WannaCry不相信眼淚它需要你的安全防禦與響應能力

在過去的幾天裡，WannaCry惡意軟體及其變體影響了全球數百家組織與機構。

儘管每個組織都會因各種各樣的原因沒能及時對存在漏洞的系統做更新保護，或者擔心更新實時系統的風險，兩個月對於任何組織來用於採取措施保證系統安全也並不算太短的時間。

讓我們再回放一下最近的惡意軟體WannaCry攻擊事件，這也不失成為CISO和網路安全團隊來檢查IT安全戰略和運營的良好契機。以下五項是Fortinet基於多年的威脅研究與響應所做出的綜合性建議 ：

問問自己一個最根本的問題：“如果你知道自己將會被攻擊，你會做出什麼不同的選擇？”也就是設定“沒有絕對的安全”。你應該首先做以下兩件事：

1.建立安全事件響應小組。很多時候內部對例如如何去應對主動威脅的混亂，會延遲或阻礙及時採取適當的反應。這就是為什麼指定一個有著明確的角色和責任分配的事件響應小組至關重要。同時溝通線也需要建立起來，連同指揮鏈和決策樹。為了提高效率，該團隊需要熟悉業務，通訊流程和優先順序，哪些系統可以安全地關閉，以及如何確定實時威脅是否會影響組織的基礎架構的元件。該團隊也需要考慮各種威脅情景，並且在可能的情況下執行演練，以確定程式和工具的差距，確保響應立即有效。而且該事件響應小組需要一種不依賴於其IT通訊系統以外的可靠的聯絡建立方式。

2.通過使用基於後果的管理程式來限制不良後果。有效的安全策略不僅僅需要將安全技術部署到您的基礎設施中。安全規劃需要從對架構的分析開始，著眼於對發生攻擊或違規發生的不良後果。這次對抗勒索軟體事件說明一件事，保持關鍵資訊資產的備份與離線儲存。更通俗地說，基於後溝的管理程式需要的是：瞭解您的關鍵資產，確定您的組織機構中最易受到哪些威脅，例如遠端訪問拒絕，應用程式或資料的崩壞，或使關鍵IT或運營資產不可用等，以此來實現消除或者減少此此種威脅發生的後果。

接下來的三個步驟更加面向操作。這三個步驟單獨操作對於解決問題都不充足。只有同時實現時，他們即代表“深度防禦”。

3.通過保持“清潔”來防範威脅。建立和維護正式補丁更新與協議更新。理想情況下，這應該是可以設定自動完成並且是可量化的一個操作。此外，需要實施一個過程來識別並替換或取代那些無法更新的系統。在過去十五年中，我們的FortiGuard全球威脅研究與響應一直在全球範圍內監控，記錄和對威脅進行響應。根據我們的經驗，企業或者組織機構只要簡單的更新或者更換易受攻擊的系統即可阻止絕大多數的攻擊。另外，定期對您的主要資產進行復制，掃描惡意軟體，然後通過物理手段將其離線儲存，以防萬一勒索軟體或類似的網路攻擊形成真實打擊。

4.通過建立和利用簽名與特徵庫保護您的網路。雖說新產生的攻擊也是真實的風險，但大多數的攻擊實際上是由數週，數月，甚至數年的違規或者舊有的漏洞而造成的。基於簽名的檢測工具可以快速查詢並阻止嘗試滲透的執行。

5.通過使用基於行為的分析來檢測並對尚未被看到的威脅形成響應。並不是所有的威脅都有可識別的簽名。基於行為的安全工具可以查詢隱蔽的C&C系統，識別不適當或意外的流量或裝置行為，通過沙盒這樣的“引爆”機制來防範零日攻擊變種這類攻擊，並讓安全技術元件形成聯動來對高階威脅作出響應。

即將出現的趨勢，需要使用建模和自動化來預測風險，並縮短檢測和響應之間的時間，並實施和整合適合您企業與組織機構的方式與方法。

例如， 面對蠕蟲/ 勒索軟體組合的攻擊，良好的應對需要具有這樣的元素包括能夠實時檢測威脅的安全技術，以及作出隔離關鍵資產，冗餘與備份能力，無論是在本地還是雲端，以及從安全儲存中自動重新部署關鍵工具和資產，以儘可能快地重新聯機。

不止是WannaCry不相信眼淚，未來還有很多不斷的“想讓你哭”攻擊與威脅。無論怎樣，從此次惡意軟體的波及中，能夠修復與建立良好的防禦與響應能力，從某種程度是為未來做了更好的準備。

本文出處：暢享網

本文來自雲棲社群合作伙伴暢享網，瞭解相關資訊可以關注vsharing.com網站。