對(duì)“黑天鵝”網(wǎng)絡(luò)事件的常見誤解
“黑天鵝”事件被認(rèn)為是無(wú)法預(yù)測(cè)的高影響和低概率事件。無(wú)論您是否認(rèn)為SolarWinds攻擊和Log4Shell漏洞屬于黑天鵝網(wǎng)絡(luò)事件,它們都強(qiáng)調(diào)了一些關(guān)鍵方法,以幫助組織做好準(zhǔn)備并預(yù)防危機(jī)。
誤解一:對(duì)于0day攻擊和供應(yīng)鏈攻擊,我們無(wú)能為力
一種常見的誤解是,我們幾乎不可能保護(hù)環(huán)境免受嚴(yán)重的0day漏洞或供應(yīng)鏈攻擊,因?yàn)樗鼈兪歉叨入[蔽且無(wú)法預(yù)測(cè)的。好處是,這種誤解會(huì)推動(dòng)企業(yè)進(jìn)一步增強(qiáng)檢測(cè)和響應(yīng)能力。但壞處是,它會(huì)使安全人員在處理此類事件時(shí)產(chǎn)生一種“無(wú)助感”。
不過,現(xiàn)實(shí)卻與這種普遍認(rèn)知?jiǎng)偤孟喾矗@些事件并非“未知的未知數(shù)”。組織可以戰(zhàn)略性地部署和調(diào)整自己的防御策略,使用他們現(xiàn)有的團(tuán)隊(duì)和安全堆棧,并保護(hù)自身免受此類攻擊影響。例如,一個(gè)簡(jiǎn)單但功能強(qiáng)大的示例就是阻止來(lái)自服務(wù)器的出口Internet流量。盡管這聽起來(lái)像是一種基礎(chǔ)的安全實(shí)踐,但事實(shí)證明,即便是相對(duì)成熟的組織也并未實(shí)施這種基礎(chǔ)的防御策略。
阻止服務(wù)器訪問Internet將能夠阻止攻擊(或顯著降低攻擊者的速度)。因?yàn)樵谶@些攻擊活動(dòng)中,漏洞利用需要依賴服務(wù)器發(fā)起與攻擊者的命令和控制(C2)基礎(chǔ)設(shè)施的連接,無(wú)論是通過反向shell、第三方軟件中的惡意代碼(例如SolarWinds)或Log4Shell等漏洞。這也讓我們意識(shí)到,即使是基本的安全控制也可以阻止SolarWinds供應(yīng)鏈攻擊——近年來(lái)最復(fù)雜的攻擊之一——以及緩解Log4Shell漏洞——最近發(fā)現(xiàn)的最有效且普遍存在的漏洞之一。
此外,調(diào)查和學(xué)習(xí)常見的策略、技術(shù)和程序(TTP)以及最新違規(guī)和漏洞利用的作案方式,都可以為企業(yè)組織提供寶貴的見解,幫助他們了解如何改進(jìn)和優(yōu)先部署防御策略,以最大限度地減少潛在漏洞利用。
誤解二:一旦攻擊者滲透到環(huán)境中,就會(huì)完全破壞它
另一個(gè)誤解是,這些新穎的漏洞利用將不可避免地允許攻擊者做更多的事情,而不僅僅是滲透邊界。
組織可以實(shí)施有針對(duì)性的安全加固計(jì)劃,以使環(huán)境對(duì)橫向移動(dòng)和特權(quán)升級(jí)等技術(shù)更具彈性,使攻擊者遠(yuǎn)離,或無(wú)法利用他們最初的立足點(diǎn)來(lái)訪問核心資產(chǎn)。這種方法還將為防御者提供更多時(shí)間來(lái)檢測(cè)和消除早期階段的攻擊。
“微分段”(Microsegmentation)能夠顯著減少惡意行為的攻擊面,并限制攻擊的橫向移動(dòng),但不可否認(rèn),它是一項(xiàng)異常艱巨的任務(wù)。許多組織拖延實(shí)施此類項(xiàng)目,因?yàn)樗麄冃枰成渌袃?nèi)部流量、創(chuàng)建詳細(xì)的端口和主機(jī)允許列表、購(gòu)買昂貴的解決方案以及在部署和維護(hù)此類環(huán)境中投入關(guān)鍵資源。然而,即便做不到如此詳盡,微分段的許多優(yōu)點(diǎn)也可以發(fā)揮出來(lái)。
