[信息安全新闻分享] Sophos 发布 DarkSide 勒索软体攻击美国东岸油管系统 Colonial Pipeline 的研究报告

Sophos发布 DarkSide 勒索软体攻击美国东岸油管系统 Colonial Pipeline 的深入研究，并提供以下建议：
 

·       分析所有面向大众的电脑，确保它们已经安装修补程式，并要求任何远距存取必须采用多因素验证。

·       确认您的 DMZ 已经与区域网路隔离，并且锁定伺服器不得执行 PowerShell 和未经授权的二进位档案 (如开源工具 RClone 等)，并尽快 (最好是五天内) 安装好所有修补程式。

·       在所有电脑 (尤其是伺服器) 上执行进阶端点保护。最厉害的攻击者大多都不会锁定桌上型电脑或笔记型电脑。相反的，他们会锁定于伺服器，因为伺服器最不可能被及时修补并执行适当的安全工具。

·       监控所有日志和感应器的异常活动，并追踪警示和可疑活动，调查它们为什么发生。由于伺服器不会与使用者互动，因此每个伺服器警示都可能是遭到攻击的徵兆。

·       准备好备份和灾难复原计画，以防在调查过程中若发现部分系统遭骇需要离线重整，才有办法及时因应。