WannaCry不相信眼淚，它需要你的安全防御與響應(yīng)能力。

在過(guò)去的一段時(shí)間里，WannaCry惡意軟件及其變體影響了全球數(shù)百家組織與機(jī)構(gòu)。

盡管每個(gè)組織都會(huì)因各種各樣的原因沒(méi)能及時(shí)對(duì)存在漏洞的系統(tǒng)做更新保護(hù)，或者擔(dān)心更新實(shí)時(shí)系統(tǒng)的風(fēng)險(xiǎn)，兩個(gè)月對(duì)于任何組織來(lái)用于采取措施保證系統(tǒng)安全也并不算太短的時(shí)間。

最近的WannaCry攻擊事件，這也不失成為CISO和網(wǎng)絡(luò)安全團(tuán)隊(duì)來(lái)檢查IT安全戰(zhàn)略和運(yùn)營(yíng)的良好契機(jī)。以下五項(xiàng)是Fortinet基于多年的威脅研究與響應(yīng)所做出的綜合性建議。

“如果你知道自己將被攻擊，你會(huì)做出什么選擇？”你應(yīng)該首先做以下兩件事：

1.建立安全事件響應(yīng)小組。很多時(shí)候內(nèi)部對(duì)例如如何去應(yīng)對(duì)主動(dòng)威脅的混亂，會(huì)延遲或阻礙及時(shí)采取適當(dāng)?shù)姆磻?yīng)。這就是為什么指定一個(gè)有著明確的角色和責(zé)任分配的事件響應(yīng)小組至關(guān)重要。同時(shí)溝通線也需要建立起來(lái)，連同指揮鏈和決策樹(shù)。為了提高效率，該團(tuán)隊(duì)需要熟悉業(yè)務(wù)，通信流程和優(yōu)先級(jí)，哪些系統(tǒng)可以安全地關(guān)閉，以及如何確定實(shí)時(shí)威脅是否會(huì)影響組織的基礎(chǔ)架構(gòu)的組件。該團(tuán)隊(duì)也需要考慮各種威脅情景，并且在可能的情況下運(yùn)行演練，以確定程序和工具的差距，確保響應(yīng)立即有效。而且該事件響應(yīng)小組需要一種不依賴于其IT通信系統(tǒng)以外的可靠的聯(lián)系建立方式。

2.通過(guò)使用基于后果的管理程序來(lái)限制不良后果。有效的安全策略不僅僅需要將安全技術(shù)部署到您的基礎(chǔ)設(shè)施中。安全規(guī)劃需要從對(duì)架構(gòu)的分析開(kāi)始，著眼于對(duì)發(fā)生攻擊或違規(guī)發(fā)生的不良后果。這次對(duì)抗勒索軟件事件說(shuō)明一件事，保持關(guān)鍵信息資產(chǎn)的備份與離線存儲(chǔ)。更通俗地說(shuō)，基于后溝的管理程序需要的是：了解您的關(guān)鍵資產(chǎn)，確定您的組織機(jī)構(gòu)中最易受到哪些威脅，例如遠(yuǎn)程訪問(wèn)拒絕，應(yīng)用程序或數(shù)據(jù)的崩壞，或使關(guān)鍵IT或運(yùn)營(yíng)資產(chǎn)不可用等，以此來(lái)實(shí)現(xiàn)消除或者減少此此種威脅發(fā)生的后果。

以下三個(gè)步驟更加面向操作。是單獨(dú)操作對(duì)于解決問(wèn)題都不充足，只有同時(shí)實(shí)現(xiàn)時(shí)，即代表“深度防御”。

3.通過(guò)保持“清潔”來(lái)防范威脅。建立和維護(hù)補(bǔ)丁更新與協(xié)議更新。理想情況下應(yīng)是可以設(shè)置自動(dòng)完成且是可量化的操作。此外，需實(shí)施一個(gè)過(guò)程來(lái)識(shí)別并替換或取代那些無(wú)法更新的系統(tǒng)。根據(jù)我們的經(jīng)驗(yàn)，企業(yè)或組織機(jī)構(gòu)只要簡(jiǎn)單的更新或更換易受攻擊的系統(tǒng)即可阻止絕大多數(shù)的攻擊。另外，定期對(duì)您的主要資產(chǎn)進(jìn)行復(fù)制，掃描惡意軟件，然后通過(guò)物理手段將其脫機(jī)存儲(chǔ)，以防萬(wàn)一勒索軟件或類似的網(wǎng)絡(luò)攻擊形成真實(shí)打擊。

4.通過(guò)創(chuàng)建和利用簽名與特征庫(kù)保護(hù)網(wǎng)絡(luò)。雖說(shuō)新產(chǎn)生的攻擊是真實(shí)的風(fēng)險(xiǎn)，但大多數(shù)的攻擊實(shí)際上是由數(shù)周、數(shù)月、甚至數(shù)年的違規(guī)或舊有的漏洞而造成的。基于簽名的檢測(cè)工具可快速查找并阻止嘗試滲透的執(zhí)行。

5.通過(guò)使用基于行為的分析檢測(cè)并對(duì)尚未被看到的威脅形成響應(yīng)。并非所有威脅都有可識(shí)別的簽名。基于行為的安全工具可查找隱蔽的C&C系統(tǒng)，識(shí)別不適當(dāng)或意外的流量或設(shè)備行為，通過(guò)沙盒“引爆”機(jī)制來(lái)防范零日攻擊變種這類攻擊，并讓安全技術(shù)組件形成聯(lián)動(dòng)來(lái)對(duì)高級(jí)威脅作出響應(yīng)。

即將出現(xiàn)的趨勢(shì)，需使用建模和自動(dòng)化預(yù)測(cè)風(fēng)險(xiǎn)，并縮短檢測(cè)和響應(yīng)間的時(shí)間，并實(shí)施和整合適合企業(yè)與組織機(jī)構(gòu)的方式與方法。

良好的應(yīng)對(duì)包括能實(shí)時(shí)檢測(cè)威脅的安全技術(shù)，隔離關(guān)鍵資產(chǎn)，冗余與備份能力，無(wú)論是在本地還是云端，以及從安全存儲(chǔ)中自動(dòng)重新部署關(guān)鍵工具和資產(chǎn)，以盡可能快地重新聯(lián)機(jī)。

不止是WannaCry不相信眼淚。從此次事件中能夠修復(fù)與建立良好的防御與響應(yīng)能力，從某種程度是為未來(lái)做了更好的準(zhǔn)備。