风险业务

为此，我们提出了一些快速而实用的建议。请注意，这些建议也适用于合作伙伴遭受入侵或重大感染的情况。

• 划定所有涉及合作伙伴的业务流程/可能交互（企业对企业链接或自动化工作流等）。隔离这些流程，并将来自该合作伙伴的任何数据视为潜在敌对或恶意。安排专用电话或面对面会议，与合作伙伴审查他们事后如何具体处理这些业务交互点。

• 将事件时间范围内从合作伙伴收到的所有文档视为敌对，并调查处理这些工作流的系统是否有恶意软件迹象。

• 启用SMTP网关规则，特别标记来自其域的电子邮件，以便收件人（即您的员工）明显可见，并自动隔离或（如果适当）删除附件。一些电子邮件系统允许您在主题行中预置“[外部]”或其他此类标志，以便员工轻松区分内部与外部电子邮件。考虑一条规则，预置合作伙伴的名称，以便人们格外警惕。示例如下。

• 使用分段和专用的跳转服务器启动与该合作伙伴的任何主机到主机通信。

• 请求与合作伙伴联系过的任何执法人员取得联系。

• 向您当地的执法联系人报告此事件。利用FBI和InfraGard联系人提供您地理区域和特定行业中勒索软件事件的最新信息。

• 询问您的合作伙伴是否有任何合作伙伴也被感染的轶事故事。

• 开始刷新并测试您的灾难恢复和业务连续性计划。

• 测试您的备份。（您确实在备份……对吧？）

• 保持偏执，因为既然人们已经付款并且得到了媒体报道，狼群闻到了血腥味。

谨致偏执， Mike