有關(guān)2021年網(wǎng)絡(luò)黑天鵝事件的誤解
責(zé)編:gltian |2022-06-09 13:56:38黑天鵝事件指的是一些發(fā)生頻率低但是影響程度大,并且無法進行預(yù)測的事件。無論你是否認為它們是網(wǎng)絡(luò)黑天鵝事件,SolarWinds 和 Log4Shell 攻擊事件都強調(diào)了組織可以用來預(yù)防危機的一些方式。
以下是關(guān)于預(yù)防此類事件的三個常見的誤解。
誤解一:對于零日攻擊,我們無能為力
最常見的誤解之一就是:由于零日漏洞和供應(yīng)鏈攻擊過于隱秘并且無法預(yù)測,所以保護環(huán)境免受這兩類攻擊的危害是不可能的。在積極的方面,該誤解可以促使人們在增強檢測和響應(yīng)能力方面投入更多的努力。而在消極方面,它會使人們在處理此類事件時產(chǎn)生一種無助感。
與這些普遍的看法相反,此類事件并非“未知的未知數(shù)”。組織可以通過戰(zhàn)略性地部署和改進他們的防御并經(jīng)常性地使用現(xiàn)有的團隊和安全棧,在一定程度上抵御此類攻擊。一些簡單但具有代表性的例子就是:防止服務(wù)器的互聯(lián)網(wǎng)流量流出。盡管這聽上去像是一種基本的安全實踐,但事實上,即使是相對成熟的組織也沒有將其完全實現(xiàn)的。
阻止服務(wù)器接觸到互聯(lián)網(wǎng),可以抵御那些基于服務(wù)端的,通過連接攻擊者命令從而控制基礎(chǔ)設(shè)施的攻擊(或是大大減緩攻擊者的速度)。此類攻擊通常是通過反彈shell、以及SolarWinds這樣的第三方供應(yīng)鏈中的惡意代碼、或者類似Log4Shell的漏洞來實現(xiàn)。
這讓我們意識到:即使是最基礎(chǔ)的安全控制也可以阻止SolarWinds供應(yīng)鏈攻擊(近年來最復(fù)雜的攻擊之一)并緩解 Log4Shell漏洞(最近發(fā)現(xiàn)的最普遍且破壞最大的漏洞之一)
調(diào)查和學(xué)習(xí)最近發(fā)生的入侵和漏洞利用事件中常用的策略、技術(shù)和過程,可以為組織提供給有價值的見解,幫助組織了解關(guān)于如何改進防御和設(shè)置防御的優(yōu)先級,以減少未來漏洞被利用的可能性。
誤解2: 一旦攻擊者滲透到環(huán)境中,他們就會將環(huán)境完全摧毀
另一個誤解是這些新型的漏洞一定可以讓攻擊者進行更進一步的破壞,而不僅僅是滲透到外圍。實施有針對性的安全優(yōu)化,可以使環(huán)境對橫向移動和特權(quán)升級技術(shù)更具彈性,從而抵御攻擊者,使其無法利用最初的立足點來訪問核心資產(chǎn)。該方法也使組織有更多的時間來在攻擊的早期對其進行檢測和消除。
- 橫向移動:微分割是一項艱巨的任務(wù)。許多組織在實施此類項目時會顯得拖沓,這是因為他們需要對所有的內(nèi)部流量進行映射、創(chuàng)建端口和主機的細粒度允許列表、購買昂貴的解決方案,并在部署和維護此類環(huán)境中投資關(guān)鍵資源。然而微分割許多優(yōu)點的實現(xiàn)可以不用那么繁瑣。
通過在服務(wù)器和工作站上使用基于主機的防火墻策略來限制交互式(如RDP, SSH)和非交互式(如SMB, WinRM, RPC)管理協(xié)議上的進入流量,然后將管理流量限制到特定的專用網(wǎng)段或者jumpbox上,就可以幫助實現(xiàn)微分割提供的核心價值。
雖然有時出于操作或應(yīng)用目的,需要通過非交互式管理協(xié)議向服務(wù)器傳輸流量。但在許多情況下,不同工作站之間或DMZ區(qū)的服務(wù)器之間并不需要這種流量。首先采用重點拒絕列表方法可以立即降低風(fēng)險,直到在網(wǎng)絡(luò)中橫向移動變得非常困難。
- 特權(quán)升級: 憑證安全和防止特權(quán)升級是降低網(wǎng)絡(luò)中實際攻擊風(fēng)險的主要挑戰(zhàn)之一。然而,與上面采取的方法類似,側(cè)重于從現(xiàn)實世界對已知和常見TTP的利用中得出高價值的措施可以為防衛(wèi)者提供重要價值。
為了實現(xiàn)這一點,需要不斷地搜索公開的明文憑證,為服務(wù)賬戶設(shè)置長且復(fù)雜的密碼,避免在日常活動中使用域管理賬戶,并充分利用內(nèi)置的微軟安全功能,例如Protected Users、LAPS、 LSA Protection以及 Credential Guard.
憑證安全問題是Sygnia在近幾年遭受的每一次攻擊中的主要促成因素。2022年,所有的安全圖譜都應(yīng)該將特權(quán)身份安全放在最首要的位置。
誤解3: 打補丁是解決新漏洞的唯一方法
通常情況下,每當(dāng)發(fā)現(xiàn)一個新漏洞,大部分顧問的首要(有時是唯一的)建議就是打補丁。好像打補丁是組織控制風(fēng)險的唯一辦法一樣。打補丁是重要的,但是大型企業(yè)需要花費時間來充分了解其暴露的缺陷,從而在生產(chǎn)環(huán)境中應(yīng)用補丁。偶爾,由于重視或者系統(tǒng)和程序的輔助,打完補丁的隨后幾天,安全行業(yè)便會發(fā)現(xiàn)的新的漏洞。打補丁并非可以彌補所有的缺陷。響應(yīng)此類事件時,了解攻擊的執(zhí)行方式及其依賴的條件是不可或缺的。這可能是緩解脆弱性的唯一變通方法,有時也會是組織的救命稻草。
充分利用并優(yōu)化安全棧
與常見的看法不同,組織是可以預(yù)防或緩解諸如 Log4Shell等新漏洞或SolarWinds等高度復(fù)雜的攻擊所帶來的的影響的。這需要組織通過充分利用并優(yōu)化他們現(xiàn)有的安全棧、實施精準強化措施并使用那些無需額外花銷即可輕松開啟的內(nèi)置安全功能來實現(xiàn)。
來源:數(shù)世咨詢
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