在過去的幾天里，WannaCry惡意軟件及其變體影響了全球數(shù)百家組織與機構(gòu)。

盡管每個組織都會因各種各樣的原因沒能及時對存在漏洞的系統(tǒng)做更新保護，或者擔心更新實時系統(tǒng)的風險，兩個月對于任何組織來用于采取措施保證系統(tǒng)安全也并不算太短的時間。

讓我們再回放一下最近的惡意軟件WannaCry攻擊事件，這也不失成為CISO和網(wǎng)絡安全團隊來檢查IT安全戰(zhàn)略和運營的良好契機。以下五項是Fortinet基于多年的威脅研究與響應所做出的綜合性建議 ：

問問自己一個最根本的問題：“如果你知道自己將會被攻擊，你會做出什么不同的選擇？”也就是設定“沒有絕對的安全”。

首先，你應該做以下兩件事：

很多時候內(nèi)部對例如如何去應對主動威脅的混亂，會延遲或阻礙及時采取適當?shù)姆磻＿@就是為什么指定一個有著明確的角色和責任分配的事件響應小組至關(guān)重要。同時溝通線也需要建立起來，連同指揮鏈和決策樹。為了提高效率，該團隊需要熟悉業(yè)務，通信流程和優(yōu)先級，哪些系統(tǒng)可以安全地關(guān)閉，以及如何確定實時威脅是否會影響組織的基礎架構(gòu)的組件。該團隊也需要考慮各種威脅情景，并且在可能的情況下運行演練，以確定程序和工具的差距，確保響應立即有效。而且該事件響應小組需要一種不依賴于其IT通信系統(tǒng)以外的可靠的聯(lián)系建立方式。

2. 通過使用基于后果的管理程序來限制不良后果

有效的安全策略不僅僅需要將安全技術(shù)部署到您的基礎設施中。安全規(guī)劃需要從對架構(gòu)的分析開始，著眼于對發(fā)生攻擊或違規(guī)發(fā)生的不良后果。這次對抗勒索軟件事件說明一件事，保持關(guān)鍵信息資產(chǎn)的備份與離線存儲。更通俗地說，基于后溝的管理程序需要的是：了解您的關(guān)鍵資產(chǎn)，確定您的組織機構(gòu)中最易受到哪些威脅，例如遠程訪問拒絕，應用程序或數(shù)據(jù)的崩壞，或使關(guān)鍵IT或運營資產(chǎn)不可用等，以此來實現(xiàn)消除或者減少此此種威脅發(fā)生的后果。

接下來的三個步驟更加面向操作：

這三個步驟單獨操作對于解決問題都不充足，只有同時實現(xiàn)時，他們才能代表“深度防御”。

3 通過保持“清潔”來防范威脅

建立和維護正式補丁更新與協(xié)議更新。理想情況下，這應該是可以設置自動完成并且是可量化的一個操作。此外，需要實施一個過程來識別并替換或取代那些無法更新的系統(tǒng)。在過去十五年中，我們的FortiGuard全球威脅研究與響應一直在全球范圍內(nèi)監(jiān)控，記錄和對威脅進行響應。根據(jù)我們的經(jīng)驗，企業(yè)或者組織機構(gòu)只要簡單的更新或者更換易受攻擊的系統(tǒng)即可阻止絕大多數(shù)的攻擊。另外，定期對您的主要資產(chǎn)進行復制，掃描惡意軟件，然后通過物理手段將其脫機存儲，以防萬一勒索軟件或類似的網(wǎng)絡攻擊形成真實打擊。

4 通過創(chuàng)建和利用簽名與特征庫保護您的網(wǎng)絡

雖說新產(chǎn)生的攻擊也是真實的風險，但大多數(shù)的攻擊實際上是由數(shù)周，數(shù)月，甚至數(shù)年的違規(guī)或者舊有的漏洞而造成的?；诤灻臋z測工具可以快速查找并阻止嘗試滲透的執(zhí)行。

5 通過使用基于行為的分析來檢測并對尚未被看到的威脅形成響應

并不是所有的威脅都有可識別的簽名?；谛袨榈陌踩ぞ呖梢圆檎译[蔽的C&C系統(tǒng)，識別不適當或意外的流量或設備行為，通過沙盒這樣的“引爆”機制來防范零日攻擊變種這類攻擊，并讓安全技術(shù)組件形成聯(lián)動來對高級威脅作出響應。

即將出現(xiàn)的趨勢，需要使用建模和自動化來預測風險，并縮短檢測和響應之間的時間，并實施和整合適合您企業(yè)與組織機構(gòu)的方式與方法。

例如， 面對蠕蟲/ 勒索軟件組合的攻擊，良好的應對需要具有這樣的元素包括能夠?qū)崟r檢測威脅的安全技術(shù)，以及作出隔離關(guān)鍵資產(chǎn)，冗余與備份能力，無論是在本地還是云端，以及從安全存儲中自動重新部署關(guān)鍵工具和資產(chǎn)，以盡可能快地重新聯(lián)機。

不止是WannaCry不相信眼淚，未來還有很多不斷的“想讓你哭”攻擊與威脅。無論怎樣，從此次惡意軟件的波及中，能夠修復與建立良好的防御與響應能力，從某種程度是為未來做了更好的準備。