃用户数据并用其对用户进行勒索或敲诈的犯罪手段，在今年3月份首次被探测到，该攻击一开始看似普通钓鱼攻击方式，也就是用户点击有问题的链接，激活了隐藏的恶意软件并控制用户设备，WannaCry2利用并激活公开的Windows操作系统漏洞，从一台工作站高速传播到整个网络。因此该攻击不像普通钓鱼攻击一次仅仅攻击一个用户的系统，而是“以一对多”的传播方式快速攻击网络上的多个用户。截止至今已经影响了近100个国家，攻击来源至今尚不得而知，因此用户需要尽快准备应对措施。

WannaCry2勒索病毒攻击意味深长

设计这种“以一对多”攻击方式的影响非常深远，全球组织需要理解这些攻击的基本要素，该勒索病毒本质上采取了一种靠勒索获取利益的策略，但犯罪分子未来可能会采取新的策略和模式。例如，他们可以利用微软漏洞以一对多攻击模式偷窃个人敏感数据或植入远程访问木马病毒，进行更多破坏。

对IBM安全软件客户的影响

针对此波攻击，安全研究团队就已经帮助IBM安全软件用户确保不受此类攻击的影响，其中IBM的终端管理产品在微软发布当天即3月14日发布了更新，IBM入侵防御系统在4月20日发布更新特征库，更新后的产品具有对该漏洞的防御能力。因此，IBM自身的系统和使用IBM入侵防御系统以及通过IBM终端管理产品更新了补丁的用户并未遭到此波病毒的入侵。

对于以后类似的勒索病毒软件，甚至利用未知漏洞和其它方式进行攻击的勒索软件，IBM的安全免疫系统（SIEM + Endpoint）可以实施检测并加以阻断，可以防止用户遭受侵害。如下图所示：

IBM的SIEM平台Qradar和终端管理平台BigFix，可以很好的完成从更新补丁、异常告警到隔离终端等一系列工作，针对此类攻击提供快速有效的响应。

非IBM安全软件用户建议

非IBM用户除了尽快更新Windows系统相关补丁外，也可利用X-ForceExchange安全情报平台获得最新的安全信息。X-Force Exchange安全情报平台在漏洞披露当天即发布了漏洞警告，提醒用户升级相关补丁；在攻击爆发当天即发布预警，提醒用户应对其进行足够的重视，积极应对。并且除了公布漏洞和攻击消息，X-Force Exchange安全情报平台还提供了用于防御的Snort规则、此波攻击主要IP、已发现恶意软件哈希值等多项重要信息，便于用户进行自查和防御。

给所有企业的防护行动建议

企业级客户可以采取下面的步骤防范此类攻击，或者现在就寻求帮助：

•立刻对系统打补丁以阻止攻击。例如，IBM的 BigFix 解决方案几个星期以前就可以自动部署防范WannaCry2的补丁包。

•部署安全情报系统以及时探测攻击，例如Watson for Cyber Security。

•与企业安全团队一起开发应急响应手册, 以便在受到攻击时快速进行响应和应对。

•确保您的雇员、供应商以及其他与您公司有业务往来的相关方得到日常安全培训，例如如何发现可疑邮件（有可能藏有钓鱼链接）。

•参考X-Force Ransomware Response Guide （X-Force专门针对勒索恶意软件的指南）来评估组织是否准备好应对此类攻击。

•跟踪X-ForceExchange （X-Force 情报共享平台）的最新发布内容以及网站SecurityIntelligence.com

欢迎联系CA88集团咨询IBM产品信息

CA88集团联系方式

咨询热线：400-830-0107

CA88官网：www.clw500.com

客户垂询邮箱：Customer@clw500.com

客户垂询QQ：1305742380

地址：深圳市福田区深南大道1006号国际创新中心C座11楼

邮编：518026