Sophos 發布 DarkSide 勒索軟體攻擊美國東岸油管系統 Colonial Pipeline 的研究報告

2021 / 05 / 13

編輯部

分析所有面向大眾的電腦，確保它們已經安裝修補程式，並要求任何遠距存取必須採用多因素驗證。
確認您的 DMZ 已經與區域網路隔離，並且鎖定伺服器不得執行 PowerShell 和未經授權的二進位檔案 (如開源工具 RClone 等)，並盡快 (最好是五天內) 安裝好所有修補程式。
在所有電腦 (尤其是伺服器) 上執行進階端點保護。最厲害的攻擊者大多都不會鎖定桌上型電腦或筆記型電腦。相反的，他們會鎖定於伺服器，因為伺服器最不可能被及時修補並執行適當的安全工具。
監控所有日誌和感應器的異常活動，並追蹤警示和可疑活動，調查它們為什麼發生。由於伺服器不會與使用者互動，因此每個伺服器警示都可能是遭到攻擊的徵兆。
準備好備份和災難復原計畫，以防在調查過程中若發現部分系統遭駭需要離線重整，才有辦法及時因應。