Penso che una delle principali lezioni apprese sia che i servizi di sicurezza non devono accumulare zero giorni e strumenti per sfruttarli, (specialmente) se non riescono a proteggerli correttamente.
La cosa da ricordare, tuttavia, è che WannaCrypt e Petya avevano entrambi le patch disponibili prima che colpissero e entrambi hanno anche approfittato di una configurazione scadente.
Inoltre, molte organizzazioni che sono state colpite duramente potrebbero aver evitato qualche (forse tutto) dolore se avessero adottato le cinture standard e le pratiche di sicurezza dei bretelle.
Le principali lezioni che le organizzazioni dovrebbero imparare è che dovrebbero avere il principi fondamentali giusto.
Ad esempio:
Gestione delle vulnerabilità
Esegui una scansione periodica delle vulnerabilità, comprendi la posizione di sicurezza di tutte le risorse e quali vulnerabilità sono presenti, quali minacce sono correlate a queste vulnerabilità e quali rischi rappresentano per la proprietà IT e l'attività che serve.
Questo include sia patch mancanti (ad esempio MS17-010) che configurazione scadente (cioè con SMBv1 abilitato).
Questo dovrebbe essere supportato da processi appropriati che consentano la scoperta continua, la risoluzione delle vulnerabilità (tramite l'azione o l'accettazione del rischio) e la conferma della riparazione.
Idealmente, i rischi tutti in tutto il settore IT dovrebbero essere conosciuti e gestiti.
Inoltre, i ruoli e le responsabilità devono essere assegnati per garantire che tutto quanto sopra sia fatto correttamente. Ciò include responsabili della sicurezza, analisti della sicurezza, responsabili IT delle vulnerabilità, ecc.
Gestione patch
Assicurati che le patch siano distribuite in modo tempestivo. Questo non significa solo spingere le patch Patch Martedì più recenti. Questo include anche la comprensione del software che hai nel tuo patrimonio IT e di avere un inventario completo delle risorse per assicurarti che tutto sia corretto.
Controlli multimediali rimovibili
Assicurati che i supporti rimovibili siano limitati ai dispositivi che sono solo autorizzati. Idealmente, inserisco nella blacklist tutti i supporti rimovibili e autorizzo qualsiasi cosa che approvi. (Questa è solo la mia opinione, comunque)
Prevenzione malware
Assicurati di avere una sorta di AV su tutti i punti finali, almeno l'euristica classica e l'AV basata sulla definizione. (anche se sono disponibili soluzioni più avanzate) Assicurati che sia aggiornato e funzionante.
Ripristino di emergenza
Assicurati di avere backup, inclusi backup off-site off-line di dati critici.
Gestione degli incidenti
Assicurati di avere un piano per reagire a un grave incidente di sicurezza; assicurati di avere le persone giuste nei posti giusti supportati dai giusti processi.
Controllo privilegio utente
Questo è ovvio: assicurati che tutti gli utenti abbiano il minimo privilegio. Questo dovrebbe essere supportato per garantire che questo venga verificato regolarmente.
Formazione e coinvolgimento degli utenti
Garantire che tutto il personale comprenda la politica di sicurezza della propria organizzazione. Esegui esercitazioni come campagne di phishing per testare i tuoi utenti e fornire corsi di formazione per consentire loro di comprendere i rischi coinvolti ed essere meglio preparati ad individuare e-mail, siti Web, generazione di contributi ecc. (Ancora, questa è solo una visione, alcune persone potrebbero suggerire quella sicurezza non dovrebbe essere un problema utente, dovrebbe essere un problema IT)
Buona sicurezza della rete Igiene
Avere i controlli di accesso corretti sul perimetro, assicurarsi di aver configurato correttamente i firewall in tutti i punti appropriati della rete (con verifiche e revisioni periodiche delle regole) e assicurarsi che VLANS sia configurato correttamente con tutta la segmentazione richiesta. Assicurarsi che tutti gli utenti remoti possano connettersi in modo sicuro e che tutti i dispositivi da cui si collegano abbiano almeno un livello di patch 1 a 1 come dispositivi già presenti in rete. Inoltre, assicurati di disporre di robusti controlli BYOD.