2022年伊始,你是否又被各种预言刷屏了?但是,我更愿意回顾过去一年中发生的安全问题,以便从中吸取所有必要的教训。SolarWinds攻击:了解您的供应商的安全状况至关重要虽然SolarWinds软件供应链攻击已经过去一年,但我们仍在努力充分了解此类攻击的破坏性潜力。在这种情况下,攻击者非常隐蔽,只是因为受影响的公司之一FireEye具有监视和检测入侵的不可思议的能力才被发现。您可能想知道:面对这种情况,我的公司是否有工具和资源来了解此类攻击是否正在发生?我的猜测是,不仅您没有意识到有入侵,甚至你们中的许多人也没有能力和资源这样做。根据微软的说法,攻击者能够“伪造SAML令牌来冒充组织的任何现有用户和帐户,包括高权限帐户。这是一个警钟,让我们重新思考我们安装的软件的来源,并重新-检查对供应商及其安全流程的信任,更不用说我们自己的了!经验教训:与您的软件供应商合作审查他们的安全流程。寻找异常行为,尤其是在高特权帐户中。查看向可以执行mail.read或mail.readwrite之类的操作。此外,您需要在网络外围防火墙中阻止已知的C2端点。ExchangeServer攻击:保护遗留系统2021年3月,在另一场极具破坏性的攻击中——攻击者使用了零日漏洞利用直接针对本地安装的Exchange服务器,微软最初表示攻击是有针对性的,但后来发现攻击范围更广,微软还发现了很多邮件服务器s严重过时,很难快速更新。Microsoft必须为这些遗留平台准备补丁以确保客户安全。2021年4月,美国司法部还宣布就此事采取法院授权的行动。该行动将授权FBI从美国数百台用于提供企业级电子邮件服务的MicrosoftExchange服务器中收集大量被攻陷的服务器,然后复制这些服务器上的WebShell,然后删除服务器上的恶意WebShell.经验教训:确保所有遗留服务器都受到保护。特别是本地Exchange服务器,它们更容易成为攻击目标。确保分配适当的资源来修补这些遗留系统。电子邮件是网络的关键“入口点”,一方面攻击者可以通过电子邮件进行网络钓鱼攻击的另一方面是攻击者了解修补这些遗留服务器的难度。此外,不要仅仅依赖供应商提供的威胁和风险评估。微软最初表示这些攻击是有限的和有针对性的,但实际上它们的范围要广得多,甚至影响到小公司。PrintNightmare:保持打印机更新2021年7月,Microsoft发布了一个名为PrintNightmare的漏洞的带外更新。根据微软安全公告,“当WindowsPrintSpooler服务不正确地执行提权文件操作时,可以触发远程代码执行漏洞。成功利用该漏洞的攻击者可以以系统权限运行任意代码;安装程序;查看、更改或删除数据;或创建具有完整用户权限的新帐户。”对于网络管理员来说,这个PrintNightmare已经变成了打印管理的噩梦。PrintSpooler软件是NT时代的旧代码,许多人敦促Microsoft完全重写它,但这会对第三方打印供应商造成严重破坏。虽然大流行已将我们从面对面打印转变为远程打印过程,但即使是PDF打印机也依赖PrintSpooler来部署和打印为PDF。时至今日,安全研究人员仍在追踪当时发布的多个PrintSpooler相关补丁的后果。12月下旬发布的可选更新包括对几个打印相关问题的修复。它修复了Windows打印客户端在连接到Windows打印服务器上共享的远程打印机时可能遇到的一些错误问题:0x000006e4(RPC_S_CANNOT_SUPPORT)0x0000007c(ERROR_INVALID_LEVEL)0x00000709(ERROR_INVALID_PRINTER_NAME)然而,考虑到这些更新的破坏性作为副作用,一些网络管理员选择不打补丁。经验教训:即使在大流行期间,我们仍然需要印刷服务。每当更新包含打印后台处理程序服务的修复程序时,您必须在更新之前分配适当的资源来测试它。您可以使用PatchManagement.org或reddit上的Sysadmin论坛等第三方资源来监控您可能需要实施的解决方案,而不是选择让您的公司完全不受保护。打印后台处理程序服务只需要在必须启用打印的设备和服务器上运行,其他应该被禁用。勒索软件:阻止RPC和SMB通信进入2022年,勒索软件仍将是主要的网络安全风险。它现在被纳入网络保险政策,美国政府已经组织了一个专家小组,为企业提供更多的保护、信息和指导来应对这种风险。经验教训:使用本地和网络防火墙来阻止RPC和SMB通信,这将限制横向移动和其他攻击。接下来,打开篡改保护以防止攻击者停止安全服务。然后强制执行一个强大的、随机的本地管理员密码。还建议您使用本地管理员密码解决方案(LAPS)以确保您拥有随机密码。监视事件日志的清除。具体来说,Windows会在发生这种情况时生成安全事件ID1102。然后,您需要确保面向Internet的资产具有最新的安全更新。这些资产会定期接受可疑活动审计。最后,确定高特权帐户和公开凭据的登录信息。工作站上不应存在高特权帐户。本文翻译自:https://img.ydisp.cn/news/20220810/gqiw1we2xyo