通過在服務(wù)器和工作站上使用基于主機(jī)的防火墻策略,限制交互式(例如,RDP、SSH)和非交互式(例如,SMB、WinRM、RPC)管理協(xié)議的入口流量,然后將管理流量限制到特定的專用段或跳轉(zhuǎn)盒子(jump box),也可以幫助實(shí)現(xiàn)微分段提供的核心價(jià)值。
雖然有時(shí)出于操作或應(yīng)用目的,需要通過非交互式管理協(xié)議向服務(wù)器傳輸流量,但在許多情況下,不同工作站之間或DMZ中的服務(wù)器之間并不需要如此。采用集中的拒絕列表方法將能夠立即降低風(fēng)險(xiǎn),以至于在網(wǎng)絡(luò)內(nèi)橫向移動(dòng)將逐漸變得非常具有挑戰(zhàn)性。
再來(lái)說(shuō)說(shuō)“特權(quán)升級(jí)”。降低網(wǎng)絡(luò)中具體化攻擊風(fēng)險(xiǎn)的主要挑戰(zhàn)之一是憑據(jù)衛(wèi)生和防止特權(quán)升級(jí)。然而,與上述方法類似,關(guān)注從已知和常見TTP中得出的高價(jià)值措施可以為防御者提供重要價(jià)值。
為實(shí)現(xiàn)這一目標(biāo),請(qǐng)不斷搜索公開的明文憑據(jù),為服務(wù)帳戶設(shè)置長(zhǎng)而復(fù)雜的密碼,避免在日常活動(dòng)中使用域管理員帳戶,并使用內(nèi)置的Microsoft安全功能,例如受保護(hù)用戶(Protected User)安全組、本地管理員密碼解決方案(LAPS)、本地安全機(jī)構(gòu)(LSA)保護(hù)和憑據(jù)衛(wèi)士等。
憑據(jù)衛(wèi)士問題幾乎是過去幾年每次攻擊的主要促成因素。保護(hù)特權(quán)身份應(yīng)該成為2022年任何安全路線圖的重中之重。
誤解三:打補(bǔ)丁是我們針對(duì)新漏洞唯一的解決方案
通常,當(dāng)新漏洞出現(xiàn)時(shí),許多安全專家給出的主要(有時(shí)也是唯一的)建議就是打補(bǔ)丁,好像打補(bǔ)丁是組織可以控制風(fēng)險(xiǎn)的唯一解決方案。當(dāng)然,打補(bǔ)丁固然重要,但大型企業(yè)可能需要大量的時(shí)間才能充分了解其暴露情況,并在生產(chǎn)環(huán)境中應(yīng)用修補(bǔ)程序。偶爾,在打補(bǔ)丁幾天后,由于系統(tǒng)或應(yīng)用程序已經(jīng)引起惡意行為者的關(guān)注,安全行業(yè)還會(huì)陸續(xù)發(fā)現(xiàn)新的針對(duì)此類系統(tǒng)或程序的漏洞。所以說(shuō),修補(bǔ)并不總能彌補(bǔ)(甚至減輕)所有缺陷。
了解漏洞利用的執(zhí)行方式——以及漏洞利用執(zhí)行的依賴項(xiàng)——對(duì)于響應(yīng)此類事件至關(guān)重要。那些一開始被認(rèn)為只是緩解漏洞的解決方法,可能恰是組織真正的“救星”。
利用和優(yōu)化您的安全堆棧
總而言之,與普遍認(rèn)知相反,組織可以防止或減輕Log4Shell等新漏洞或SolarWinds等高度復(fù)雜攻擊的影響。
組織可以通過利用和優(yōu)化其當(dāng)前的安全堆棧、實(shí)施安全強(qiáng)化措施以及使用無(wú)需額外支出即可輕松啟用的內(nèi)置安全功能來(lái)實(shí)現(xiàn)這一目標(biāo)。
參考及來(lái)源:https://www.darkreading.com/attacks-breaches/the-misconceptions-of-2021-s-black-swan-cyber-events
來(lái)源:嘶吼專業(yè)版
