來自英國安全公司總結的十大安全誤區
在我們面對網絡安全時,遇到的單位多了,自然會發現很多人的安全意識存在高下之分,這些認知的偏執最終形成一個個安全認知的誤區。然而,這些安全認知誤區,是世界性的通病。美國有,英國有,中國也有。這次我們借鑒英國安全企業總結,修改如下。希望我們的企事業單位的網絡安全負責者、運行者能夠查漏補缺,加強自身網絡安全防護。
誤區 一:我們不是目標;我們太小和/或沒有有價值的資產
許多網絡攻擊受害者認為他們規模太小了,黑客對他們的領域沒有興趣或缺乏可以吸引黑客的豐厚的資產。
事實上規模大小并不重要:如果擁有數據處理能力和數據存在,那么你的組織就是目標。大多數攻擊不是先進的民族國家攻擊者實施的,而是由機會主義者發起的,他們尋找容易下手的獵物,就是那些存在黑客很容易利用的安全漏洞或配置錯誤的組織。
如果從安全意識上認為自己的組織不是黑客攻擊目標,更不能可能主動尋找網絡上的可疑活動,那么自然會錯過發現早期攻擊跡象的絕佳機會。例如 域控制器上是否存在 Mimikatz (一種允許用戶查看和保存身份驗證憑據的開源應用程序)。
誤區 二:我們不需要先進的安全技術
一些IT團隊仍然認為,端點安全軟件無法阻止各種威脅,他們不需要為服務器的安全,采取終端防護措施。黑客則樂意充分利用這些假設。 把服務器配置、修補或保護方面的任何錯誤作為主要目標。
試圖繞過或禁用端點軟件并避免被 IT 安全團隊檢測的攻擊技術與日俱增。包括利用社會工程學和多個脆弱點的攻擊;大量壓縮和混淆的惡意代碼直接注入內存;“無文件”惡意軟件攻擊,例如反射 DLL(動態鏈接庫)加載;使用合法的遠程訪問代理(如 Cobalt Strike)以及利用日常 IT 管理工具和技術進行攻擊。基本的防病毒技術將難以檢測和阻止此類活動。
同樣單一的認為端點防護可以防止入侵者攻擊未受保護的服務器的假設也是錯誤的。服務器現在是第一攻擊目標,攻擊者可以使用被盜的訪問憑據輕松找到。大多數攻擊者也知道如何繞過 Linux 機器。事實上,攻擊者經常侵入 Linux 機器并在其中安裝后門,將其用作避風港并保持對目標網絡的持續訪問。
如果組織僅依賴基本安全,沒有更先進的集成工具,例如基于行為和 AI 的檢測以及 24/7 以人為主導的安全運營中心,那么入侵者遲早會找到繞過防御的方法。
謹記:雖然預防是理想的,但檢測是必須的。
誤區 三:我們安全政策很健全
為應用程序和用戶制定安全策略至關重要。隨著新特性和功能添加連接到網絡的設備不斷增多,設備需要不斷檢查和更新。使用滲透測試、桌面演練和災難恢復計劃試運行等技術驗證和測試策略。
誤區 四:RDP協議服務器修改端口引入多因素身份驗證 (MFA) 可免受攻擊
RDP服務使用的標準端口是3389,所以大多數攻擊者會掃描這個端口來尋找開放的遠程訪問服務器。更改端口本身提供很少或根本沒有保護,掃描將能識別任何端口上開放的服務,無論它們在哪個端口上。
雖然引入多因素身份驗證很重要,但除非對所有人員和設備強制執行該策略,否則不會增強安全性。RDP 活動應該在虛擬專用網絡 (VPN) 的保護邊界內進行,如果攻擊者已經在網絡中立足,即使這樣也無法完全保護組織網絡安全。理想情況下,非必要情況下,應限制或禁止在內部和外部使用 RDP 。
誤區 五:屏蔽來自高風險地區的 IP 地址可以免受來自這些地區的攻擊
阻止來自特定區域的IP感覺能夠避免造成任何傷害,這是可能是虛假的安全感。攻擊者可以在許多國家/地區托管其惡意基礎設施,包括被攻擊國家也可能也設置托管其惡意基礎設施。
誤區 六:備份可以抵御勒索軟件
保持文檔的最新備份對業務至關重要。但是,如果備份連接到網絡,那么也在攻擊者的范圍內,也容易在勒索軟件攻擊中被加密、刪除或禁用。
限制可以訪問備份的人數,可能不會顯著提高安全性,因為攻擊者會花時間在網絡中尋找這些人及其訪問憑據。
在云中存儲備份也需要小心,美國安全廠商舉了一個例子:攻擊者通過被黑的IT管理員帳戶向云服務提供商發送電子郵件,要求他們刪除所有備份,供應商答應了。
勒索軟件攻擊后恢復數據和系統的安全備份的標準公式是 3:2:1:所有內容保存三個副本,使用兩個不同的系統,其中一個處于離線狀態。
最后要注意的是:離線備份不會保護信息免受基于勒索軟件的攻擊,勒索軟件攻擊新發展是黑客會竊取并威脅要發布數據,而不僅僅是加密數據。
誤區 七:員工了解安全
網絡釣魚電子郵件等社會工程策略變得越來越難以發現。釣魚郵件信息通常是手工制作的、寫得準確、有說服力和針對性的。員工需要知道如何發現可疑郵件以及收到郵件后該怎么做。他們應能夠知道通知誰以便其他員工保持警惕。
誤區 八:應急響應團隊可以在勒索軟件攻擊后恢復數據
勒索加密技術和過程不斷改進,大多數現代勒索軟件也會刪除 Windows Volume Shadow Copies 等自動備份,并覆蓋存儲在磁盤上的原始數據,使除了支付贖金之外無法恢復,應急團隊也無能為力。
誤區 九:支付贖金將在勒索軟件攻擊后取回數據
根據 2021 年勒索軟件狀況調查,支付贖金的組織平均可以恢復約三分之二 (65%) 的數據,只有 8% 的人恢復了所有數據,29% 的人恢復了不到一半。支付贖金也不是最佳解決方案。
在大多數情況下恢復數據只是恢復過程的一部分,勒索軟件會完全禁用計算機,并且需要從頭開始重裝軟件和系統,然后才能恢復數據。2021 年的調查發現,回收成本平均是贖金需求的十倍。
誤區 十:勒索軟件的發布是一次性攻擊
在發布勒索軟件、探索、禁用或刪除備份、查找具有高價值信息的機器或應用程序以進行加密、刪除信息和安裝額外的有效載荷(例如后門)之前,攻擊者可能已經在網絡中停留數天甚至數周,保持在受害者網絡中的存在允許攻擊者根據需要發起第二次攻擊。 本文根據英國安全公司Sophos文章整理,部分有刪減
