不用流淚 WannaCry需要的是安全防禦與因應能力

過去幾天裡,WannaCry惡意軟體及其變種影響了全球數百家的組織機構。它主要攻擊的是製造商在兩個月之前,就已經推出修補更新檔案的漏洞。

過去幾天裡,WannaCry惡意軟體及其變種影響了全球數百家的組織機構。它主要攻擊的是製造商在兩個月之前,就已經推出修補更新檔案的漏洞。

儘管每個組織都會因各式各樣的原因,未能及時對已存漏洞的系統做更新保護,或是擔心更新線上系統的風險。然而,兩個月讓任何組織能採取措施保證系統安全,也不算太短的時間。

日前的惡意軟體WannaCry攻擊事件,可以當作資安長(CISO; chief information security officer)和網路安全團隊檢視IT安全策略和營運的良好契機。以下五項是Fortinet基於多年的威脅研究所做出的綜合性建議:

問自己一個最根本的問題:「如果你知道自己將會被攻擊,你會做出什麼不同的選擇?」在「沒有絕對安全」的前題下,你應該先做以下兩件事:

  1. 採用以結果導向工程來限制不良後果。有效的安全性原則不僅僅需要將安全技術部署到基礎設施中。安全規劃需要從對架構的分析開始,著眼於攻擊或違規發生時的不良後果。這次的勒索軟體事件說明一件事,重要資訊資產必須離線備份與儲存。更一般地說來,結果導向工程(consequence-based engineering)關乎瞭解重要資產,找出組織機構中最易遭受哪些威脅,例如遠端存取拒絕、應用程式或資料損壞,或是重要關鍵IT或運營資產不可用等等,以此來消除或減少此種威脅產生的後果。
  2. 建立安全事件因應小組。很多時候內部對於如何去因應主動威脅時的混亂,會延遲或阻礙及時採取適當的因應措施。這就是為什麼指定一個有著明確的角色和責任分配的事件因應小組非常重要。此外,溝通管道也必須建立起來,包括指揮系統和決策流程。為了提高效率,該團隊需要熟悉業務、溝通流程和優先順序,哪些系統可以安全地關閉,以及如何確定即時威脅是否會影響組織的基礎架構的元件。該團隊也要能考慮各種威脅狀態,並且在可能的情況下進行演練,以了解程序之間的隔閡,並找到能立即有效因應問題的工具。而且該事件因應小組必須有一套不需依賴既有IT通信系統,便能可靠地聯繫與建立小組的方法。

接下來的三個步驟更加操作導向。每個步驟單獨操作都不足以解決問題,只有同時執行時,他們才代表「深度防禦」。

  1. 保持「清潔」來防範威脅。建立和維護一個正式的修補與更新協定。理想情況下,這應該是可以設定自動完成,並且是一個可量化的操作。此外,需要一個程序來識別並替換或取代那些無法更新的系統。過去十五年來,我們的FortiGuard威脅研究與因應團隊,一直在全球監控、記錄和回應威脅。根據我們的經驗,企業或組織機構只需簡單的更新,或者更換易受攻擊的系統即可阻止絕大多數的攻擊。另外,定期對您的重要資產進行備份、掃描惡意軟體,然後藉由實體的方式將其離線儲存,以防勒索軟體或類似的網路攻擊帶來實際損害。
  2. 建立和利用病毒特徵檔保護網路。雖說新的攻擊也是真實的風險,但大多數的攻擊實際上已經存在數周、數月,甚至數年了。基於特徵檔的檢測工具可以快速發現,並封阻嘗試滲透的執行。
  3. 使用基於行為的分析來偵測與因應潛存的威脅。並不是所有的威脅都有可識別的特徵檔。基於行為的安全檢測工具可以找出隱蔽的C&C系統,識別不適當或非預期的流量或設備行為,藉由沙箱此類的「引爆室」機制來防範零日攻擊,並讓安全元件形成連動來因應進階的威脅。

未來趨勢將會是使用建模和自動化機制來預測風險,並縮短檢測和回應之間的時間,同時導入和整合適合企業組織獨特方法。

例如,面對蠕蟲/勒索軟體組合的攻擊,良好的因應之道所需具備的元素,包括能即時檢測威脅的安全技術,以及立即隔離重要資產與備份的能力,無論是在本地端還是雲端,並能從安全備份中自動重新部署重要的工具和資產,以盡可能地快速重新上線。

不止是WannaCry,未來還會有更多不斷「讓你想哭」的攻擊與威脅。無論如何,不用流淚,從這次惡意軟體的肆虐中,若能建立良好的防禦與因應能力,就是為未來做了更好的準備。

Source: Fortinet

發表迴響

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416