本文要點
- NotPetya造成了嚴重的破壞,它突顯出很多本可以讓恢復變得更快更便宜的措施
- 我們應該預計到未來的攻擊會更具破壞性,因此,需要更加強健的恢復計劃
- 從可信邊界模型(trusted perimeter model)到零信任模型(zero-trust model)的轉移提供了更強大的防禦姿態,並且可避免很多隔離問題
背景
2017年6月,Petya惡意軟件的一個變種被用於發動了一次針對烏克蘭的網絡攻擊 。據信,最初的來源是對本地會計軟件包MeDoc的更新。在幾個小時內,該惡意軟件從其烏克蘭的辦公室開始一直擴散到全球公司的網絡,特徵是摧毀整個Windows桌面和服務器環境。NotPetya惡意軟件看似密碼鎖定勒索軟件,就像幾周前發生的WannaCry病毒,但是,事實並非如此。它沒有勒索,沒有要求受害者支付比特幣以取回受影響的硬盤或其上的數據。在記錄了清理工作以及其對一些大型跨國公司運營的影響之後,Wired說這是“歷史上最具破壞性的網絡攻擊”。
在我們迎來NotPetya事件兩週年之際,作者基於其親自參與該事件發生後的活動經歷,寫了這篇回顧文章。在事件發生之後,NotPetya似乎成了會改變整個IT行業的事件,但是,事實並非如此,幾乎所有的經驗教訓都被忽視了。
如果情況會更糟糕的話,那麼下一次就會如此
NotPetya對受其感染的Windows機器的C盤加了密。它沒有影響D盤、E盤或F盤等,並且對Linux、Unix、Mainframe或Midrange機器也沒有影響。顯然,該惡意軟件的目標是攻擊桌面系統(運行MeDoc會計軟件包),因此它的破壞性有限。一個通過任何額外的硬盤/分區工作的簡單迭代器將破壞Exchange服務器、SQL數據庫以及文件服務器,而不在系統磁盤上的數據不會受到影響。
整個Windows桌面系統和服務器系統磁盤的破壞產生了很大的影響,但是,基本沒有影響有關公司的“賬簿和記錄”。這些數據沒有受到影響的原因是,這些數據駐留在其他盤上或是在非Windows系統中。
我們要爲下次攻擊及其帶來的損害做好準備,就應該考慮好下步的計劃,而不僅僅是恢復對記錄系統的訪問(這是在NotPetya事件之後的主要操作),還要保護好這些記錄系統。我們應該預料到惡意軟件會全面地破壞Windows系統,並利用其它操作系統的漏洞(暴露給受損的Windows機器)。這應該不侷限於PC機和服務器,尚未受到NotPetya攻擊的NAS文件管理器、SAN和網絡設備也是破壞的潛在目標。
什麼是可信的?
有個問題阻礙了最初的恢復,那就是,惡意軟件是如何傳播的,以及它已經潛伏了多久?如果我們打算回到攻擊之前的已知安全點,那麼,那是什麼時候?之前被認爲“已知的好”,往好裏說是“已知的脆弱”,往壞裏說就是“具有傳染性”。確定折中的方式和時間成爲當務之急。
讓取證人員搞清安全點所在的位置可能非常耗時,但是,與此同時,任何恢復都有被重新發布的惡意軟件所破壞的潛在可能。我們不得不在重建核心系統和服務的隔離及訪問記錄系統(以便公司能繼續運營)之間進行權衡。
問題的根源在於發生事件之前建立的信任網絡。可信的網絡和身份管理系統(如Active Directory)一旦受到損害,就不再可信,但是,這種信任的質量通常是基礎設計的選擇,會影響大量操作注意事項。谷歌(遵循 Aurora行動的妥協)轉向了“BeyondCorp”,這是一個零信任模式,它與Jericho Forum的去邊界方法有相同的特點。
大規模恢復
備份和恢復計劃通常是圍繞良性條件下單系統故障設想的。如果恢復一塊磁盤需要1個小時左右,那麼,沒有什麼問題。但是,如果我們需要恢復5000臺服務器,它們依次都需要1小時來恢復,那麼就需要208天,差不多是30周。而我們有多少備份服務器呢,可以並行做多少恢復操作呢?
