在實(shí)踐中,事件響應(yīng)團(tuán)隊(duì)會(huì)反復(fù)遇到相同的弱點(diǎn)����。它們是什么以及如何解決����?
加密文件和包含贖金票據(jù)的文本文件清楚地表明公司已成為網(wǎng)絡(luò)攻擊的受害者��。但這只是一長(zhǎng)串攻擊的結(jié)束。肇事者通常會(huì)在數(shù)周或數(shù)月內(nèi)不受阻礙地在網(wǎng)絡(luò)中移動(dòng),而不會(huì)被注意到�。IT 取證分析還表明�,使用基本和簡(jiǎn)單的安全措施�����,許多攻擊可以在加密之前就被中斷�。這 10 個(gè)問題使威脅行為者更容易進(jìn)行此類攻擊����。
1. 未修補(bǔ)的安全漏洞
問題:近年來���,網(wǎng)絡(luò)犯罪分子直接利用的應(yīng)用程序或作系統(tǒng)中反復(fù)出現(xiàn)安全漏洞。特別是使用 Fortinet�、Citrix 或 Microsoft 系統(tǒng)的公司,可以告訴您一兩件事��。許多公司甚至沒有及時(shí)修補(bǔ)關(guān)鍵漏洞。所謂的零日漏洞利用特別危險(xiǎn)���。這些漏洞通常對(duì)制造商來說是未知的,因此一開始沒有可用的補(bǔ)丁���。但是�,系統(tǒng)的漏洞本身并不會(huì)直接導(dǎo)致妥協(xié)�。
解決方案:密切監(jiān)控以及早發(fā)現(xiàn)異常是快速遏制更嚴(yán)重惡意活動(dòng)的好方法��。此外,負(fù)責(zé)人員應(yīng)建立補(bǔ)丁流程并建立良好的資產(chǎn)管理。這為您提供了系統(tǒng)環(huán)境和相應(yīng)補(bǔ)丁狀態(tài)的概覽�。不可修補(bǔ)或過時(shí)的系統(tǒng)應(yīng)單獨(dú)運(yùn)行����。例如,由于技術(shù)原因�����,醫(yī)院使用許多基于過時(shí)作系統(tǒng)的醫(yī)療設(shè)備���。不得允許這些與網(wǎng)絡(luò)的其余部分通信���,當(dāng)然也不允許從 Internet 訪問。
2. 網(wǎng)關(guān):弱口令
問題:弱密碼反復(fù)使網(wǎng)絡(luò)犯罪分子更容易訪問公司網(wǎng)絡(luò)。6 個(gè)字符的域管理員密碼或僅 2 個(gè)字符的本地管理員密碼對(duì)犯罪者來說沒有障礙�。很明顯��,這個(gè)問題在實(shí)踐中經(jīng)常被忽視�,即使對(duì)安全密碼的要求應(yīng)該早已廣為人知���。
解決方案:需要嚴(yán)格的密碼策略才能使威脅行為者更難獲得訪問權(quán)限����。BSI 提供了有關(guān)安全密碼的提示�。所有也可以通過 Internet 訪問的接入點(diǎn)都應(yīng)該額外使用多因素身份驗(yàn)證進(jìn)行保護(hù)。這尤其包括 VPN 訪問�。隨著用戶數(shù)量的增加,一個(gè)或多個(gè)人使用弱密碼或重復(fù)使用密碼的可能性也會(huì)增加。難以控制的用戶組的一個(gè)很好的例子是大學(xué)和學(xué)院�。
3. 無賬戶權(quán)限管理
問題:攻擊者組通常不費(fèi)吹灰之力就能成功地在網(wǎng)絡(luò)中獲得更高的訪問權(quán)限�����。一種流行的方法是使用被盜用的本地管理員賬戶從工作內(nèi)存中讀取緩存的密碼哈希值,因?yàn)槊看斡脩舻卿洉r(shí)都會(huì)緩存密碼哈希值。這適用于使用用戶或管理員帳戶以及服務(wù)帳戶登錄��。通常��,密碼哈?����?梢灾苯邮褂?����,而無需知道實(shí)際密碼以他人身份登錄。專家將此稱為“傳遞哈?!惫簟?/span>
當(dāng)具有特定于域的管理員權(quán)限的管理員為方便起見登錄到簡(jiǎn)單的 PC 時(shí)(通常情況是這樣),此高權(quán)限登錄名會(huì)在本地緩存���,很容易落入網(wǎng)絡(luò)團(tuán)伙的手中����。
解決方案:為了最大限度地降低此類風(fēng)險(xiǎn)��,需要賬戶分離����。Microsoft 在其分層模型中描述了一個(gè)很好的示例。這背后的想法是將系統(tǒng)劃分為不同的級(jí)別(層)�,并為每個(gè)級(jí)別使用單獨(dú)的管理員帳戶����。這種方法可以防止攻擊者在入侵較低級(jí)別時(shí)獲得對(duì)更高級(jí)別系統(tǒng)的訪問權(quán)限�����。因此���,他們不能簡(jiǎn)單地?cái)U(kuò)展其權(quán)限來訪問基礎(chǔ)設(shè)施的敏感部分����。
4. 網(wǎng)絡(luò)分段���?沒有的事���!
