WannaCry 不相信眼淚 它需要你的安全防御與響應(yīng)能力
責(zé)編:mhshi |2017-05-19 18:08:04在過去的幾天里,WannaCry惡意軟件及其變體影響了全球數(shù)百家組織與機構(gòu)。
盡管每個組織都會因各種各樣的原因沒能及時對存在漏洞的系統(tǒng)做更新保護(hù),或者擔(dān)心更新實時系統(tǒng)的風(fēng)險,兩個月對于任何組織來用于采取措施保證系統(tǒng)安全也并不算太短的時間。
讓我們再回放一下最近的惡意軟件WannaCry攻擊事件,這也不失成為CISO和網(wǎng)絡(luò)安全團(tuán)隊來檢查IT安全戰(zhàn)略和運營的良好契機。以下五項是Fortinet基于多年的威脅研究與響應(yīng)所做出的綜合性建議 :
問問自己一個最根本的問題:“如果你知道自己將會被攻擊,你會做出什么不同的選擇?”也就是設(shè)定“沒有絕對的安全”。你應(yīng)該首先做以下兩件事:
- 建立安全事件響應(yīng)小組。很多時候內(nèi)部對例如如何去應(yīng)對主動威脅的混亂,會延遲或阻礙及時采取適當(dāng)?shù)姆磻?yīng)。這就是為什么指定一個有著明確的角色和責(zé)任分配的事件響應(yīng)小組至關(guān)重要。同時溝通線也需要建立起來,連同指揮鏈和決策樹。為了提高效率,該團(tuán)隊需要熟悉業(yè)務(wù),通信流程和優(yōu)先級,哪些系統(tǒng)可以安全地關(guān)閉,以及如何確定實時威脅是否會影響組織的基礎(chǔ)架構(gòu)的組件。該團(tuán)隊也需要考慮各種威脅情景,并且在可能的情況下運行演練,以確定程序和工具的差距,確保響應(yīng)立即有效。而且該事件響應(yīng)小組需要一種不依賴于其IT通信系統(tǒng)以外的可靠的聯(lián)系建立方式。
- 通過使用基于后果的管理程序來限制不良后果。有效的安全策略不僅僅需要將安全技術(shù)部署到您的基礎(chǔ)設(shè)施中。安全規(guī)劃需要從對架構(gòu)的分析開始,著眼于對發(fā)生攻擊或違規(guī)發(fā)生的不良后果。這次對抗勒索軟件事件說明一件事,保持關(guān)鍵信息資產(chǎn)的備份與離線存儲。更通俗地說,基于后溝的管理程序需要的是:了解您的關(guān)鍵資產(chǎn),確定您的組織機構(gòu)中最易受到哪些威脅,例如遠(yuǎn)程訪問拒絕,應(yīng)用程序或數(shù)據(jù)的崩壞,或使關(guān)鍵IT或運營資產(chǎn)不可用等,以此來實現(xiàn)消除或者減少此此種威脅發(fā)生的后果。
接下來的三個步驟更加面向操作。這三個步驟單獨操作對于解決問題都不充足。只有同時實現(xiàn)時,他們即代表“深度防御”。
- 通過保持“清潔”來防范威脅。建立和維護(hù)正式補丁更新與協(xié)議更新。理想情況下,這應(yīng)該是可以設(shè)置自動完成并且是可量化的一個操作。此外,需要實施一個過程來識別并替換或取代那些無法更新的系統(tǒng)。在過去十五年中,我們的FortiGuard全球威脅研究與響應(yīng)一直在全球范圍內(nèi)監(jiān)控,記錄和對威脅進(jìn)行響應(yīng)。根據(jù)我們的經(jīng)驗,企業(yè)或者組織機構(gòu)只要簡單的更新或者更換易受攻擊的系統(tǒng)即可阻止絕大多數(shù)的攻擊。另外,定期對您的主要資產(chǎn)進(jìn)行復(fù)制,掃描惡意軟件,然后通過物理手段將其脫機存儲,以防萬一勒索軟件或類似的網(wǎng)絡(luò)攻擊形成真實打擊。
- 通過創(chuàng)建和利用簽名與特征庫保護(hù)您的網(wǎng)絡(luò)。雖說新產(chǎn)生的攻擊也是真實的風(fēng)險,但大多數(shù)的攻擊實際上是由數(shù)周,數(shù)月,甚至數(shù)年的違規(guī)或者舊有的漏洞而造成的。基于簽名的檢測工具可以快速查找并阻止嘗試滲透的執(zhí)行。
- 通過使用基于行為的分析來檢測并對尚未被看到的威脅形成響應(yīng)。并不是所有的威脅都有可識別的簽名。基于行為的安全工具可以查找隱蔽的C&C系統(tǒng),識別不適當(dāng)或意外的流量或設(shè)備行為,通過沙盒這樣的“引爆”機制來防范零日攻擊變種這類攻擊,并讓安全技術(shù)組件形成聯(lián)動來對高級威脅作出響應(yīng)。
即將出現(xiàn)的趨勢,需要使用建模和自動化來預(yù)測風(fēng)險,并縮短檢測和響應(yīng)之間的時間,并實施和整合適合您企業(yè)與組織機構(gòu)的方式與方法。
例如, 面對蠕蟲/ 勒索軟件組合的攻擊,良好的應(yīng)對需要具有這樣的元素包括能夠?qū)崟r檢測威脅的安全技術(shù),以及作出隔離關(guān)鍵資產(chǎn),冗余與備份能力,無論是在本地還是云端,以及從安全存儲中自動重新部署關(guān)鍵工具和資產(chǎn),以盡可能快地重新聯(lián)機。
不止是WannaCry不相信眼淚,未來還有很多不斷的“想讓你哭”攻擊與威脅。無論怎樣,從此次惡意軟件的波及中,能夠修復(fù)與建立良好的防御與響應(yīng)能力,從某種程度是為未來做了更好的準(zhǔn)備。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