有關2021年網絡黑天鵝事件的誤解
黑天鵝事件指的是一些發生頻率低但是影響程度大,并且無法進行預測的事件。無論你是否認為它們是網絡黑天鵝事件,SolarWinds 和 Log4Shell 攻擊事件都強調了組織可以用來預防危機的一些方式。
以下是關于預防此類事件的三個常見的誤解。
誤解一:對于零日攻擊,我們無能為力
最常見的誤解之一就是:由于零日漏洞和供應鏈攻擊過于隱秘并且無法預測,所以保護環境免受這兩類攻擊的危害是不可能的。在積極的方面,該誤解可以促使人們在增強檢測和響應能力方面投入更多的努力。而在消極方面,它會使人們在處理此類事件時產生一種無助感。
與這些普遍的看法相反,此類事件并非“未知的未知數”。組織可以通過戰略性地部署和改進他們的防御并經常性地使用現有的團隊和安全棧,在一定程度上抵御此類攻擊。一些簡單但具有代表性的例子就是:防止服務器的互聯網流量流出。盡管這聽上去像是一種基本的安全實踐,但事實上,即使是相對成熟的組織也沒有將其完全實現的。
阻止服務器接觸到互聯網,可以抵御那些基于服務端的,通過連接攻擊者命令從而控制基礎設施的攻擊(或是大大減緩攻擊者的速度)。此類攻擊通常是通過反彈shell、以及SolarWinds這樣的第三方供應鏈中的惡意代碼、或者類似Log4Shell的漏洞來實現。
這讓我們意識到:即使是最基礎的安全控制也可以阻止SolarWinds供應鏈攻擊(近年來最復雜的攻擊之一)并緩解 Log4Shell漏洞(最近發現的最普遍且破壞最大的漏洞之一)
調查和學習最近發生的入侵和漏洞利用事件中常用的策略、技術和過程,可以為組織提供給有價值的見解,幫助組織了解關于如何改進防御和設置防御的優先級,以減少未來漏洞被利用的可能性。
誤解2: 一旦攻擊者滲透到環境中,他們就會將環境完全摧毀
另一個誤解是這些新型的漏洞一定可以讓攻擊者進行更進一步的破壞,而不僅僅是滲透到外圍。實施有針對性的安全優化,可以使環境對橫向移動和特權升級技術更具彈性,從而抵御攻擊者,使其無法利用最初的立足點來訪問核心資產。該方法也使組織有更多的時間來在攻擊的早期對其進行檢測和消除。
(1) 橫向移動
微分割是一項艱巨的任務。許多組織在實施此類項目時會顯得拖沓,這是因為他們需要對所有的內部流量進行映射、創建端口和主機的細粒度允許列表、購買昂貴的解決方案,并在部署和維護此類環境中投資關鍵資源。然而微分割許多優點的實現可以不用那么繁瑣。
通過在服務器和工作站上使用基于主機的防火墻策略來限制交互式(如RDP, SSH)和非交互式(如SMB, WinRM, RPC)管理協議上的進入流量,然后將管理流量限制到特定的專用網段或者jumpbox上,就可以幫助實現微分割提供的核心價值。
雖然有時出于操作或應用目的,需要通過非交互式管理協議向服務器傳輸流量。但在許多情況下,不同工作站之間或DMZ區的服務器之間并不需要這種流量。首先采用重點拒絕列表方法可以立即降低風險,直到在網絡中橫向移動變得非常困難。
(2) 特權升級
憑證安全和防止特權升級是降低網絡中實際攻擊風險的主要挑戰之一。然而,與上面采取的方法類似,側重于從現實世界對已知和常見TTP的利用中得出高價值的措施可以為防衛者提供重要價值。
為了實現這一點,需要不斷地搜索公開的明文憑證,為服務賬戶設置長且復雜的密碼,避免在日常活動中使用域管理賬戶,并充分利用內置的微軟安全功能,例如Protected Users、LAPS、 LSA Protection以及 Credential Guard.
憑證安全問題是Sygnia在近幾年遭受的每一次攻擊中的主要促成因素。2022年,所有的安全圖譜都應該將特權身份安全放在最首要的位置。
誤解3: 打補丁是解決新漏洞的唯一方法
通常情況下,每當發現一個新漏洞,大部分顧問的首要(有時是唯一的)建議就是打補丁。好像打補丁是組織控制風險的唯一辦法一樣。打補丁是重要的,但是大型企業需要花費時間來充分了解其暴露的缺陷,從而在生產環境中應用補丁。偶爾,由于重視或者系統和程序的輔助,打完補丁的隨后幾天,安全行業便會發現的新的漏洞。打補丁并非可以彌補所有的缺陷。響應此類事件時,了解攻擊的執行方式及其依賴的條件是不可或缺的。這可能是緩解脆弱性的唯一變通方法,有時也會是組織的救命稻草。
充分利用并優化安全棧:
與常見的看法不同,組織是可以預防或緩解諸如 Log4Shell等新漏洞或SolarWinds等高度復雜的攻擊所帶來的的影響的。這需要組織通過充分利用并優化他們現有的安全棧、實施精準強化措施并使用那些無需額外花銷即可輕松開啟的內置安全功能來實現。
點評
“黑天鵝”事件是無法避免的,但我們卻可以通過事前的防御以及事后的響應來將其帶來的影響降至最低。面對無法預測的零日漏洞以及供應鏈攻擊,我們并非手足無措。而看似萬能的補丁修復也絕非唯一的良策。只要解開對此類事件的種種誤解,即使是最基礎的實踐也能在應對“黑天鵝”事件方面發揮出超乎預期的作用。
