WannaCry不相信眼淚

WannaCry不相信眼淚，它需要你的安全防御與響應能力。

在過去的一段時間里，WannaCry惡意軟件及其變體影響了全球數百家組織與機構。

盡管每個組織都會因各種各樣的原因沒能及時對存在漏洞的系統做更新保護，或者擔心更新實時系統的風險，兩個月對于任何組織來用于采取措施保證系統安全也并不算太短的時間。

最近的WannaCry攻擊事件，這也不失成為CISO和網絡安全團隊來檢查IT安全戰略和運營的良好契機。以下五項是Fortinet基于多年的威脅研究與響應所做出的綜合性建議。

“如果你知道自己將被攻擊，你會做出什么選擇？”你應該首先做以下兩件事：

1.建立安全事件響應小組。很多時候內部對例如如何去應對主動威脅的混亂，會延遲或阻礙及時采取適當的反應。這就是為什么指定一個有著明確的角色和責任分配的事件響應小組至關重要。同時溝通線也需要建立起來，連同指揮鏈和決策樹。為了提高效率，該團隊需要熟悉業務，通信流程和優先級，哪些系統可以安全地關閉，以及如何確定實時威脅是否會影響組織的基礎架構的組件。該團隊也需要考慮各種威脅情景，并且在可能的情況下運行演練，以確定程序和工具的差距，確保響應立即有效。而且該事件響應小組需要一種不依賴于其IT通信系統以外的可靠的聯系建立方式。

2.通過使用基于后果的管理程序來限制不良后果。有效的安全策略不僅僅需要將安全技術部署到您的基礎設施中。安全規劃需要從對架構的分析開始，著眼于對發生攻擊或違規發生的不良后果。這次對抗勒索軟件事件說明一件事，保持關鍵信息資產的備份與離線存儲。更通俗地說，基于后溝的管理程序需要的是：了解您的關鍵資產，確定您的組織機構中最易受到哪些威脅，例如遠程訪問拒絕，應用程序或數據的崩壞，或使關鍵IT或運營資產不可用等，以此來實現消除或者減少此此種威脅發生的后果。

以下三個步驟更加面向操作。是單獨操作對于解決問題都不充足，只有同時實現時，即代表“深度防御”。

3.通過保持“清潔”來防范威脅。建立和維護補丁更新與協議更新。理想情況下應是可以設置自動完成且是可量化的操作。此外，需實施一個過程來識別并替換或取代那些無法更新的系統。根據我們的經驗，企業或組織機構只要簡單的更新或更換易受攻擊的系統即可阻止絕大多數的攻擊。另外，定期對您的主要資產進行復制，掃描惡意軟件，然后通過物理手段將其脫機存儲，以防萬一勒索軟件或類似的網絡攻擊形成真實打擊。

4.通過創建和利用簽名與特征庫保護網絡。雖說新產生的攻擊是真實的風險，但大多數的攻擊實際上是由數周、數月、甚至數年的違規或舊有的漏洞而造成的。基于簽名的檢測工具可快速查找并阻止嘗試滲透的執行。

5.通過使用基于行為的分析檢測并對尚未被看到的威脅形成響應。并非所有威脅都有可識別的簽名。基于行為的安全工具可查找隱蔽的C&C系統，識別不適當或意外的流量或設備行為，通過沙盒“引爆”機制來防范零日攻擊變種這類攻擊，并讓安全技術組件形成聯動來對高級威脅作出響應。

即將出現的趨勢，需使用建模和自動化預測風險，并縮短檢測和響應間的時間，并實施和整合適合企業與組織機構的方式與方法。

良好的應對包括能實時檢測威脅的安全技術，隔離關鍵資產，冗余與備份能力，無論是在本地還是云端，以及從安全存儲中自動重新部署關鍵工具和資產，以盡可能快地重新聯機。

不止是WannaCry不相信眼淚。從此次事件中能夠修復與建立良好的防御與響應能力，從某種程度是為未來做了更好的準備。