今年5月,全球性的WannaCry病毒攻击感染了20多万台工作站。一个月后,在组织进行恢复的基础上,人们又看到另外一个勒索攻击,影响了全球65个国家的企业运营。
那么人们对这些攻击有哪些了解?
•无论组织实施什么类型的控制,都会发生感染或遭到攻击,因为不存在零风险
•安全研究社区合作确定妥协指标(IOC),并提供缓解措施
•具有事件响应计划的组织在降低风险方面更有效
•具有修补策略和流程的企业可以得到更好的保护
有效的修补
在遭到攻击前两个月,微软公司发布了针对WannaCry漏洞的补丁。但是,由于许多系统没有及时更新补丁,遭遇到了WannaCry的攻击。
即使如此,6月27日的攻击在WannaCry肆虐之后的一个月内使用SMB协议进行横向扩张,大多数系统应该已经被修补。但这次攻击又获得成功,难道一些组织漠视这一威胁吗?修补时缺乏紧迫性吗?还是问题归结为大量的补丁?
太多的安全补丁
随着人们部署更多的软件和更多的设备来提高生产率和改善业务成果,也创造了新的漏洞。保持安全的任务是艰巨的,需要不断更新安全系统,并对运行不同操作系统和软件版本的最终用户设备进行修补。除了补丁和版本管理之外,还有变更控制,中断窗口,文档处理,补丁后支持等。而且只会变得越来越糟糕。
下图说明了随着时间的推移,漏洞的严重程度,可以得知到2017年的中期,披露漏洞的数量已经接近2016年的整体补丁数量。
组织面临的挑战是需要处理的补丁数量绝对保持最新状态(其数量不断增加)。从技术上讲,系统在漏洞补丁方面总是落后一步。
企业必须意识到安全漏洞
鉴于近期的大规模攻击,组织应重新考虑其补丁策略,作为其基本安全形势的一部分。差距在哪里?唯一的指导方法就是通过全球的知名度。例如,了解易受攻击的客户端或识别僵尸网络流量,这为病毒何处开始并集中提供了关键的见解。
组织的安全平台的访问日志是一个金矿,提供数据和内容,包括人员,地点,时间,以及流量如何通过网络等信息。以下的屏幕截图是一个显示僵尸网络回调尝试的示例日志。有了这些信息,组织可以看到应该在哪里集中注意力,并进行安全投资。
在以下示例中,组织可以识别潜在的易受攻击的浏览器或插件。确保其更新策略包括恶意软件的这些潜在入口点非常重要。
这些只是可以轻松关闭的潜在漏洞的两个例子,可以很容易地通过对组织内使用的软件和版本的适当洞察来轻松地实现。组织应着重解决以最高已知风险为起点的漏洞。
但修补漏洞仍然是一个繁重的工作,大部分是手工操作的任务,很难管理。一个更好的替代方案是采用云交付的安全即服务解决方案,可自动更新和修补程序。随着黑客在设计下一个漏洞时变得越来越具有创造性,它应该采取一种前瞻性的策略来减少管理开销,提高可见性,并始终保持提供最新的保护。
本文转自d1net(转载)