自上個星期五——5月12日以來，WannaCry勒索軟件攻擊持續蔓延。歐洲當局表示，它已經攻擊了150多個國家超過10,000個組織和20萬個人。盡管已經采取措施來減緩這種惡意軟件的蔓延，但新的變種正在浮出水面。Gartner研究總監Jonathan Care介紹了網絡安全專家必須立即采取的步驟。

首先，安裝微軟的MS17-010補丁。如果你沒有安裝它，而且TCP端口445處于打開狀態，你的系統將受到勒索軟件的攻擊。

然后采取以下步驟來保護您的組織今后免受這種類型的攻擊：

1.停止抱怨。雖然指責別人這個想法很有誘惑力，但是事件響應的關鍵階段之一就是將重點放在根本原因上。微軟Windows XP這一受到WannaCry沉重打擊的操作系統作為控制包的一部分，可能被嵌入關鍵系統。這意味著容易遭受攻擊的固件可能既無法訪問也不在您的控制之下。如果您有嵌入式系統——例如銷售點終端、醫療成像設備、電信系統、甚至智能卡個性化和文檔生產設備等工業輸出系統 ——要確保您的供應商能夠提供升級路徑。即使您使用的是其他的嵌入式操作系統，例如Linux或其他Unix版本，也一定要這樣做，因為假定所有復雜的軟件都容易遭受惡意軟件的攻擊的想法是很安全的。

2.隔離容易遭受攻擊的系統。會有一些系統雖然還沒有受到惡意軟件的影響，但仍然很脆弱。重要的是要認識到，脆弱的系統通常是我們最為依賴的系統。一個常見的修復方法是限制網絡連接——識別可以關閉哪些服務，特別是像網絡文件共享這樣容易遭受攻擊的服務。

3.保持警惕。Gartner的自適應安全架構強調了檢測的必要性。確保您的惡意軟件檢測系統保持更新。檢查您的入侵檢測系統是否正在運行和檢查通信流量。確保用戶和實體行為分析（UEBA）、網絡流量分析（NTA）和安全信息和事件管理（SIEM）系統標志出異常行為，這些問題得到分類，并且事件處理程序是響應式的。請記住，可能需要額外的資源來處理大量的事件，與執法機構聯絡，以及公眾（甚至是媒體）的實地問題。讓技術人員專注于解決關鍵問題，讓其他人回答外部問題。

危機之后，會有時間總結經驗。在這個時候，組織應該審查脆弱性管理計劃；需要重新審視的不僅僅是保護措施的方法，還有關鍵檢查能力，例如UEBA、NTA和高級SIEM；執行額外的威脅建模；并仔細考慮哪些風險是可以忍受的。評估云安全性也很重要。

有關更多信息，請參見Care先生的Gartner博客“應對Wannacry立刻要做的三件事情”。

Gartner分析師將在2017年在馬里蘭州國家港口、東京、孟買、印度、圣保羅、悉尼、倫敦和迪拜舉行的Gartner Security & Risk Management Summits 2017（Gartner安全和風險管理峰會）上提供關于網絡安全威脅的更多分析。