“永恒之蓝”实战考验终端漏洞运维有效性
作者: 日期:2017年05月21日 阅:2,374

2017年5月12日起,利用Windows漏洞传播的“永恒之蓝”勒索蠕虫在全球范围内大规模爆发,全球近百个国家受到攻击,国内多家企业内网、政务网、教育网也被感染。经过72小时的艰苦奋战,在对抗“永恒之蓝”取得阶段性胜利之后,终端漏洞运维是否有效成为企业必须直面的问题。

终端系统漏洞是“永恒之蓝”能够逞凶的助力

“永恒之蓝”蠕虫之所以能在短短3天时间内就在全球范围内迅速扩散,归根结底是因为众多终端都没有及时给系统安装补丁。所以,不法分子才能借助4月泄露的NSA黑客数字武器库中“永恒之蓝”工具发起蠕虫攻击,利用Windows XP、Vista、Windows7/8以及Windows Server2003/2008/2008 R2系统漏洞在局域网内大肆传播,造成终端电脑上文档、图片、媒体等文件被加密,只有支付300美金才可以解密文档。

事件发生后,各大安全公司迅速启动应急预案,发布病毒传播态势播报,专业安全分析员加班加点对该蠕虫进行研究,第一时间发布免疫程序予以应对,并发布了一系列系统漏洞检查工具,帮助用户给受影响的系统安装补丁,使其免受“永恒之蓝”勒索蠕虫困扰。

五大难题让企业终端漏洞运维工作举步维艰

事实上,微软早在3月就针对本次攻击事件中的系统漏洞发布了安全补丁,企业用户只要把端漏洞管理工作做到位,及时打上补丁,完全可以避免受到“永恒之蓝”勒索蠕虫的困扰。但对于大多数企业用户而言,五大难题让企业终端漏洞运维工作举步维艰:

难题一,没有有效的漏洞管理平台,只能依靠单点运维。很多企业往往依靠Windows操作系统自身的更新机制来进行补丁更新。众所周知,微软补丁服务器在国外,加之企业外网带宽有限,往往需要花费很长时间下载补丁,然后再一台一台进行安装,费时费力,效率低下,也缺乏哪些终端打过补丁、打了什么补丁的有效统计。

难题二,无法保证补丁与系统的兼容匹配性,安装无法100%成功。Windows系统从个人PC到服务器版本,涉及32位与64位的20多个版本,对于非专业安全运维人员而言,往往不知道该下载哪些补丁,或者下载了错误版本的补丁,因此补丁安装工作往往以失败告终,工作反反复复,运维时间线会拉得很长。

难题三,系统打过补丁后重启蓝屏,无法正常进入系统。受限于国内对于知识版权的认知水平,个别安全运维人员为了方便,往往为员工电脑进行非正版的ghost快速系统安装,这些ghost系统可能是经过剪裁与精简的,在安装了微软某些系统补丁后,会因为缺少相关组件,导致重启后蓝屏,系统无法正常启动,这对安全运维人员来说是致命的,因为这意味着接下来要花大量时间进行数据转移备份,甚至重装系统。

难题四,终端有没有打好补丁,安全运维人员无从知晓。系统打补丁时往往造成系统资源的大量占用,使得电脑运行变慢,影响用户的正常使用,甚至可能出现应用程序强行关闭退出的情况,让用户辛辛苦苦正在编辑的文档来不及保存,因此很多用户在遇到打补丁开始之前的提示时就会强制退出,但安全运维人员对此可能一无所知。

难题五,遇到突发安全事件时,缺乏有效的快速应急响应手段。像本次“永恒之蓝”勒索蠕虫,很多企业内部安全运维人员无法及时对内网全部终端进行问题定位,无法对问题终端进行统一处置。

具备五大特征的产品才能确保漏洞运维有效性

尽管市场上有很多终端安全管理产品,但并不是所有产品都能解决漏洞运维有效性的问题:有的虽然提供了全网终端漏洞管理平台,但只能查看终端上的漏洞,不能统一下发补丁安装任务,漏洞信息通常引用微软国外服务器上的信息,内网用户想要查看时,可能受限于内网,只能看到空白页面;还有些产品根本不对补丁的兼容性进行验证,内网多台终端打了补丁后造成蓝屏、系统无法启动,这样的现象时有发生。

要想解决这些终端漏洞运维难题,企业安全运维人员需要一款真正有效的终端安全管理产品,它应该能够具备如下五大基本特征:

特征一,拥有高效的终端安全运维管理平台工具。这个工具可以替代Windows系统自身补丁更新机制,让全网终端快速有效的进行补丁安装,并对终端安装补丁后的信息做到有效收集,让管理员可以掌控全网终端补丁安装的差异性,为进一步细粒度运维提供依据。

 

特征二,拥有国内的补丁高速下载渠道,补丁事先进行兼容性验证。不同版本的系统补丁最好可以预先经过相同操作系统不同环境的安装验证,最大程度保障补丁安装的成功率。

特征三,拥有补丁安装回退机制。这样在安装了不合适的补丁系统蓝屏后,可以回退到打补丁之前的上一个系统状态,为安全运维人员提供“穿越时空”的能力,避免系统损坏后用户数据的丢失。

特征四,补丁安装智能化。可以进行补丁下载与安装的统一调度,保证终端用户的系统资源在打补丁时不被过度占用,避免影响用户正常的工作。同时对正在编辑文档的用户进行安全提示,以免给用户正在编写的文档造成不必要的破坏。

特征五,突发应急事件发生时,具备快速定位全网问题终端的能力,并可以对这些问题终端做出统一的快速补救措施,避免危险事态的进一步蔓延。

经过“永恒之蓝”勒索蠕虫的实战考验,企业终端漏洞安全运维工作的思路越来越清晰了:从终端安全与管理的角度出发,以安全运维为核心,以漏洞核查、补丁下载安装为重点,以补丁日志上报为辅助,具备不同操作系统下终端漏洞快速、有效、及时的修复能力。

作者:360产品与解决方案中心 徐展

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章