問題:許多公司仍然使用大型扁平網(wǎng)絡(luò)�,或者忘記了網(wǎng)絡(luò)分段只有在過渡受到監(jiān)管的情況下才能提供安全優(yōu)勢(shì)��。否則���,如果網(wǎng)絡(luò)犯罪分子可以在整個(gè)網(wǎng)絡(luò)中迅速傳播��,責(zé)任人也不應(yīng)該感到驚訝。
解決方案:通過精心設(shè)計(jì)的網(wǎng)絡(luò)分段��,可以為難以克服的威脅行為者設(shè)置重大障礙�。公司應(yīng)嚴(yán)格分離服務(wù)器和客戶端網(wǎng)絡(luò)��,并且只允許明確必要的連接。同樣重要的是運(yùn)營(yíng)技術(shù) (OT) 和 IT 的分離��。例如�����,生產(chǎn)和控制系統(tǒng)在純粹的辦公網(wǎng)絡(luò)中沒有立足之地。擁有關(guān)鍵基礎(chǔ)設(shè)施的公司(如市政公用事業(yè))必須確保無法訪問����。此外�����,還可以實(shí)施管理網(wǎng)絡(luò)等快速致勝功能。在這里���,僅授予管理帳戶訪問權(quán)限�,每個(gè)帳戶都通過具有第二個(gè)因素的 VPN 進(jìn)行保護(hù)��。這提供了高級(jí)別的安全性,而不會(huì)干擾普通用戶的日常工作。
5. 備份不足
問題:當(dāng)涉及到數(shù)據(jù)丟失時(shí),有備份是不夠的��。它還必須是可恢復(fù)的�。更重要的是,網(wǎng)絡(luò)犯罪分子專門搜索備份以刪除或加密它們�����。這增加了公司支付贖金的壓力。
解決方案:備份應(yīng)始終與網(wǎng)絡(luò)和 Internet 斷開連接����。這意味著沒有連接到 Active Directory 和單獨(dú)隔離網(wǎng)段中的存儲(chǔ),因此它們?cè)诶账鬈浖艉罂梢允褂?����。一次又一次�����,犯罪集團(tuán)在找不到或無法訪問備份服務(wù)器時(shí)放棄攻擊。這意味著他們失去了執(zhí)行其要求所需的杠桿����。同時(shí)��,他們搜索備份的時(shí)間越長(zhǎng)���,公司檢測(cè)攻擊的時(shí)間就越多。
因此��,一個(gè)好的備份策略還包括安全存儲(chǔ)的所有信息的離線副本?���!?-2-1 原則”已被證明是數(shù)據(jù)備份的最佳實(shí)踐。根據(jù)這個(gè)原則�����,創(chuàng)建了三個(gè)獨(dú)立的備份副本,其中兩個(gè)存儲(chǔ)在不同的媒體上(例如��,硬盤和LTO磁帶)�,另一個(gè)存儲(chǔ)在異地。此外�,負(fù)責(zé)人應(yīng)定期測(cè)試備份的功能和恢復(fù)情況。
順便說一句,如果備份受密碼保護(hù)�,但密碼存儲(chǔ)在已由犯罪者加密的密碼管理器中�����,則事情會(huì)變得困難���。
6. IT 員工超負(fù)荷工作
問題:在許多公司中��,“IT”必須處理所有任務(wù)是司空見慣的����,從用戶支持和安裝打印機(jī)驅(qū)動(dòng)程序到網(wǎng)絡(luò)管理。而且還要維護(hù)和照顧服務(wù)器環(huán)境和 IT 安全�����。這通常與其他任務(wù)一起運(yùn)行,在最壞的情況下�����,它也是一項(xiàng)法規(guī)要求。這使得缺乏技術(shù)專長(zhǎng)和時(shí)間資源來執(zhí)行基本和戰(zhàn)略任務(wù)�,例如設(shè)置設(shè)計(jì)良好的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。
