黑天鹅事件是指发生频率不高但影响较大且无法预测的事件。无论您是否认为它们是网络黑天鹅事件,SolarWinds和Log4Shell事件都凸显了组织可以预防危机的一些方式。以下是关于防止此类事件的三个??常见误解。误解1:我们对零日攻击无能为力最常见的误解之一是,不可能保护您的环境免受零日攻击和供应链攻击,因为它们非常隐蔽且不可预测。从积极的方面来看,这种误解可能会促使人们做出更多努力来增强检测和响应能力。在消极方面,它会在处理此类事件时产生无助感。与这些流行的看法相反,此类事件并非“未知的未知数”。组织可以通过战略性地部署和改进防御并定期使用现有团队和安全堆栈,在一定程度上防止此类攻击。一些简单但有代表性的例子是:防止服务器的互联网流量外出。虽然这听起来像是一种基本的安全实践,但现实是即使是相对成熟的组织也没有完全实施它。阻止服务器访问Internet可以防止通过链接攻击者的命令(或大大减慢攻击者的速度)来控制基础设施的基于服务器的攻击。此类攻击通常通过反向shell、SolarWinds等第三方供应链中的恶意代码或Log4Shell等漏洞来实现。这让我们意识到:即使是最基本的安全控制也可以阻止SolarWinds供应链攻击(近年来最复杂的攻击之一)并减轻Log4Shell漏洞(最近发现的最普遍和最具破坏性的漏洞之一)调查和学习最近的入侵和利用事件中常用的策略、技术和程序可以为组织提供宝贵的见解,了解如何改进防御并确定防御的优先级,以降低未来发生攻击的可能性。误解2:一旦攻击者渗透到一个环境中,他们就会将其彻底摧毁另一个误解是,这些新型漏洞必须允许攻击者造成比仅仅穿透边界更大的破坏。实施有针对性的安全优化可以使环境对横向移动和特权升级技术更具弹性,从而防止攻击者利用其最初的立足点获得对核心资产的访问权限。这种方法还为组织提供了更多时间来及早检测和消除攻击。(1)横向移动微分割是一项艰巨的任务。由于需要映射所有内部流量、创建细粒度的端口和主机允许列表、购买昂贵的解决方案以及投资关键资源,许多组织拖延了实施此类项目。然而,微分段的许多优点的实现可以不那么繁琐。通过在服务器和工作站上使用基于主机的防火墙策略,限制交互式(例如RDP、SSH)和非交互式(例如SMB、WinRM、RPC)管理协议的传入流量,然后将管理流量限制在特定的专用网段或跳转箱上,它可以帮助实现微细分提供的核心价值。尽管有时出于操作或应用目的,需要通过非交互式管理协议将流量传输到服务器。但在许多情况下,不同工作站之间或DMZ中的服务器之间不需要这种流量。首先采用集中拒绝列表方法立即降低风险,直到通过网络横向移动变得非常困难。(2)提权凭证安全和防止提权是降低网络中实际攻击风险的主要挑战之一。然而,与上述方法类似,关注从现实世界中已知和常见TTP的利用中获得的高价值措施可以为防御者提供重要价值。为了实现这一点,需要不断搜索暴露的明文凭据,为服务帐户设置长而复杂的密码,避免在日常活动中使用域管理帐户,并充分利用内置的Microsoft安全功能,例如Protected用户、LAPS、LSA保护和CredentialGuard。凭据安全问题是近年来Sygnia遭受的每一次攻击的主要促成因素。到2022年,特权身份安全应该处于所有安全图表的最前沿。误区3:修补是解决新漏洞的唯一方法通常,每当发现新漏洞时,大多数顾问的第一个(有时也是唯一的)建议就是修补它。好像打补丁是组织控制风险的唯一方式。打补丁很重要,但大型企业需要时间来充分了解他们在生产中应用补丁所暴露的缺陷。偶尔,由于系统和程序的关注或协助,安全行业会在补丁完成后的几天内发现新的漏洞。并非所有错误都可以通过修补来修复。在应对此类事件时,了解攻击是如何进行的以及它所依赖的条件是不可或缺的。这可能是缓解漏洞的唯一解决方法,有时可以成为组织的救命稻草。利用和优化您的安全堆栈:与普遍看法相反,组织可以防止或减轻新漏洞(如Log4Shell)或高度复杂的攻击(如SolarWinds)的影响。这是通过组织利用和优化其现有安全堆栈、实施精确强化以及使用无需额外成本即可轻松启用的内置安全功能来实现的。对“黑天鹅”事件发表评论在所难免,但我们可以通过事前防御和事后应对将其影响降到最低。面对不可预测的零日漏洞和供应链攻击,我们并非束手无策。而看似万能的补丁修复也绝不是唯一的良方。即使是最基本的做法,在处理“黑天鹅”事件时也能比预期更有效,只要理清对此类事件的各种误解。
