自上個星期五——5月12日以來，WannaCry勒索軟件攻擊持續(xù)蔓延。歐洲當局表示，它已經(jīng)攻擊了150多個國家超過10,000個組織和20萬個人。盡管已經(jīng)采取措施來減緩這種惡意軟件的蔓延，但新的變種正在浮出水面。Gartner研究總監(jiān)Jonathan Care介紹了網(wǎng)絡(luò)安全專家必須立即采取的步驟。

首先，安裝微軟的MS17-010補丁。如果你沒有安裝它，而且TCP端口445處于打開狀態(tài)，你的系統(tǒng)將受到勒索軟件的攻擊。

然后采取以下步驟來保護您的組織今后免受這種類型的攻擊：

1.停止抱怨。雖然指責(zé)別人這個想法很有誘惑力，但是事件響應(yīng)的關(guān)鍵階段之一就是將重點放在根本原因上。微軟Windows XP這一受到WannaCry沉重打擊的操作系統(tǒng)作為控制包的一部分，可能被嵌入關(guān)鍵系統(tǒng)。這意味著容易遭受攻擊的固件可能既無法訪問也不在您的控制之下。如果您有嵌入式系統(tǒng)——例如銷售點終端、醫(yī)療成像設(shè)備、電信系統(tǒng)、甚至智能卡個性化和文檔生產(chǎn)設(shè)備等工業(yè)輸出系統(tǒng) ——要確保您的供應(yīng)商能夠提供升級路徑。即使您使用的是其他的嵌入式操作系統(tǒng)，例如Linux或其他Unix版本，也一定要這樣做，因為假定所有復(fù)雜的軟件都容易遭受惡意軟件的攻擊的想法是很安全的。

2.隔離容易遭受攻擊的系統(tǒng)。會有一些系統(tǒng)雖然還沒有受到惡意軟件的影響，但仍然很脆弱。重要的是要認識到，脆弱的系統(tǒng)通常是我們最為依賴的系統(tǒng)。一個常見的修復(fù)方法是限制網(wǎng)絡(luò)連接——識別可以關(guān)閉哪些服務(wù)，特別是像網(wǎng)絡(luò)文件共享這樣容易遭受攻擊的服務(wù)。

3.保持警惕。Gartner的自適應(yīng)安全架構(gòu)強調(diào)了檢測的必要性。確保您的惡意軟件檢測系統(tǒng)保持更新。檢查您的入侵檢測系統(tǒng)是否正在運行和檢查通信流量。確保用戶和實體行為分析（UEBA）、網(wǎng)絡(luò)流量分析（NTA）和安全信息和事件管理（SIEM）系統(tǒng)標志出異常行為，這些問題得到分類，并且事件處理程序是響應(yīng)式的。請記住，可能需要額外的資源來處理大量的事件，與執(zhí)法機構(gòu)聯(lián)絡(luò)，以及公眾（甚至是媒體）的實地問題。讓技術(shù)人員專注于解決關(guān)鍵問題，讓其他人回答外部問題。

危機之后，會有時間總結(jié)經(jīng)驗。在這個時候，組織應(yīng)該審查脆弱性管理計劃；需要重新審視的不僅僅是保護措施的方法，還有關(guān)鍵檢查能力，例如UEBA、NTA和高級SIEM；執(zhí)行額外的威脅建模；并仔細考慮哪些風(fēng)險是可以忍受的。評估云安全性也很重要。

有關(guān)更多信息，請參見Care先生的Gartner博客“應(yīng)對Wannacry立刻要做的三件事情”。

Gartner分析師將在2017年在馬里蘭州國家港口、東京、孟買、印度、圣保羅、悉尼、倫敦和迪拜舉行的Gartner Security & Risk Management Summits 2017（Gartner安全和風(fēng)險管理峰會）上提供關(guān)于網(wǎng)絡(luò)安全威脅的更多分析。