2017 年05 月17日

WannaCry肆虐全球各地大屏幕!

企业

木马加密勒索软件WannaCry在全球大爆发给各行各业造成了无穷无尽的麻烦。然而,我们预计在基础设施中采用了嵌入式系统的公司受这种恶意软件的影响最大,会最恨始作佣者。

理论上,勒索软件创建者应该不会对嵌入式系统感兴趣 – 让人怀疑的是有人会为这样的纯使用系统支付赎金吗?因为这种系统不保存任何有价值的数据,而且硬盘会经常重新格式化。但是WannaCry对攻击对象不挑不拣,它利用的漏洞具有特殊性,因此能够自主在本地网络上大肆传播,感染所有未打补丁和无防御的机器。

晴天霹雳

有人说这次大规模爆发的勒索软件感染事件简直是晴天霹雳,这种说法并不公平的:嵌入式系统欠缺安全性并不是新问题,长期以来,人们一直都知道这种系统的防御措施(如果有的话)不及工作站和服务器。WannaCry不过是使这个问题重新暴露在人们眼前罢了。

一说到嵌入式系统,你可能会想到ATM机和POS机终端。事实上,确实有一些ATM机和POS机被感染,尽管这些终端可能根据合规性要求安装了一些保护软件,也通过威胁模型寻找系统中的潜在威胁。像信息显示屏、医疗设备和自动售货机等系统的感染数量似乎更多 – 实际情况可能更糟。

对于被感染的嵌入式系统的所有者,就算知道不用向犯罪分子支付赎金也不会感到好过,因为他们仍然会遭受显而易见的损失。

失灵的自动售货机、ATM自动取款机或自动售票机意味着现金不足。

公共大屏幕上的赎金通知向客户表明”我们的安全性非常糟糕”。很难估计这样的信息会给公司声誉造成怎样的损害。客户看到这样的消息后还会选择这家公司吗?

被感染终端需要修复。如果你使用了数百个终端,可以算出这要花多大一笔钱,尤其是考虑到终端的地理分布情况,以及员工必须重新安装操作系统并对安全设置进行更改的急迫性。有些设备可能使用的是过时的软件,这种问题非常棘手,甚至不可能重新安装软件。

下面屏幕上的内容在社交网络中广泛传播,想忽略都不可能。

如何解决问题

为什么嵌入式系统会缺乏保护呢?有两方面的原因:一是到目前为止,嵌入式系统的安全性往往被人们所忽视。二是这种系统很可能是在旧硬件上运行,使用低带宽的互联网通道和过时的操作系统。似乎这些系统并不适合在其硬件资源基础上运行安全解决方案。

我们不得不承认,从某种程度上来说,WannaCry促使全世界不得不重视嵌入式系统安全性问题。事实上,使用传统的反恶意软件解决方案来保护嵌入式系统,可能并不是最有效的办法。所以我们专门针对各种嵌入式系统开发了卡巴斯基嵌入式系统安全解决方案。这种解决方案在资源密集程度上低于桌面安全解决方案,但它能采用大量桌面级安全功能来防止系统感染。

对于加密恶意软件攻击(包括WannaCry),这种解决方案的工作方式如下:

  • 默认拒绝模式是该产品运用的核心技术。在此模式下,会阻止执行未列入白名单的任何代码(包括脚本在内)。所以,即便加密恶意软件能够渗透到系统中,例如隐藏在合法的软件包中,也无法执行。
  • “进程内存保护”组件用于分析内存中进程的完整性,并阻止利用已知和未知漏洞的尝试行为。
  • “卡巴斯基嵌入式系统安全解决方案”包含一个集中控制的防火墙,允许在发现漏洞后迅速禁用该漏洞使用的端口。
  • 用于控制连接USB设备的技术使此解决方案的功能得到进一步增强。这可以阻止不受信任的USB设备感染系统,例如在维护过程中有可能会发生的感染。
  • 作为可选项提供的反恶意软件模块能清除系统中的所有被感染文件。

根据我们的记录,凡是通过”卡巴斯基嵌入式系统安全解决方案”保护的系统,均未感染WannaCry。该解决方案目前在世界各地保护着几十万台嵌入式系统,所以不夸张地说,这个解决方案经受住了这次现实生活中的严峻考验。因此,如果你的网络基础架构包括运行Windows Embedded的嵌入式系统,我们强烈建议你试用我们的解决方案