2022年之际,是不是你又被各种各样预测分析霸屏了?但是,我更偏向于回首过去一年产生的安全隐患,便于从这当中汲取全部必需的经验教训。
SolarWinds攻击:掌握经销商的安全防护情况很必须
尽管SolarWinds手机软件供应链管理攻击事情早已以往一年,但大家仍在勤奋充足掌握该类攻击的潜在性毁灭性。在这里事情中,攻击者是十分秘密的,最后被看到也就是由于受影响的企业之一 FireEye具备监管和检验侵入的非凡工作能力。
你或许想过:应对这样的事情,我的企业是不是有专用工具和資源来掌握该类攻击是不是已经产生?对于此事,我的猜想是,你不但不容易意识到存有侵入个人行为,乃至你们中的很多人并不具有那么做的工作能力和資源。依据微软公司的观点,攻击者可以“仿冒SAML动态口令来仿真模拟机构的一切目前客户和帐户,包含高权利帐户。
这件事为人们打响了敲警钟:使我们慎重考虑所下载应用的来源于,及其再次思考对经销商以及安全性步骤的信任感,更别说我们自己的安全性步骤了!
经验教训:与您的手机软件经销商一起核查她们的安全性步骤。找寻出现异常个人行为,尤其是在高权利帐户中。查询将凭证加上到可以实行例如mail.read或mail.readwrite之类的实际操作的过程。除此之外,您还必须阻拦互联网外部服务器防火墙中的已经知道C2节点。
Exchange Server攻击:维护遗留系统软件
2021年3月,又发生了一次具有毁灭性的攻击——攻击者应用零日系统漏洞立即攻击当地组装的Exchange服务器。微软公司最开始表明这种攻击是有目的性的,但随后看到这种攻击更加普遍。微软公司还发觉很多电子邮件服务器比较严重落伍,难以让他们完成迅速升级。微软公司务必为这种遗留服务平台提前准备补丁包,才可以保证顾客安全性。
2021年4月,美司法部还对于这事公布了一项人民法院受权的行为,该行动将受权FBI从英国数百台用以给予私有云电子邮箱服务项目的Microsoft Exchange服务器中,先搜集很多被攻占的服务器,再将这种服务器上的WebShell开展复制,随后再删掉服务器上的故意WebShell。
经验教训:保证一切遗留服务器都得到维护。尤其是当地Exchange服务器,他们更易变成总体目标。保证分派合理的网络资源来修复这种遗留系统软件。电子邮箱是网上的重要“通道点”,一方面是攻击者可以根据电子邮箱执行钓鱼攻击攻击,另一方面是攻击者掌握修复这种遗留服务器的难度系数。
除此之外,不必彻底依靠经销商带来的侵害和风险评价。微软公司最开始表明,这种攻击是有局限的和有目的性的,但事实上他们的范畴要广得多,乃至会直接影响到小公司。
PrintNightmare:维持复印机升级
2021年7月,Microsoft对于名叫PrintNightmare的系统漏洞公布了带外升级。依据微软公司安全性公示称,“当 Windows Print Spooler 服务项目有误地实行漏洞利用文档实际操作的时候会开启远程控制执行命令系统漏洞。取得成功运用该系统漏洞的攻击者可以系统软件管理权限运作任何编码,程序安装;查询、变更或删掉数据信息;或以详细的用户权限建立新帐户。“
针对网络工程师而言,这一PrintNightmare早已变成了打印出管理方法的恶梦。Print Spooler软件是年久的NT时期编码,很多人曾督促微软公司彻底重新写过,但这会对第三方打印出经销商导致重要毁坏。虽然新冠疫情大流行早已将大家从零距离打印出衔接到远程打印步骤,但即使是PDF复印机也必须依靠Print Spooler来布署和打印出为PDF。
时迄今日,安全性科研工作人员仍在跟踪那时候公布的好几个Print Spooler有关补丁包的后面危害。上年12月底公布的可选择升级中包括对好多个打印出有关问题的修补。它修复了当连结到Windows打印出服务器上分享的远程控制复印机时,Windows打印出手机客户端很有可能会碰到的一些不正确问题:
0x000006e4 (RPC_S_CANNOT_SUPPORT)
0x0000007c (ERROR_INVALID_LEVEL)
0x00000709 (ERROR_INVALID_PRINTER_NAME)
但是,充分考虑这种升级的毁灭性不良反应,一些网络工程师挑选不修复漏洞。
经验教训:即使在大流行中,大家依然必须打印机服务。每每升级包括对于print spooler服务项目的修补程序流程时,您务必在升级以前分派合理的自然资源开展检测。您可以应用PatchManagement.org或reddit上的Sysadmin社区论坛等第三方資源,来监管您也许必须执行的解决方法,而不是挑选让您的企业彻底不会受到维护。print spooler服务项目只需在务必开启打印出的机器设备和服务器上运作,别的应当禁止使用。
勒索病毒:阻拦RPC和SMB通讯
进到2022年,勒索病毒仍将是关键网络信息安全风险性。它如今已被列入互联网保险现行政策,美政府也已机构专家团为公司给予大量维护、信息内容和具体指导以解决这类风险性。
经验教训:应用当地和防火墙来阻拦RPC和SMB通讯,这将限定横着挪动及其别的攻击主题活动。下面,打开防修改作用,避免攻击者终止安全保障。随后申请强制执行强劲、任意的当地用户名和密码。除此之外,还建议应用当地用户名和密码解决方法(LAPS)来保证您有着随机密码。
监管事情日志的消除。 从总体上,Windows会在产生这种现象时转化成安全事故ID 1102。随后,您必须保证朝向Internet的财产有着全新的安全补丁。按时财务审计这种财产是不是存有异常主题活动。最终,明确高权利帐户的登陆状况及其处在裸露情况的凭证。工作平台上不可存有高权利帐户。
文中翻譯自:https://www.csoonline.com/article/3644051/lessons-learned-from-2021-network-security-events.html倘若转截,请标明全文详细地址。