网络安全专家说延迟或忽视微软两个月前发布的补丁为当前的勒索软件打开了方便之门。那么为什么首席信息官要坚持打补丁呢?
WannaCry勒索软件感染了数千台Windows电脑,这是对安全软件的重要性的清醒的提醒,尤其当重要的漏洞有了补丁之后。虽然让受感染的公司蒙羞很容易,但是专家说微积分比这难多了。不管怎样,专家认为WannaCry已经足够严重,值得立即打补丁。
快速摘要:黑客放出恶意软件在电脑间传播,通过加密数据让电脑瘫痪,然后要求300美金的解锁费。这个用EternalBlue服务器信息块蠕虫创建的勒索软件是黑客从国际安全局偷来的,影响了运行Windows 7和Windows XP的电脑。
微软于3月14日发布了阻止WannaCry的安全更新。微软整个周末都在为2014年就停止支持的Windows XP发布了类似的补丁。但WannaCry的传播速度太快了,跨越150个国家的联邦快递,雷诺,英国国民健康服务(NAS)和其它机构有超过200000台电脑被这个勒索软件感染。WannaCry表明更大范围的攻击开始了,因为该勒索软件的变种已经在周一影响到一些电脑了。
打不打补丁
该消息让IT部门陷入混乱。首席信息官和首席信息安全官们争先恐后地减轻破坏,到底要不要打补丁的决策是一个值得企业探索的过程。
网络安全公司Carbon Black的首席技术官,前国家安全局分析师Mike Viscuso说IT部门的团队按月或按季度为数十甚至数百个他们内部部署的应用打补丁或进行升级。在补丁出来之前,IT部门会进行回归测试以确保他们的定制软件仍然运行新代码。
微软的区域负责人Troy Hunt在Pfizer对多个操作系统和浏览器进行升级,他说补丁最痛苦最昂贵的部分是确保与现有软件的兼容性。
Hunt在他的博客里写道:“我记得的最后一个补丁是关于Internet Explore的升级,修正机构里非功能的网页应用的成本高达七位数。机构应该积极主动地监视,测试和推出这些补丁。这并不好玩,它很烧钱并且它仍然会打破其它依赖性,但是另一种选择很可能导致像英国国民健康服务(NHS)那样的结果,甚至更糟。”
Viscuso说无法测试出补丁的不兼容性是很危险的。比如说,如果一家金融服务公司在进行升级时破坏了一个重要的高速交易应用,它必须关闭应用并修复代码,停机时间可能会让公司遭受数以百万计的损失。
顺得哥情失嫂意...
但是不能及时打补丁也会招致风险
当供应商在正常的补丁周期外发布一个补丁,就像微软那样在3月14日发布MS17-010,它打乱了公司的IT和业务流程制定的步伐。Viscuso说很多公司一直等到下一个周期才推出一些东西。这就是为什么有这么多公司受到了WannaCry的影响,他们在微软发布升级的时候还没有打补丁。
安全软件制造商迈克菲的首席技术官Steve Grobman说为WannaCry漏洞打上补丁是不用动脑筋的事儿,但它也提出了一定的挑战,因为它可以被远程利用。只要连上网络就有可能引入威胁。
但因为这个补丁是处理服务器信息块的,而服务器信息块是操作系统启用文件共享的部分,所以在打补丁期间破坏应用的可能性是很高的。Grobman说这种风险对于有大量旧应用的机构来说尤其高,其中一些旧应用可能有20年甚至是几十年历史了,它们的开发者可能已经故去。故此很多公司就是选择不打补丁。
“当他们去工作时把壶留在炉具上而很多年一直都没出事。”Grobman如是说。“当你做危险的行为时仅仅是因为坏事没有发生,但这并不意味着危险的事情不会发生。”
Grobman希望首席执行官们重新调整他们的IT过程,采取更激进的方法打补丁。当Shadow Brokers的黑客团队声称从国家安全局偷了EternalBlue和其它的漏洞利用并杨言会盗取更多漏洞利用时这个就显得尤为重要。
但是,Carbon Black的Viscuso说随着每年大约5000多个漏洞的出现,让首席技术官为所有的漏洞打上补丁是不可能的。他说首席技术官必须把那些对企业构成最大威胁的漏洞分级,测试它们并制定升级计划。
给首席信息官的讯息:时常保持你的工作电脑升级到最新补丁并在必要时打应急补丁。确保电脑运行在当前操作系统并管理你的杀毒软件。每晚备份电脑和服务器,这样的话即便勒索软件真的入侵了你的网络,你也可以快速恢复资源。
本文转自d1net(原创)
