2021年網絡安全事件給我們上的“那些課”
2022年伊始,你是不是又被各種預測刷屏了?不過,我更傾向于回顧過去一年發生的安全問題,以便從中吸取所有必要的經驗教訓。
SolarWinds攻擊:了解供應商的安全狀況很有必要
雖然SolarWinds軟件供應鏈攻擊事件已經過去一年,但我們仍在努力充分了解此類攻擊的潛在破壞性。在此事件中,攻擊者是十分隱秘的,最終被發現也只是因為受影響的公司之一 FireEye具有監控和檢測入侵的超凡能力。
你也許想過:面對這種情況,我的公司是否有工具和資源來了解此類攻擊是否正在發生?對此,我的猜測是,你不僅不會意識到存在入侵行為,甚至你們中的許多人并不具備這么做的能力和資源。根據微軟的說法,攻擊者能夠“偽造SAML令牌來模擬組織的任何現有用戶和帳戶,包括高特權帳戶。
這件事情為我們敲響了警鐘:讓我們重新考慮所裝軟件的來源,以及重新審視對供應商及其安全流程的信任度,更不用說我們自己的安全流程了!
經驗教訓:與您的軟件供應商一起審查他們的安全流程。尋找異常行為,尤其是在高特權帳戶中。查看將憑據添加到可以執行諸如mail.read或mail.readwrite之類的操作的進程。此外,您還需要阻止網絡外圍防火墻中的已知C2端點。
Exchange Server攻擊:保護遺留系統
2021年3月,又發生了一次極具破壞性的攻擊——攻擊者使用零日漏洞直接攻擊本地安裝的Exchange服務器。微軟最初表示這些攻擊是有針對性的,但后來發現這些攻擊更為廣泛。微軟還發現許多郵件服務器嚴重過時,很難讓它們實現快速更新。微軟必須為這些遺留平臺準備補丁,才能確保客戶安全。
2021年4月,美國司法部還針對此事宣布了一項法院授權的行動,該行動將授權FBI從美國數百臺用于提供企業級電子郵件服務的Microsoft Exchange服務器中,先收集大量被攻陷的服務器,再將這些服務器上的WebShell進行拷貝,然后再刪除服務器上的惡意WebShell。
經驗教訓:確保任何遺留服務器都受到保護。特別是本地Exchange服務器,它們更易成為目標。確保分配適當的資源來修補這些遺留系統。電子郵件是網絡的關鍵“入口點”,一方面是攻擊者可以通過電子郵件實施網絡釣魚攻擊,另一方面是攻擊者了解修補這些遺留服務器的難度。
此外,不要完全依賴供應商提供的威脅和風險評估。微軟最初表示,這些攻擊是有限的和有針對性的,但實際上它們的范圍要廣得多,甚至會影響到小公司。
PrintNightmare:保持打印機更新
2021年7月,Microsoft針對名為PrintNightmare的漏洞發布了帶外更新。根據微軟安全公告稱,“當 Windows Print Spooler 服務不正確地執行提權文件操作時會觸發遠程代碼執行漏洞。成功利用該漏洞的攻擊者可以系統權限運行任意代碼,安裝程序;查看、更改或刪除數據;或以完整的用戶權限創建新賬戶。“
對于網絡管理員來說,這個PrintNightmare已經變成了打印管理的噩夢。Print Spooler軟件是老舊的NT時代代碼,許多人曾敦促微軟完全重寫,但這會對第三方打印供應商造成重大破壞。雖說疫情大流行已經將我們從面對面打印過渡到遠程打印流程,但即便是PDF打印機也需要依賴Print Spooler來部署和打印為PDF。
時至今日,安全研究人員仍在追蹤當時發布的多個Print Spooler相關補丁的后續影響。去年12月底發布的可選更新中包含對幾個打印相關問題的修復。它修復了當連接到Windows打印服務器上共享的遠程打印機時,Windows打印客戶端可能會遇到的一些錯誤問題:
0x000006e4 (RPC_S_CANNOT_SUPPORT)
0x0000007c (ERROR_INVALID_LEVEL)
0x00000709 (ERROR_INVALID_PRINTER_NAME)
不過,考慮到這些更新的破壞性副作用,一些網絡管理員選擇不打補丁。
經驗教訓:即使在大流行中,我們仍然需要打印服務。每當更新包含針對print spooler服務的修復程序時,您必須在更新之前分配適當的資源進行測試。您可以使用PatchManagement.org或reddit上的Sysadmin論壇等第三方資源,來監控您可能需要實施的解決方案,而不是選擇讓您的公司完全不受保護。print spooler服務只需在必須啟用打印的設備和服務器上運行,其他應該禁用。
勒索軟件:阻止RPC和SMB通信
進入2022年,勒索軟件仍將是主要網絡安全風險。它現在已被納入網絡保險政策,美國政府也已組織專家組為企業提供更多保護、信息和指導以應對這種風險。
經驗教訓:使用本地和網絡防火墻來阻止RPC和SMB通信,這將限制橫向移動以及其他攻擊活動。接下來,開啟防篡改功能,防止攻擊者停止安全服務。然后強制執行強大、隨機的本地管理員密碼。此外,還建議您使用本地管理員密碼解決方案(LAPS)來確保您擁有隨機密碼。
監控事件日志的清除。 具體來說,Windows會在發生這種情況時生成安全事件ID 1102。 然后,您需要確保面向Internet的資產擁有最新的安全更新。定期審計這些資產是否存在可疑活動。最后,確定高特權帳戶的登錄情況以及處于暴露狀態的憑據。工作站上不應存在高特權帳戶。
本文翻譯自:https://www.csoonline.com/article/3644051/lessons-learned-from-2021-network-security-events.html如若轉載,請注明原文地址。
