自 5 月 12 日星期五发现以来,勒索病毒 WannaCry 持续蔓延。据欧洲当局称,该病毒已感染了 150 多个国家的 10,000 多个组织和 200,000 个人。尽管已采取措施减缓该恶意软件的传播,但新的变种仍在出现。Gartner 研究总监 Jonathan Care 概述了网络安全专业人员必须立即采取的措施。
首先,请安装微软的 MS17-010 补丁。如果您没有安装该补丁,并且 TCP 端口 445 处于打开状态,您的系统将受到勒索软件的攻击。
然后采取以下步骤保护您的组织免受未来此类攻击:
不要责怪别人。虽然很容易将责任推卸给别人,但事件响应的关键阶段之一是关注根本原因。Microsoft Windows XP 是一款受到 WannaCry 严重打击的操作系统,可以作为控制包的一部分嵌入到关键系统中。这意味着易受攻击的固件可能既无法访问,也不受您的控制。如果您有嵌入式系统(例如销售点终端、医学成像设备、电信系统,甚至智能卡个性化和文档制作设备等工业输出系统),请确保您的供应商能够优先提供升级路径。即使您使用其他嵌入式操作系统(例如 Linux 或其他 Unix 变体),也请这样做,因为可以肯定的是,所有复杂 新加坡邮件列表 软件都容易受到恶意软件的攻击。
隔离易受攻击的系统。有些系统虽然尚未受到恶意软件的影响,但仍然易受攻击。重要的是要意识到易受攻击的系统往往是我们最依赖的系统。一个有用的临时解决方法是限制网络连接——确定可以关闭哪些服务,尤其是网络文件共享等易受攻击的服务。
保持警惕。Gartner 的自适应安全架构强调了检测的必要性。确保您的恶意软件检测已更新。检查您的入侵检测系统是否正在运行并检查流量。确保用户和实体行为分析 (UEBA)、网络流量分析 (NTA) 和安全信息和事件管理 (SIEM) 系统正在标记异常行为,这些问题正在被分类,并且事件处理程序能够做出响应。请记住,可能需要额外的资源来处理大量事件、与执法机构联络以及回答公众(可能还有媒体)的问题。让技术人员专注于解决关键问题,让其他人回答外部问题。
危机过后,会有时间吸取教训。届时,组织应审查漏洞管理计划;重新审视不仅是保护措施,而且是关键检测功能(例如 UEBA、NTA 和高级 SIEM)的方法;执行额外的威胁建模;并仔细考虑哪些风险是可以容忍的。评估云安全性也很重要。
更多信息可参阅 Care 先生的 Gartner 博客“Wannacry 病毒爆发后应立即采取的三项措施”。