我目前的理解
我從已經公告的內容理解,這個病毒爆發事件,在台灣時間八月三日星期五晚上開始爆發。台灣時間八月五日星期日公告發布的當天,已經控制(contained)病毒感染範圍,同時找到解決方案,同一天的下午兩點為止,受影響的機台80%已經恢復正常。預計八月六日完全恢復。目前(台灣時間八月六日晚上十點)為止,我還沒有看到完全恢復的公告。
病毒的感染來源是「新機台在安裝軟體的過程中操作失誤」,病毒在「新機台連接到公司內部電腦網路時發生病毒擴散」。破壞範圍並不包含公司核心資料,「公司資料的完整性和機密資訊皆未受到影響」。
從以上公開資訊,我判斷,並不是因為網路硬體的缺陷,讓病毒進入後爆發。病毒攻擊感染的對象,是用戶或是伺服器的主機作業系統。
網路團隊可以協助
回到我原本的主題。單純從網路系統出發,面對這種病毒攻擊事件,我認為網路團隊至少可以提供下面這幾種協助。同時,我也舉出一些可能的檢查點,也許其他的企業,可以同時作自我檢視。
攻擊偵測和分析(Detection and Analysis)
當網路系統觀察到不正常的流量和可疑的封包,可以提早告警。
透過網路擴散的病毒攻擊,一定會在正常的網路流量之外,產生不正常的流量或是封包。
如果我們平常就觀察記錄正常流量的基線(Baseline),要察覺出流量數值開始偏離正常值,應該不困難。
要取得這些流量數據,我們將會需要SNMP和NetFlow。我們企業的網路系統,是否已經具備這個功能了呢?是否可以自動抓取,自動保存至少最近三個月的數據呢?
病毒開始擴散的時候,很可能會丟出不少的探測封包,標定哪些主機是可以被攻擊的。因此不合理的探測封包來源的出現的時候,例如ARP封包、廣播封包、ICMP、TCP/UDP Port Scanning,我們可以合理的懷疑這些封包來源有問題。
我們自己企業網路裡面,是否可以判別這些異常封包的活動?可以抓出來源嗎?能夠紀錄不正常來源的網路埠、MAC地址、IP地址等資訊嗎?
遏制(Containment)
網路系統可以啟動包圍、遏制攻擊活動,控制受影響範圍。
當其他團隊確認中毒的主機是哪幾部之後,我們是否可以立刻知道,這些主機有可能和哪些其他主機相連通嗎?可以透過防火牆、路由表、存取控制清單(ACL),立刻隔離它們的網路連通嗎?
最少,我們應該要能夠知道,這些產生封包的來源,到底接在哪一個網路硬體的網路埠上,我們可以快速關閉這些網路埠,而且,關閉了這些網路埠之後,不應該斷開對於這個網路硬體的管理功能。
復原(Recovery)
網路系統可以提供頻寬和優先順序,縮短復原的時間。
當主機要進行修復的時候,應該會需要將備份的資料、作業系統映像檔案,也就是大量的數據封包,傳送到受損的主機。我們的企業網路,是否容量規劃上足夠承載這種大規模的復原流量嗎?在共用網路埠上,能夠區分封包的優先順序嗎?
以上是我個人的觀察和建議的檢查點。我相信,台積電這種規模的公司,肯定將迅速的從這個事件中復原。
日本東京,「お台場海浜公園」 |
回頭看富士電視台 |
One more thing…
檢疫隔離(Quarantine)這個字的來源,其實就是義大利語的「40天」。也就是說,對於不知道是否帶有傳染病毒的來源,我們先將他們隔離至少40天,如果在這個時間內,沒有看到病毒的傳染,代表我們可以放心,這個來源應該是不帶傳染性的。
這個簡單的做法,面對未知的電腦病毒,我認為也有幫助。當不確定是否乾淨的未知系統,要接入生產網路之前,也許先接上一個虛擬的世界:裡面有Internet、各種電腦、網路硬體、等等。我們先觀察記錄它的行為,也許不需要到40天。如果被發現有疑似攻擊的行為,我們就可以先採取各種預防的步驟了。
我是洪李吉。希望我的心得整理,對於各位都有幫助。歡迎大家留言,聊一聊您對於這個事件的看法喔!
0 意見:
張貼留言
小技巧:也可以 匿名 留言!