解決方案:經(jīng)驗(yàn)表明����,中型公司中大約 5% 的員工應(yīng)該從事 IT 工作�。此外���,公司需要自己的 IT 安全人員;否則����,IT 安全將在日常業(yè)務(wù)中被忽視,并帶來致命的后果���。重要的是要注意�,有競(jìng)爭(zhēng)力的薪酬是爭(zhēng)奪技術(shù)工人的關(guān)鍵因素���。
7. 糟糕的 IT 服務(wù)提供商
問題:許多公司將全部或部分 IT 外包�,以彌補(bǔ)熟練工人的缺乏���。然而,當(dāng)涉及到服務(wù)提供商的技能和專業(yè)知識(shí)時(shí)���,魔鬼就在細(xì)節(jié)中����。
解決方案:一個(gè)好的 IT 服務(wù)提供商可以用您公司缺乏的專業(yè)知識(shí)來支持您自己的 IT 部門�。但是�,在選擇 IT 安全服務(wù)提供商時(shí)��,需要考慮一些事項(xiàng)�。做出選擇時(shí)的重要標(biāo)準(zhǔn)包括服務(wù)級(jí)別協(xié)議��,包括服務(wù)提供商的響應(yīng)時(shí)間。在緊急情況下���,時(shí)間是一個(gè)關(guān)鍵因素。如果您已與您的服務(wù)提供商達(dá)成協(xié)議�,全年每周 7 天提供 24 小時(shí)監(jiān)控����,例如,作為托管擴(kuò)展檢測(cè)和響應(yīng) (MXDR) 服務(wù)的一部分����,您還應(yīng)該在自己的公司指定全天候可用的聯(lián)系人。如果服務(wù)提供商在晚上 10 點(diǎn)報(bào)告了安全事件����,但沒有人可以響應(yīng)����,這對(duì)任何人都沒有幫助�����。
此外���,應(yīng)定期檢查整個(gè) IT 基礎(chǔ)設(shè)施�,例如進(jìn)行滲透測(cè)試�。此類測(cè)試還應(yīng)包括 IT 服務(wù)提供商提供的 IT 基礎(chǔ)設(shè)施。聯(lián)合應(yīng)急演習(xí)可以提供有關(guān) IT 安全能力的信息�����。報(bào)告鏈和應(yīng)急流程也可以通過這種方式進(jìn)行實(shí)踐和測(cè)試��。
8. 缺乏安全監(jiān)控
問題:大多數(shù)事件可以更早地被發(fā)現(xiàn)���,從而停止���。但是��,來自所用安全解決方案的消息被忽視��,迷失在不相關(guān)的消息洪流中���,或者由于缺乏專業(yè)知識(shí)而被誤解�。因此�,IT 取證分析師反復(fù)發(fā)現(xiàn)非常明確的警告信息,這些信息被忽略(有意識(shí)或無意識(shí))或誤解���。
解決方案:如果您想避免這種情況,您需要為 IT 安全分配專門的人員����。如果您不能或不想自己執(zhí)行此作�����,則應(yīng)考慮托管安全服務(wù),例如安全運(yùn)營(yíng)中心�。但是�,這里有一個(gè)方面很重要:報(bào)告鏈����。需要一個(gè)流暢的報(bào)告流程�,以便托管安全解決方案能夠完全有效����。
9. 技術(shù)債務(wù) – 過時(shí)的系統(tǒng)作為網(wǎng)關(guān)
