WannaCry不相信眼泪

WannaCry不相信眼泪，它需要你的安全防御与响应能力。

在过去的一段时间里，WannaCry恶意软件及其变体影响了全球数百家组织与机构。

尽管每个组织都会因各种各样的原因没能及时对存在漏洞的系统做更新保护，或者担心更新实时系统的风险，两个月对于任何组织来用于采取措施保证系统安全也并不算太短的时间。

最近的WannaCry攻击事件，这也不失成为CISO和网络安全团队来检查IT安全战略和运营的良好契机。以下五项是Fortinet基于多年的威胁研究与响应所做出的综合性建议。

“如果你知道自己将被攻击，你会做出什么选择？”你应该首先做以下两件事：

1.建立安全事件响应小组。很多时候内部对例如如何去应对主动威胁的混乱，会延迟或阻碍及时采取适当的反应。这就是为什么指定一个有着明确的角色和责任分配的事件响应小组至关重要。同时沟通线也需要建立起来，连同指挥链和决策树。为了提高效率，该团队需要熟悉业务，通信流程和优先级，哪些系统可以安全地关闭，以及如何确定实时威胁是否会影响组织的基础架构的组件。该团队也需要考虑各种威胁情景，并且在可能的情况下运行演练，以确定程序和工具的差距，确保响应立即有效。而且该事件响应小组需要一种不依赖于其IT通信系统以外的可靠的联系建立方式。

2.通过使用基于后果的管理程序来限制不良后果。有效的安全策略不仅仅需要将安全技术部署到您的基础设施中。安全规划需要从对架构的分析开始，着眼于对发生攻击或违规发生的不良后果。这次对抗勒索软件事件说明一件事，保持关键信息资产的备份与离线存储。更通俗地说，基于后沟的管理程序需要的是：了解您的关键资产，确定您的组织机构中最易受到哪些威胁，例如远程访问拒绝，应用程序或数据的崩坏，或使关键IT或运营资产不可用等，以此来实现消除或者减少此此种威胁发生的后果。

以下三个步骤更加面向操作。是单独操作对于解决问题都不充足，只有同时实现时，即代表“深度防御”。

3.通过保持“清洁”来防范威胁。建立和维护补丁更新与协议更新。理想情况下应是可以设置自动完成且是可量化的操作。此外，需实施一个过程来识别并替换或取代那些无法更新的系统。根据我们的经验，企业或组织机构只要简单的更新或更换易受攻击的系统即可阻止绝大多数的攻击。另外，定期对您的主要资产进行复制，扫描恶意软件，然后通过物理手段将其脱机存储，以防万一勒索软件或类似的网络攻击形成真实打击。

4.通过创建和利用签名与特征库保护网络。虽说新产生的攻击是真实的风险，但大多数的攻击实际上是由数周、数月、甚至数年的违规或旧有的漏洞而造成的。基于签名的检测工具可快速查找并阻止尝试渗透的执行。

5.通过使用基于行为的分析检测并对尚未被看到的威胁形成响应。并非所有威胁都有可识别的签名。基于行为的安全工具可查找隐蔽的C&C系统，识别不适当或意外的流量或设备行为，通过沙盒“引爆”机制来防范零日攻击变种这类攻击，并让安全技术组件形成联动来对高级威胁作出响应。

即将出现的趋势，需使用建模和自动化预测风险，并缩短检测和响应间的时间，并实施和整合适合企业与组织机构的方式与方法。

良好的应对包括能实时检测威胁的安全技术，隔离关键资产，冗余与备份能力，无论是在本地还是云端，以及从安全存储中自动重新部署关键工具和资产，以尽可能快地重新联机。

不止是WannaCry不相信眼泪。从此次事件中能够修复与建立良好的防御与响应能力，从某种程度是为未来做了更好的准备。