花心思好好調整現行狀況: WannaCry 告訴我的一件事

2017 / 05 / 16

編輯部

這兩天大家都被WannaCry(想哭)這個勒索軟體弄得風聲鶴唳，許多資安專家發表了不同的高見，甚至各式的懶人包告訴你如何處理。很多朋友在問，我們公司已經有安裝防火牆了，這樣難道還不夠嗎?或是我們單位有架設了三層的防火牆，這樣子一定是萬無一失。其實防火牆和這次事件的關聯性沒有那麼直接。我們不希望大家因為這個事件而受害，但同樣的也不希望明天新聞過後，又回復到以往的工作模式。除了大家在那邊繪聲繪影外，我們也希望能提供給大家另外一個層面的思維。

就目前所看到的消息指出，這次的起源很有可能是美國國家安全局因蒐集情報所發現的漏洞，卻很不幸的被駭客組織拿來運用。微軟雖然已經在今年三月發出更新修補漏洞，但仍然還有許多單位沒有進行修補，以致造成今天的門戶大開，甚至微軟此次還提供了許多暫停服務(End of Service)的更新。如果這樣的資訊屬實，那我們反觀一下目前的實務作業。理論上來說，有了修補程式，就應該先進行測試，測試完成之後，就要開始做逐步的更新。然而很多系統都處於邊開發邊上線的階段，根本不太可能一下子就做程式更新，而且開發期都已經被壓縮了，只能讓系統先趕著上線，之後再回來修改。但這就演變成一個循環，就是修補程式越拖越久，需要修改的程式也就越改越多。

經過了一段時間，有些單位乾脆自動把修補程式等級調降，不是把原先高風險的漏洞調整成中風險的項目，再不然就是每次進行弱點掃描的時候，主動把某些高風險項目給剔除，或是調降風險等級。

如果檢查稍微寬鬆一些，就會發現各個項目都有執行，但實際上有沒有執行完整及落實確是一個很大的問號。甚至經過一、兩年，原有的作業系統已經都要更新了，舊的漏洞還是沒有補上，甚至已經暫停提供服務的軟、硬體，還在繼續使用。

最明顯的例子，就是去年發生的ATM盜領案，後來才發現許多行庫的提款機設備都還是使用已經停止服務的作業系統，之前對外的講法都說提款機是封閉式環境，不會對外直接連通。在事件發生後才發現之前的假設是需要調整的，陸續分批採購更新。也許是暫時取得方便，但卻是真正的問題並沒有解決，只是讓事件暫緩發生而已。

同時，就這次的勒索軟體而言，已經不再是單一透過郵件或是系統漏洞的方式，而是結合了兩種以上的方式，並且在短短的時間內就有新的變種方式出來，這也就代表著個別的掃毒、系統更新、弱點掃描、程式修正、程式修補的循環速度可能還要加快，我們從這短短一、兩天全球爆增的案例就可以得知。而從另一方面來說，除了各單位要採取比以往更嚴謹的態度，同時需要採取更加落實及快速的處理方式。從例行性的防毒作業、弱點掃描、程式修補，甚至於到防火牆規則的設定，似乎都應該要檢討一下。甚至於有部分資訊人員，以往抱著有做就好的心態都是需要調整的。

此外另一大塊需要再加強教育的，應該要包括一般使用者的教育訓練，我們發現從桌上型電腦、平板、手機，大家對於資訊的使用越來越多，但是對於相關的認知還是有些停滯不前。舉個最簡單的例子，雖然備份的方式越來越多，但大家備份的習慣還是不理想，一但發生了類似的案例，就只聽見網路上哀紅遍野。人類只有兩種情形才會積極改變，一是得到好處，另外一種則是遇到困難，但在資訊的路上，似乎大家都不自覺選擇後者。

勒索軟體真的不是一個新的議題，只是發現它的威力越來越大，台灣在這整個議題上走的不是快的，只期盼不要發生大事情時只有三分鐘的熱度，真正要走的長長久久，一定要花心思好好的調整現行的狀況。身為資訊路上的資訊資安人員，除了持續保有解決當下遇到的困難問題該有的積極態度外，對於問題背後真實的原因、使用端舊有不願調整的習性，將是做為資訊人員的另一種使命與推動改變的一環，即便再遇到此類此問題時，更是可以冷靜面對、清楚問題，聚焦解決。

WannaCry 勒索病毒