如何缓解Petya和WannaCrypt等快速网络攻击 | MSRC博客

本文章是微软安全博客《How to mitigate rapid cyberattacks such as Petya and WannaCrypt》（2018年2月21日美国时间发布）的翻译版本。

在3篇系列博客的第一篇中，我们解释了什么是快速网络攻击，以及它在执行和结果方面与其他攻击的不同之处。第二篇文章详细介绍了Petya及其工作原理。在这最后一篇文章中，我们将介绍以下内容：

• 微软为缓解快速网络攻击提出的建议路线图
• 基于对全球组织调查结果的快速网络攻击及其缓解方法的外部视角

考虑到安全卫生问题的日益严重以及组织遵循和实施多种推荐实践的难度，微软采取了新的方法来解决这些问题。我们积极与美国国家标准与技术研究院（NIST）、美国互联网安全中心（CIS）、美国国土安全部国家网络安全和通信集成中心（DHS NCCIC，前身为US-CERT）、行业合作伙伴以及网络安全社区合作，共同开发和发布关键卫生实践指南，并实施参考解决方案。首先，我们将介绍与补丁管理相关的快速网络攻击的推荐建议。

缓解快速网络攻击的规范性建议路线图

我们将缓解建议根据其在风险降低中的效果分为四类：

1. 漏洞利用缓解：缓解蠕虫和攻击者在环境中传播和横向移动所依赖的软件漏洞。
2. 业务连续性/灾难恢复（BC/DR）：在遭受破坏性攻击后快速恢复业务运营。
3. 横向移动/特权访问保护：缓解利用伪装技术和凭据盗窃攻击的横向移动（感染）。
4. 攻击面缩减：在所有攻击阶段（准备、入侵、横向移动、执行）减少关键风险因素。

我们认识到每个组织在网络安全方面都有独特的挑战和投资重点（人力和技术），并且难以立即或优先实施所有建议。为此，我们将缓解快速网络攻击的基本（默认）建议分解为三类：

• 快速胜利：建议组织在最初的30天内完成。
• 90天内：建议组织在中期内完成。
• 下一季度及以后：建议组织长期完成。

下图展示了缓解这些攻击的基本建议：

此列表基于微软实际调查这些攻击（并协助组织恢复）以及与众多行业专家合作的经验，经过谨慎的优先级排序。这是默认建议，应根据每个企业已实施的防御措施进行调整。有关每个建议的详细信息，请参阅已发布的幻灯片（英文）中的说明和演讲者笔记。

在优先考虑最初30天的快速胜利时，我们主要考虑了以下几点：

• 该措施是否直接缓解了攻击的关键组件。
• 许多企业是否可以在不显著影响现有用户体验和业务流程的情况下快速实施（配置、启用、部署）该缓解措施。

除了基本建议外，微软还提供了一些额外的建议，这些建议可能根据组织的具体情况提供重大好处：

1. 确保外包合同和SLA符合快速安全响应要求。
2. 在可能的情况下将关键工作负载迁移到SaaS和PaaS。
3. 验证现有的网络控制（互联网入口、内部实验室/ICS/SCADA隔离）。
4. 启用UEFI安全启动。
5. 完成SPA路线图的第2阶段。
6. 保护备份和部署系统免受快速破坏攻击。
7. 在所有工作站上限制对等流量。
8. 使用应用程序白名单。
9. 删除终端用户的本地管理员权限。
10. 实施现代威胁检测和自动响应解决方案。
11. 禁用不必要的协议。
12. 将不安全的协议替换为安全的等效协议（如Telnet→SSH、HTTP→HTTPS等）。

这12项建议对特定组织或情况可能有益，但未包含在基本列表中有明确的原因。感兴趣的读者可以在已发布的幻灯片（英文）的演讲者笔记中找到更多信息。

快速网络攻击及其缓解方法的外部视角

2017年11月下旬，微软主持了一个关于此主题的网络研讨会，并向包括845名IT专业人员在内的与会者征求反馈，这些与会者来自小型组织到大型全球企业。调查结果揭示了一些有趣的见解：

• 是否经历过快速网络攻击：当被问及是否经历过快速网络攻击（如WannaCrypt、Petya等）时，38%的受访者表示“经历过”。
• 对SPA路线图的了解：关于微软特权访问保护（SPA）路线图的了解程度，66%的受访者表示“不了解”。
• 补丁应用系统：关于在不同系统上应用补丁所需的天数（7天内、30天内、90天内），许多受访者似乎对其团队能够快速应用补丁充满信心：
  • 83%的组织可以在30天内为工作站应用补丁，44%的组织可以在7天内完成。
  • 81%的组织可以在30天内为服务器应用补丁，51%的组织可以在7天内完成。
  • 54%的组织可以在30天内为Linux/其他设备应用补丁，25%的组织可以在7天内完成。
• SMBv1的删除：关于删除SMBv1的计划，26%的受访者表示已完成删除，21%表示正在进行删除过程，18%表示计划删除。

阻碍采用路线图中建议的因素：关于阻碍组织采用微软提出的快速网络攻击保护路线图中建议的因素，前三大原因是：

1. 时间不足
2. 资源不足
3. 高层管理人员/执行人员的同意或支持不足

为了帮助组织克服这些挑战，微软可以提供以下支持：

• 协助实施SPA路线图和快速网络攻击指南（英文）中描述的缓解措施。
• 使用企业级恶意软件探索、分析和逆向工程技术调查活跃事件。这还包括提供针对组织环境的定制网络威胁情报和战略指导，以防范高级持续性攻击。微软通过现场团队和远程支持，协助调查可疑事件、检测恶意攻击并响应安全漏洞。
• 使用与活跃事件响应类似的方法，主动探索环境中可能存在的持续性攻击者。

有关微软事件响应的更多信息，请联系您的技术客户经理（TAM）或销售代表。

更多信息

希望这篇关于快速网络攻击及其缓解建议的三部分博客系列对您有所帮助。有关快速网络攻击的更多详细信息和额外资源，请参阅以下链接：

• 点播网络研讨会《Protect Against Rapid Cyberattacks (Petya, WannaCrypt, and similar)》

相关文章：

• 快速网络攻击的一种：Petya概述
• 快速传播的网络攻击“快速网络攻击”概述
• 升级的重要性：2017年勒索软件传播期间证明有效的Windows 10下一代安全功能
  更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
  公众号二维码