Gartner：立刻采取三个行动应对WannaCry勒索软件的传播

至顶网安全频道 05月18日 综合消息：自上个星期五——5月12日以来，WannaCry勒索软件攻击持续蔓延。欧洲当局表示，它已经攻击了150多个国家超过10,000个组织和20万个人。尽管已经采取措施来减缓这种恶意软件的蔓延，但新的变种正在浮出水面。Gartner研究总监Jonathan Care介绍了网络安全专家必须立即采取的步骤。

首先，安装微软的MS17-010补丁。如果你没有安装它，而且TCP端口445处于打开状态，你的系统将受到勒索软件的攻击。

然后采取以下步骤来保护您的组织今后免受这种类型的攻击：

1.停止抱怨。虽然指责别人这个想法很有诱惑力，但是事件响应的关键阶段之一就是将重点放在根本原因上。微软Windows XP这一受到WannaCry沉重打击的操作系统作为控制包的一部分，可能被嵌入关键系统。这意味着容易遭受攻击的固件可能既无法访问也不在您的控制之下。如果您有嵌入式系统——例如销售点终端、医疗成像设备、电信系统、甚至智能卡个性化和文档生产设备等工业输出系统 ——要确保您的供应商能够提供升级路径。即使您使用的是其他的嵌入式操作系统，例如Linux或其他Unix版本，也一定要这样做，因为假定所有复杂的软件都容易遭受恶意软件的攻击的想法是很安全的。

2.隔离容易遭受攻击的系统。会有一些系统虽然还没有受到恶意软件的影响，但仍然很脆弱。重要的是要认识到，脆弱的系统通常是我们最为依赖的系统。一个常见的修复方法是限制网络连接——识别可以关闭哪些服务，特别是像网络文件共享这样容易遭受攻击的服务。

3.保持警惕。Gartner的自适应安全架构强调了检测的必要性。确保您的恶意软件检测系统保持更新。检查您的入侵检测系统是否正在运行和检查通信流量。确保用户和实体行为分析（UEBA）、网络流量分析（NTA）和安全信息和事件管理（SIEM）系统标志出异常行为，这些问题得到分类，并且事件处理程序是响应式的。请记住，可能需要额外的资源来处理大量的事件，与执法机构联络，以及公众（甚至是媒体）的实地问题。让技术人员专注于解决关键问题，让其他人回答外部问题。

危机之后，会有时间总结经验。在这个时候，组织应该审查脆弱性管理计划；需要重新审视的不仅仅是保护措施的方法，还有关键检查能力，例如UEBA、NTA和高级SIEM；执行额外的威胁建模；并仔细考虑哪些风险是可以忍受的。评估云安全性也很重要。

有关更多信息，请参见Care先生的Gartner博客“应对Wannacry立刻要做的三件事情”。

Gartner分析师将在2017年在马里兰州国家港口、东京、孟买、印度、圣保罗、悉尼、伦敦和迪拜举行的Gartner Security & Risk Management Summits 2017（Gartner安全和风险管理峰会）上提供关于网络安全威胁的更多分析。