在過去的幾天裡,wannacry惡意軟體及其變體影響了全球數百家組織與機構。
盡管每個組織都會因各種各樣的原因沒能及時對存在漏洞的系統做更新保護,或者擔心更新實時系統的風險,兩個月對于任何組織來用于采取措施保證系統安全也并不算太短的時間。
讓我們再回放一下最近的惡意軟體wannacry攻擊事件,這也不失成為ciso和網絡安全團隊來檢查it安全戰略和營運的良好契機。以下五項是fortinet基于多年的威脅研究與響應所做出的綜合性建議 :
問問自己一個最根本的問題:“如果你知道自己将會被攻擊,你會做出什麼不同的選擇?”也就是設定“沒有絕對的安全”。你應該首先做以下兩件事:
1. 建立安全事件響應小組。很多時候内部對例如如何去應對主動威脅的混亂,會延遲或阻礙及時采取适當的反應。這就是為什麼指定一個有着明确的角色和責任配置設定的事件響應小組至關重要。同時溝通線也需要建立起來,連同指揮鍊和決策樹。為了提高效率,該團隊需要熟悉業務,通信流程和優先級,哪些系統可以安全地關閉,以及如何确定實時威脅是否會影響組織的基礎架構的元件。該團隊也需要考慮各種威脅情景,并且在可能的情況下運作演練,以确定程式和工具的差距,確定響應立即有效。而且該事件響應小組需要一種不依賴于其it通信系統以外的可靠的聯系建立方式。
2. 通過使用基于後果的管理程式來限制不良後果。有效的安全政策不僅僅需要将安全技術部署到您的基礎設施中。安全規劃需要從對架構的分析開始,着眼于對發生攻擊或違規發生的不良後果。這次對抗勒索軟體事件說明一件事,保持關鍵資訊資産的備份與離線存儲。更通俗地說,基于後溝的管理程式需要的是:了解您的關鍵資産,确定您的組織機構中最易受到哪些威脅,例如遠端通路拒絕,應用程式或資料的崩壞,或使關鍵it或營運資産不可用等,以此來實作消除或者減少此此種威脅發生的後果。
接下來的三個步驟更加面向操作。這三個步驟單獨操作對于解決問題都不充足。隻有同時實作時,他們即代表“深度防禦”。
3. 通過保持“清潔”來防範威脅。建立和維護正式更新檔更新與協定更新。理想情況下,這應該是可以設定自動完成并且是可量化的一個操作。此外,需要實施一個過程來識别并替換或取代那些無法更新的系統。在過去十五年中,我們的fortiguard全球威脅研究與響應一直在全球範圍内監控,記錄和對威脅進行響應。根據我們的經驗,企業或者組織機構隻要簡單的更新或者更換易受攻擊的系統即可阻止絕大多數的攻擊。另外,定期對您的主要資産進行複制,掃描惡意軟體,然後通過實體手段将其脫機存儲,以防萬一勒索軟體或類似的網絡攻擊形成真實打擊。
4. 通過建立和利用簽名與特征庫保護您的網絡。雖說新産生的攻擊也是真實的風險,但大多數的攻擊實際上是由數周,數月,甚至數年的違規或者舊有的漏洞而造成的。基于簽名的檢測工具可以快速查找并阻止嘗試滲透的執行。
5. 通過使用基于行為的分析來檢測并對尚未被看到的威脅形成響應。并不是所有的威脅都有可識别的簽名。基于行為的安全工具可以查找隐蔽的c&c系統,識别不适當或意外的流量或裝置行為,通過沙盒這樣的“引爆”機制來防範零日攻擊變種這類攻擊,并讓安全技術元件形成關聯來對進階威脅作出響應。
即将出現的趨勢,需要使用模組化和自動化來預測風險,并縮短檢測和響應之間的時間,并實施和整合适合您企業與組織機構的方式與方法。
例如, 面對蠕蟲/ 勒索軟體組合的攻擊,良好的應對需要具有這樣的元素包括能夠實時檢測威脅的安全技術,以及作出隔離關鍵資産,備援與備份能力,無論是在本地還是雲端,以及從安全存儲中自動重新部署關鍵工具和資産,以盡可能快地重新聯機。
不止是wannacry不相信眼淚,未來還有很多不斷的“想讓你哭”攻擊與威脅。無論怎樣,從此次惡意軟體的波及中,能夠修複與建立良好的防禦與響應能力,從某種程度是為未來做了更好的準備。
作者:phil quade (fortinet ciso)
來源:51cto