美军供应链面临严重威胁
文章指出,“WannaCry”勒索病毒在今年5月份的肆虐影响到超过个国家的30万名用户,已成为互联网历史上迄今为止最大规模的病毒攻击事件。受害者包括美国联邦快递、德国联邦铁路、英国国家医疗服务体系等。
在此次事件中,最易受到攻击的是那些未更新操作系统和运行较老版本微软Windows系统(主要是WindowsXP和WindowsServer)的机构。这些机构的电脑系统自年以来便未更新过安全补丁。
《国防》杂志注意到,“WannaCry”勒索病毒的工作原理是通过一个名为“双脉冲星”(DoublePulsar)的后门植入程序,利用微软服务器信息块中的漏洞发起攻击,并在易受攻击的网络内进行传播。有传言称,该勒索软件源自于美国情报机构国家安全局使用的“永恒之蓝”(EternalBlue)漏洞攻击程序。该技术于今年早些时候泄露,被不法分子利用。
目前,国际计算机安全界正忙于弥补此次勒索病毒肆虐所暴露出的漏洞。一些专家担心,类似的事件未来可能还会发生。尽管此次攻击本身后来由于“WannaCry”勒索软件源代码中的自毁开关被发现而得以终止,但事件中大量计算机网络因攻击而瘫痪的事实表明了网络准备不足可能导致的严重后果,值得警惕。
事实上,作为美国国家基础设施关键部分的美国防部供应链,尤其容易成为此类攻击的优先目标。资产贵重却防护有限,使其可能沦为黑客的天堂。美国防部供应链是世界上最大且运行最不稳定的供应链之一,对其关键资源的攻击,将可能产生灾难性的效果,可能导致美军无法应对紧急情况。
在近期的勒索病毒攻击事件中,黑客之所以能够屡屡得手,利用的是一个众所周知的事实——许多机构不及时修补和更新自己的计算机操作系统。而这些系统中的漏洞往往会被操作系统供应商作为版本发行说明加以公布,或在发行最新补丁时作为补丁特征专门标出。其结果是,黑客很快就会意识到这些漏洞将是可能的攻击点。如果不加防护,这些漏洞将会招致网络入侵。
很多中小企业都不及时安装新软件补丁,这往往是由于缺乏足够的资源。多数情况下,这些企业担心花费时间更新系统会导致生产力降低。此外,一些更新可能会很昂贵,或要求外请IT专业人士完成。还有一些情况下,不及时更新则是因为根本就没有意识到其必要性。
无论是出于何种原因,一个不争的事实是,中小型企业是网络攻击的主要受害者。尽管大型企业是高价值目标,但小型企业环境中存在的大量易感目标使这些企业成为诱人的猎物。据估计,高达80%的网络攻击都始于中小型企业集中的供应链。
在某个层级的一个小小切入点,便可能对整个供应链产生重大影响。以“WannaCry”病毒为例。该勒索软件能够以一台易受攻击的电脑作为切入点,感染整个连通的网络。这意味着一处漏洞便足以瘫痪整个系统。
中小企业该如何进行补救
对于美军来说,幸运的是,可以从近期的勒索病毒攻击事件中吸取多个有用的教训,根据建议采取最佳做法来确保国防部供应链在全球范围内的端到端安全。
《国防》杂志认为,如今商业界的一些做法存在隐患。通常情况下,很多网络设备在超出使用期限后很久,仍能按通常的标准“正常”运转。但就像软件漏洞总是随更新版本一道公布一样,网络设备制造商也总是在发布新产品时公布先前型号的不足之处。对于这些潜在的“切入点”,黑客们往往了如指掌。因此,必须要注意硬件的可靠性,无论网络设备在超出使用期限后的运行看上去是多么“正常”,都应该在其未过期前便提早进行相关准备。
对整个网络的防护水平进行检查——尤其是从内部自检——是一件艰巨的任务。在一个复杂的软件系统内,大量的设备在同时执行关键任务,想要掌握全局几乎是不可能的事情。那么,处于国防部供应链上的那些企业如何才能保护自己呢?
目前,一个获得业界承认的方法是,将进行漏洞评估作为保护网络的第一步。在评估过程中,将会列出一个机构中的所有贵重资产,过时的软件系统、超出使用期限的设备以及所有相关的网络接口也都会被识别出。
基本的管控举措包括制作出囊括公共和个人网络上所有设备的详细清单,其内容包括有关设备位置、功能和所属部门的详细信息,同时制作包括所有软件及其相关信息(如版本、使用情况、补丁水平和是否经过授权)的清单。此外,还有必要对网络端口、协议和服务进行审查,评估其是否是必需的,并检查其是否及时更新且运行完全正常。
评论指出,网络基础设施中的漏洞往往是企业本身、操作系统供应商、设备制造商等行为变化造成的结果。对企业网络进行持续监测,对于识别那些可能导致黑客攻击的行为变化至关重要。它使得及时通报可疑活动成为可能。
关于持续监测,最佳做法包括至少每周进行漏洞扫描,定期对扫描结果进行对比,以确保软件合法性,并准确预测那些可能导致漏洞的变化出现的时机和地点。
当然,意识到漏洞的存在还远远不够。企业还必须迅速采取行动,修复安全漏洞,并实施长期解决方案。调查显示,目前,高达59%位于美国防部供应链上的中小型企业没有数据外泄应急协议。也就是说,超过半数的美军供应商没有应对甚至上报网络攻击事件的工具。
《国防》杂志认为,漏洞评估一旦完成,应当及时对关键问题进行整治。具体做法包括但不限于:将关键设备移至专用网络、自动进行软件升级和修补、删除过多的端口、对所有系统用户进行网络防护相关培训等。
如今,运营一家现代企业比以往需要考虑远远更多的问题。鉴于网络威胁时刻存在,一家公司要想在受到保护的情况下保持流畅运行,就绝对必要确保网络安全。对于资源有限、能力有限的中小企业而言,提高网络防护水平虽然是一项大得多的挑战,但并非不可实现。
前不久的勒索蠕虫病毒攻击事件充分表明了漏洞是多么的容易被黑客识别并利用,但也揭示出如果业界公司能够采取积极、持续、警觉的网络安全举措,本可以轻易避免此类攻击。今后,只有那些主动作为、积极采取预防措施的中小企业,才能够有效地确保公司、员工、资产和客户的安全。
本报专稿余淮安
赞赏
