Gartner：立刻採取三個行動應對WannaCry勒索軟體的傳播

自上個星期五——5月12日以來，WannaCry勒索軟體攻擊持續蔓延。歐洲當局表示，它已經攻擊了150多個國家超過10,000個組織和20萬個人。儘管已經採取措施來減緩這種惡意軟體的蔓延，但新的變種正在浮出水面。Gartner研究總監Jonathan Care介紹了網路安全專家必須立即採取的步驟。

Gartner建議立刻採取三個行動應對WannaCry勒索軟體的傳播

首先，安裝微軟的MS17-010補丁。如果你沒有安裝它，而且TCP埠445處於開啟狀態，你的系統將受到勒索軟體的攻擊。

然後採取以下步驟來保護您的組織今後免受這種型別的攻擊：

1.停止抱怨。雖然指責別人這個想法很有誘惑力，但是事件響應的關鍵階段之一就是將重點放在根本原因上。微軟Windows XP這一受到WannaCry沉重打擊的作業系統作為控制包的一部分，可能被嵌入關鍵系統。這意味著容易遭受攻擊的韌體可能既無法訪問也不在您的控制之下。如果您有嵌入式系統——例如銷售點終端、醫療成像裝置、電信系統、甚至智慧卡個性化和文件生產裝置等工業輸出系統 ——要確保您的供應商能夠提供升級路徑。即使您使用的是其他的嵌入式作業系統，例如Linux或其他Unix版本，也一定要這樣做，因為假定所有複雜的軟體都容易遭受惡意軟體的攻擊的想法是很安全的。

2.隔離容易遭受攻擊的系統。會有一些系統雖然還沒有受到惡意軟體的影響，但仍然很脆弱。重要的是要認識到，脆弱的系統通常是我們最為依賴的系統。一個常見的修復方法是限制網路連線——識別可以關閉哪些服務，特別是像網路檔案共享這樣容易遭受攻擊的服務。

3.保持警惕。Gartner的自適應安全架構強調了檢測的必要性。確保您的惡意軟體檢測系統保持更新。檢查您的入侵檢測系統是否正在執行和檢查通訊流量。確保使用者和實體行為分析（UEBA）、網路流量分析（NTA）和安全資訊和事件管理（SIEM）系統標誌出異常行為，這些問題得到分類，並且事件處理程式是響應式的。請記住，可能需要額外的資源來處理大量的事件，與執法機構聯絡，以及公眾（甚至是媒體）的實地問題。讓技術人員專注於解決關鍵問題，讓其他人回答外部問題。

危機之後，會有時間總結經驗。在這個時候，組織應該審查脆弱性管理計劃；需要重新審視的不僅僅是保護措施的方法，還有關鍵檢查能力，例如UEBA、NTA和高階SIEM；執行額外的威脅建模；並仔細考慮哪些風險是可以忍受的。評估雲安全性也很重要。

有關更多資訊，請參見Care先生的Gartner部落格“應對Wannacry立刻要做的三件事情”。

Gartner分析師將在2017年在馬里蘭州國家港口、東京、孟買、印度、聖保羅、悉尼、倫敦和杜拜舉行的Gartner Security & Risk Management Summits 2017（Gartner安全和風險管理峰會）上提供關於網路安全威脅的更多分析。

本文轉自d1net（轉載）