問題:技術(shù)債務(wù)通常也是缺乏人員的結(jié)果。不幸的是�����,公共管理部門提供了一個(gè)典型的例子����。在這里���,我們反復(fù)發(fā)現(xiàn)明顯過時(shí)的 IT 基礎(chǔ)設(shè)施�。但是�����,優(yōu)先級(jí)設(shè)置不正確也會(huì)導(dǎo)致這種情況。
解決方案:負(fù)責(zé)者不應(yīng)只關(guān)注新系統(tǒng)或安全產(chǎn)品作為解決方案,還應(yīng)定期解決技術(shù)債務(wù)問題�。當(dāng)時(shí)間和資源稀缺時(shí)�����,這通常是首先被忽視的事情�����,但它也是對(duì)網(wǎng)絡(luò)犯罪分子的邀請(qǐng)。
10. 緊急情況下的緊急模式
問題:在發(fā)現(xiàn)嚴(yán)重的網(wǎng)絡(luò)攻擊后���,許多公司往往會(huì)感到恐慌。員工和管理層瘋狂行動(dòng)�����,但幾乎沒有采取任何有效的措施。重要的決定和工作被延遲�,這增加了損害。這種現(xiàn)象被親切地稱為“無頭雞模式”����。
解決方案:來自事件響應(yīng)團(tuán)隊(duì)的經(jīng)驗(yàn)豐富的專家提供冷靜和結(jié)構(gòu)化。只有這樣���,大家才能共同努力解決問題��,讓系統(tǒng)重新啟動(dòng)并運(yùn)行���。應(yīng)急計(jì)劃是必不可少的��。這應(yīng)該可以提前離線使用�����,并且在加密服務(wù)器上無法訪問。該應(yīng)急計(jì)劃專門規(guī)定了緊急情況的責(zé)任和程序����。誰做出哪些決定���,誰通知員工����、客戶或利益相關(guān)者,以及誰與調(diào)查機(jī)構(gòu)交談��?否則�,公司將浪費(fèi)寶貴的時(shí)間討論責(zé)任��。
另一點(diǎn):系統(tǒng)優(yōu)先級(jí)。換句話說����,需要先檢查哪個(gè)系統(tǒng)并重新啟動(dòng)的問題�����。我的基礎(chǔ)設(shè)施需要哪些系統(tǒng)才能再次運(yùn)行�?哪些系統(tǒng)是業(yè)務(wù)關(guān)鍵型系統(tǒng)�,以便支付工資或保持生產(chǎn)運(yùn)行?
當(dāng)然���,它也有助于在您的快速撥號(hào)上節(jié)省一個(gè)好的內(nèi)部響應(yīng)服務(wù)提供商。如果您首先必須通過 BSI 的合格服務(wù)提供商名單致電��,則需要更長(zhǎng)的時(shí)間���,而且您并不總是能找到最合格的服務(wù)提供商���。理想情況下���,負(fù)責(zé)人已經(jīng)與專家建立了聯(lián)系����,甚至簽訂了事件響應(yīng)聘用協(xié)議。這使公司可以確定他們的案件將立即得到處理�����。
任何公司都不應(yīng)該依賴希望的原則�。網(wǎng)絡(luò)犯罪分子遲早會(huì)進(jìn)入公司的網(wǎng)絡(luò)����。但是�,如果您遵守并實(shí)施上述十點(diǎn),您將擁有許多工具可供您使用�����,可以在早期階段檢測(cè)攻擊企圖并啟動(dòng)對(duì)策��。理想情況下����,這些措施將非常有效����,以至于犯罪團(tuán)伙會(huì)盡早放棄攻擊,或者會(huì)迅速被發(fā)現(xiàn)����。
閱讀原文:原文鏈接
該文章在 2025/9/4 13:12:29 編輯過
400 186 1886
