對“黑天鵝”網絡事件的常見誤解
“黑天鵝”事件被認為是無法預測的高影響和低概率事件。無論您是否認為SolarWinds攻擊和Log4Shell漏洞屬于黑天鵝網絡事件,它們都強調了一些關鍵方法,以幫助組織做好準備并預防危機。
誤解一:對于0day攻擊和供應鏈攻擊,我們無能為力
一種常見的誤解是,我們幾乎不可能保護環境免受嚴重的0day漏洞或供應鏈攻擊,因為它們是高度隱蔽且無法預測的。好處是,這種誤解會推動企業進一步增強檢測和響應能力。但壞處是,它會使安全人員在處理此類事件時產生一種“無助感”。
不過,現實卻與這種普遍認知剛好相反,這些事件并非“未知的未知數”。組織可以戰略性地部署和調整自己的防御策略,使用他們現有的團隊和安全堆棧,并保護自身免受此類攻擊影響。例如,一個簡單但功能強大的示例就是阻止來自服務器的出口Internet流量。盡管這聽起來像是一種基礎的安全實踐,但事實證明,即便是相對成熟的組織也并未實施這種基礎的防御策略。
阻止服務器訪問Internet將能夠阻止攻擊(或顯著降低攻擊者的速度)。因為在這些攻擊活動中,漏洞利用需要依賴服務器發起與攻擊者的命令和控制(C2)基礎設施的連接,無論是通過反向shell、第三方軟件中的惡意代碼(例如SolarWinds)或Log4Shell等漏洞。這也讓我們意識到,即使是基本的安全控制也可以阻止SolarWinds供應鏈攻擊——近年來最復雜的攻擊之一——以及緩解Log4Shell漏洞——最近發現的最有效且普遍存在的漏洞之一。
此外,調查和學習常見的策略、技術和程序(TTP)以及最新違規和漏洞利用的作案方式,都可以為企業組織提供寶貴的見解,幫助他們了解如何改進和優先部署防御策略,以最大限度地減少潛在漏洞利用。
誤解二:一旦攻擊者滲透到環境中,就會完全破壞它
另一個誤解是,這些新穎的漏洞利用將不可避免地允許攻擊者做更多的事情,而不僅僅是滲透邊界。
組織可以實施有針對性的安全加固計劃,以使環境對橫向移動和特權升級等技術更具彈性,使攻擊者遠離,或無法利用他們最初的立足點來訪問核心資產。這種方法還將為防御者提供更多時間來檢測和消除早期階段的攻擊。
“微分段”(Microsegmentation)能夠顯著減少惡意行為的攻擊面,并限制攻擊的橫向移動,但不可否認,它是一項異常艱巨的任務。許多組織拖延實施此類項目,因為他們需要映射所有內部流量、創建詳細的端口和主機允許列表、購買昂貴的解決方案以及在部署和維護此類環境中投入關鍵資源。然而,即便做不到如此詳盡,微分段的許多優點也可以發揮出來。
通過在服務器和工作站上使用基于主機的防火墻策略,限制交互式(例如,RDP、SSH)和非交互式(例如,SMB、WinRM、RPC)管理協議的入口流量,然后將管理流量限制到特定的專用段或跳轉盒子(jump box),也可以幫助實現微分段提供的核心價值。
雖然有時出于操作或應用目的,需要通過非交互式管理協議向服務器傳輸流量,但在許多情況下,不同工作站之間或DMZ中的服務器之間并不需要如此。采用集中的拒絕列表方法將能夠立即降低風險,以至于在網絡內橫向移動將逐漸變得非常具有挑戰性。
再來說說“特權升級”。降低網絡中具體化攻擊風險的主要挑戰之一是憑據衛生和防止特權升級。然而,與上述方法類似,關注從已知和常見TTP中得出的高價值措施可以為防御者提供重要價值。
為實現這一目標,請不斷搜索公開的明文憑據,為服務帳戶設置長而復雜的密碼,避免在日常活動中使用域管理員帳戶,并使用內置的Microsoft安全功能,例如受保護用戶(Protected User)安全組、本地管理員密碼解決方案(LAPS)、本地安全機構(LSA)保護和憑據衛士等。
憑據衛士問題幾乎是過去幾年每次攻擊的主要促成因素。保護特權身份應該成為2022年任何安全路線圖的重中之重。
誤解三:打補丁是我們針對新漏洞唯一的解決方案
通常,當新漏洞出現時,許多安全專家給出的主要(有時也是唯一的)建議就是打補丁,好像打補丁是組織可以控制風險的唯一解決方案。當然,打補丁固然重要,但大型企業可能需要大量的時間才能充分了解其暴露情況,并在生產環境中應用修補程序。偶爾,在打補丁幾天后,由于系統或應用程序已經引起惡意行為者的關注,安全行業還會陸續發現新的針對此類系統或程序的漏洞。所以說,修補并不總能彌補(甚至減輕)所有缺陷。
了解漏洞利用的執行方式——以及漏洞利用執行的依賴項——對于響應此類事件至關重要。那些一開始被認為只是緩解漏洞的解決方法,可能恰是組織真正的“救星”。
利用和優化您的安全堆棧
總而言之,與普遍認知相反,組織可以防止或減輕Log4Shell等新漏洞或SolarWinds等高度復雜攻擊的影響。
組織可以通過利用和優化其當前的安全堆棧、實施安全強化措施以及使用無需額外支出即可輕松啟用的內置安全功能來實現這一目標。
參考及來源:https://www.darkreading.com/attacks-breaches/the-misconceptions-of-2021-s-black-swan-cyber-events
來源:嘶吼專業版