傳統的備份和恢復在當初設計時就不是用於大規模恢復的,當備份服務器自身受到攻擊影響時更是如此。但是,這裏有兩種好用的方法:
- 回滾到快照:由於系統越來越虛擬化,對已知的良好配置拍個快照變得很容易,同時,寫時複製(copy-on-write,簡稱COW)文件系統在存儲方面使其變得相當有效。
當然,快照只有先拍出來才能用於回滾。NotPetya的悲劇之一是,明明只要幾秒鐘就能恢復新近安裝的基礎設施,但因爲缺少快照而無能爲力,其原因可能是“那是另一個團隊做的”或“沒有足夠的存儲空間”。
- 通過持續交付管道重啓——使用更新、更有彈性、不會被攻擊的版本來做。
注意,傳統的“補丁管理”與這條交付管道是平行的,之所以使用它,是因爲主流機制太慢了。
利潤最大化是失敗的理財
對許多公司來說,NotPetya恢復的一個障礙是舊設備(通常是報廢的)的使用。使用了數百臺老舊的機器,用新機器的話只需幾臺就可以完成任務。由於SAN有幾年沒有升級了,因此,沒有用於快照和虛擬磁帶庫(virtual tape libraries,簡稱VTL)的存儲空間。
使用舊設備的動力來自資本支出(capital expenditure,簡稱CAPEX)和會計人員,他們認爲可以巧妙地從一項通常是完全貶值的資產中榨取更多價值,因而使用舊設備。問題是,舊設備消耗更多的電力,因此,增加了大量的運營支出(operational expenditure,簡稱OPEX)。根據庫米定律(Koomey’s law,跟摩爾定律相近),我們發現,在CAPEX和OPEX之間的平衡點通常驅動着一個以3年爲一個輪迴的設備更新週期。如果服務器和存儲設備的使用時間超過了3年,那麼,舊設備的電力開銷就會遠遠大於新機器,而新機器應該更容易維護,恢復也更簡單。
網絡保險不覆蓋“戰爭行爲”
NotPetya事件之後的恢復既耗時又費錢。購買了網絡保險的公司提出索賠來支付這些恢復費用。至少在一個重大的索賠案例中(索賠1億美元),保險公司利用了這一排除條款:在“和平或戰爭時期”由“政府或主權國家”採取“敵對或戰爭行爲”。於是,這走上了訴訟之路(仍在進行中),保險公司必須證明攻擊的歸因。
具有諷刺意味的是,網絡保險可能最終被證明是確保企業爲未來攻擊進行更好準備的關鍵。長期以來,信息安全界的經濟學一直假定,保險可能通過直接立法來實現安全方面的改善,而這是無法實現的(比如,就像年輕騎手被高性能摩托車的高價擠出市場一樣)。要做到這一點,需要更強大的網絡政策授權(可能必須立法),同時,保險公司也將更積極地界定對投保人的最低要求(就像它們針對家庭保險中對窗鎖做出的規定一樣)。
未來不僅跟防護措施有關,也跟可恢復性有關
受NotPetya(以及在此之前的WannaCry)影響的每家公司都有一定程度的安全保障措施,通常是防火牆、殺毒軟件和補丁管理。很顯然,這種防護措施不夠完美,否則本次攻擊本該被挫敗,但是,一個完美的防護措施成本非常高,也不現實。在我們處理防護措施不完美的現實時,在預防和反應措施之間做出選擇是有必要的。安全專家Bruce Schneier在他的恢復力(resilience)標籤上指出:“有時候把錢花在緩解上比花在預防上更有意義”。在緩解方面的投資也能以各種與攻擊無關的方式獲得回報:本該在測試環境中的修改,卻意外地改在了生產環境,而這可以在幾秒內修復,只需恢復到最後一個快照。
邁向零信任模式
NotPetya不太可能長期保持“最有破壞性的網絡攻擊”頭銜。總會有其他攻擊,我們應該預料到更糟的情況。從可信網絡模式轉到零信任模式是防禦這類攻擊的最有效方法。但是,應該把力量集中在可以快速恢復的措施上。可以通過轉向現代設備和軟件來幫助恢復,一般來說,會出現一個不錯的業務案例來支持這一舉措的。
作者介紹
Chris Swan是DXC.technology的全球交付副總裁兼首席技術官,負責領導跨產品系列的運營設計轉變,以及利用數據驅動客戶轉型和服務履行的優化。之前,他是Global Infrastructure Services的CTO和CSC公司的x86及分佈式計算的總經理。在這之前,他曾在Cohesive Networks、UBS、Capital SCF和Credit Suisse擔任過CTO及研發總監, 負責應用程序服務器、計算網格、安全、移動、雲、網絡和容器方面的工作。
原文鏈接: