漏洞管理:在为时已晚之前修复它还为时不晚高达17%的漏洞是严重的。5月的漏洞数量最少,总共55个漏洞中只有4个被评为严重漏洞。但问题是,这些关键漏洞都是伴随我们多年的老面孔,比如远程代码执行漏洞、提权漏洞等。微软并不是唯一一家经常修复重大漏洞的软件巨头。Apple、Adobe、Google和Cisco等行业领导者也每月发布安全更新。新是相对于旧的如此多的应用存在重大漏洞,是否还有希望迎来一个安全的未来?答案当然是肯定的,但这并不意味着安全之路就没有困难和挑战。长年奋战在防线前线的安全从业者,对漏洞可能并不陌生,但对手的战术千变万化。合法资源被用于邪恶目的的情况并不少见,应用程序也不是为此类滥用而构建的。80%的安全事件都涉及特权账户,利用提权漏洞只会愈演愈烈。勒索软件运营商和其他恶意行为者经常利用系统上的特权升级漏洞来使其操作合法化并获得对敏感数据的访问权限。如果信息窃贼拥有与当前用户相同的权限,泄露敏感数据的机会就会大大增加。同时,管理员权限几乎保证了对极有价值数据的访问。除了保持软件更新外,零信任计划和流量监控对于防御特权升级漏洞也至关重要。至少,零信任意味着应该应用最小特权原则,并且应该在所有地方应用多因素身份验证。基本上,零信任确保不需要访问系统或文件的用户没有此类权限,而确实需要此类权限的用户必须证明他们是他们声称的人。数据流监控还可以帮助及早发现数据泄露并限制被盗数据量。远程控制远程代码执行(RCE)不会很快消失。此类攻击占2020年所有攻击的27%,高于前一年的7%。通过能够找到一种在您的系统上远程执行任意代码的方法,攻击者可以获得控制权,而不仅仅是让用户无意中运行具有预定义功能的恶意软件。如果攻击者可以远程执行任意代码,他们就有能力跟踪系统或网络,根据他们正在寻找的内容改变他们的目标和策略。行为监控是检测系统RCE的最佳方法之一。如果应用程序开始运行不属于其正常行为的命令和进程,那么您可以准备好更快地阻止攻击。RCE如此普遍的事实也意味着用户应该及时更新他们的安全补丁,以防患于未然。谁需要恶意软件?如今,一种流行的攻击媒介利用合法进程和受信任的应用程序进行恶意攻击。这种类型的无文件或非登陆攻击很难检测到,因为它不会安装恶意软件。PowerShell是容易受到此类利用的最常见应用程序之一。因为PowerShell是一个用于编写脚本和执行系统命令的强大应用程序。无文件攻击的示例还表明,监控应用程序和进程的行为是快速阻止攻击的关键。那么,PowerShell真的需要禁用安全功能吗?在大多数情况下,不一定。甚至可以从PowerShell等受信任的应用程序检测到此行为。将监控与先进的机器学习和人工智能相结合,可以提取网络上正常行为的特征,并实现对异常行为的自动化响应。继续前进虽然常见的攻击类型变化不大,但对应用程序或代码的任何更改都可能引入新的漏洞。这并不是说我们要放弃抵抗,让对方开进来,而是说现在是加倍努力打败对方的好时机。我们需要实施补丁管理策略、监控网络、使用行为检测并避免自满。主要软件供应商定期修复重大漏洞的事实实际上是一件好事,并且由于攻击者不会放弃捣乱,我们也不应放弃防御。
