当前位置:安全客 >> 内参详情

【用户故事】从 “永恒之蓝”蠕虫攻击事件的响应处置 看态势感知的价值

2017-05-23 18:57:32 阅读:788次

从上周五(5月12日)开始,一种WannaCrypt(永恒之蓝)勒索蠕虫在全球范围内进行了大规模攻击,加密锁定用户电脑硬盘中的重要资料,索要300美元赎金,上演了一场全球大勒索。

2天时间内,英国国家健康服务网络、美国联邦快递、西班牙电信巨头Telefonica、法国雷诺汽车、德国的联邦铁路系统、俄罗斯内政部、日本日立公司先后有系统被攻陷,重要数据被锁定,造成部分业务中断或无法正常运行。

http://p3.qhimg.com/t01a731ec5b2d69164a.png

图:全球永恒之蓝勒索蠕虫传播态势 (图片来自malwaretech.com)

国内也有数万个组织和机构被感染,影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域,造成很多业务无法正常开展甚至运营中断。

http://p5.qhimg.com/t01023b98ac8ae09c2c.png

图:国内永恒之蓝勒索蠕虫传播态势(图片来自360安全态势感知系统)


争分夺秒的72小时

在蠕虫爆发后,各大网络安全公司都在积极行动,帮助受感染机构进行紧急处置,同时发布预警、处置手册、防护指南、处置工具和方案。


5月12日

14:26分,360威胁情报中心发现安全态势异常;

15:00分,360威胁情报中心监测到国内第一个“永恒之蓝”勒索蠕虫中招用户;

20:00分,360威胁情报中心开始对永恒之蓝勒索蠕虫攻击进行重点监测;

21:00分,360威胁情报中心向终端安全系统、防火墙等产品线发出响应预警通知;


5月13日

1:23分,360安全监测与响应中心接到求助:某央企内部已大面积爆发,随即成立应急响应小组;

1:38分,360安全监测与响应中心发现多家大型政企机构的系统受到该蠕虫威胁,成立“永恒之蓝”(蠕虫WannaCry)攻击事件处置指挥中心;

1:40分,360专项态势感知——永恒之蓝勒索蠕虫感染态势上线,实施监测永恒之蓝勒索蠕虫的传播态势,呈现全国范围内的不同地区、不同行业的的感染时间、地点、数量以及趋势,这个态势感知系统成为360和部分监管单位在之后60多小时应急处置过程中的情报中心;

http://p3.qhimg.com/t014d991a12891476b4.jpg

图:360永恒之蓝勒索蠕虫攻击事件处置指挥中心

1:42分,360安全监测与响应中心向第一个求助企业提供了初步处置方案;

2:25分,360安全监测与响应中心给该企业发送《关于防范基于SMB文件共享传播的蠕虫病毒攻击》报告;

3:09分,鉴于事件严重性,360企业安全正式成立永恒之蓝勒索蠕虫攻击事件应急小组,总裁吴云坤任总协调人,建立产品、交付、安服、技术专家的协同机制,紧急调动100多名技术人员进行技术响应;

5:00分,各产品研发团队开发专杀与免疫工具,进行应急保障;

5:47分,360安全监测与响应中心对外发布首个《360针对永恒之蓝攻击预警通告》;

7:25分,360防火墙产品对客户发布《360防火墙针对“永恒之蓝”勒索蠕虫的防护方案v1.0》并持续根据病毒传播的情况更新;

7:30分,360天眼产品对客户发布《360天眼针对“永恒之蓝”勒索蠕虫的检测方案》;

8:00分,360天擎产品通过官网公开发出免疫工具OnionWormlmmune;

。。。。。。


据360企业安全集团总裁吴云坤介绍:“72小时内,360推送给政企机构的预警通告更新了8个版本,提供了7个修复指南,6个修复工具。出动近千人,提供上万次的上门支持服务,超两万多次电话支持服务,我们还制作了5000多个U盘和光盘发放到客户上手上,手把手教会客户修复电脑,配置网络。”

网信办、公安部、工信部和各地公安机关、行业主管机关等政府机构及时协同组织预警处置,全国各地党政机关、大型机构均已启动了针对永恒之蓝勒索蠕虫的应急响应机制,在周一上班前向员工发布了安全预警和开机操作流程提示。

“从我们的实际反馈看,证明了之前所有处置和响应工作是有成效的,360威胁情报中心接到的求助信息看,周一只有个别机构和企业有零星电脑感染。”吴云坤说。

之前业界广泛担忧会出现黑色周一,主要是基于是大型机构和政府机构上班时间,会迎来电脑开机高峰,但从360威胁情报中心发布的WannaCrypt(永恒之蓝)勒索蠕虫态势显示,之前被业界广泛担忧的国内机构被大规模感染的状况并没有出现,周一受感染机构的增长速度比前两天明显放缓。


态势感知系统成为响应处置“大脑”

吴云坤坐镇指挥了360企业安全对永恒之蓝勒索蠕虫事件处置的72小时全过程,他认为这次之所以能够如此高效地帮助众多机构响应处置,并解决问题,360永恒之蓝勒索蠕虫传播态势感知系统发挥了重要作用。

http://p1.qhimg.com/t018ecbdf2252dc4de4.png

360态势感知系统对“永恒之蓝”蠕虫传播态势进行了重点监控


通过这个系统,指挥中心可以实时了解到全国感染和传播态势,每个地区、每个行业的感染状况,细化到感染时间、地点和IP,这样指挥中心就可以协调全国各地的技术团队及时为被感染机构提供支持,也大大提高了相关机构排查的效率。


在网络攻击全球化、常态化、组织化的今天,像“永恒之蓝”勒索蠕虫这样突发性强、波及面广、危害性大的安全事件已经成为能影响国家关键信息基础设施单位安全、社会秩序稳定的公共安全事件。网信办、公安部、工信部和各地监管机构机关、行业主管机关等政府机构需要具备对这类事件的全天候全方位的态势感知能力,随时掌握辖区内重点被保护单位的安全威胁态势,随时通报和处置各类安全事件。一旦威胁趋势呈现扩大的迹象,需要能立即启动不同等级的应急响应策略,将辖区内的安全风险控制在合理的范围内。


同时,还需要具备威胁情报收集、安全事件分析和综合研判能力,通过对一些情报和线索的分析,对将来可能发生的安全威胁进行准备,并做好预防措施。就拿这次事件来说,不法分子正是利用了上月泄露的NSA黑客数字武器库中“永恒之蓝”工具发起蠕虫病毒攻击。而“永恒之蓝”只是NSA黑客数字武器库中的其中一个,同样的武器还包括:永恒王者、永恒浪漫、永恒协作、翡翠纤维等二十余个。这些武器哪一个会被不法分子用于下一次大范围攻击?我们又能提前做些什么?这是每一个监管单位、政府部门、行业机构与大型企业需要认真思考并提前做出准备。


本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/news/detail/112.html

参与讨论,请先 | 注册 | 匿名评论
发布
用户评论
无任何评论