2021年网络安全事件给我们上的“那些课”

安全
2022年伊始,你是不是又被各种预测刷屏了?不过,我更倾向于回顾过去一年发生的安全问题,以便从中吸取所有必要的经验教训。

2022年伊始,你是不是又被各种预测刷屏了?不过,我更倾向于回顾过去一年发生的安全问题,以便从中吸取所有必要的经验教训。

SolarWinds攻击:了解供应商的安全状况很有必要

虽然SolarWinds软件供应链攻击事件已经过去一年,但我们仍在努力充分了解此类攻击的潜在破坏性。在此事件中,攻击者是十分隐秘的,最终被发现也只是因为受影响的公司之一 FireEye具有监控和检测入侵的超凡能力。

你也许想过:面对这种情况,我的公司是否有工具和资源来了解此类攻击是否正在发生?对此,我的猜测是,你不仅不会意识到存在入侵行为,甚至你们中的许多人并不具备这么做的能力和资源。根据微软的说法,攻击者能够“伪造SAML令牌来模拟组织的任何现有用户和帐户,包括高特权帐户。

这件事情为我们敲响了警钟:让我们重新考虑所装软件的来源,以及重新审视对供应商及其安全流程的信任度,更不用说我们自己的安全流程了!

经验教训:与您的软件供应商一起审查他们的安全流程。寻找异常行为,尤其是在高特权帐户中。查看将凭据添加到可以执行诸如mail.read或mail.readwrite之类的操作的进程。此外,您还需要阻止网络外围防火墙中的已知C2端点。

Exchange Server攻击:保护遗留系统

2021年3月,又发生了一次极具破坏性的攻击——攻击者使用零日漏洞直接攻击本地安装的Exchange服务器。微软最初表示这些攻击是有针对性的,但后来发现这些攻击更为广泛。微软还发现许多邮件服务器严重过时,很难让它们实现快速更新。微软必须为这些遗留平台准备补丁,才能确保客户安全。

2021年4月,美国司法部还针对此事宣布了一项法院授权的行动,该行动将授权FBI从美国数百台用于提供企业级电子邮件服务的Microsoft Exchange服务器中,先收集大量被攻陷的服务器,再将这些服务器上的WebShell进行拷贝,然后再删除服务器上的恶意WebShell。

经验教训:确保任何遗留服务器都受到保护。特别是本地Exchange服务器,它们更易成为目标。确保分配适当的资源来修补这些遗留系统。电子邮件是网络的关键“入口点”,一方面是攻击者可以通过电子邮件实施网络钓鱼攻击,另一方面是攻击者了解修补这些遗留服务器的难度。

此外,不要完全依赖供应商提供的威胁和风险评估。微软最初表示,这些攻击是有限的和有针对性的,但实际上它们的范围要广得多,甚至会影响到小公司。

PrintNightmare:保持打印机更新

2021年7月,Microsoft针对名为PrintNightmare的漏洞发布了带外更新。根据微软安全公告称,“当 Windows Print Spooler 服务不正确地执行提权文件操作时会触发远程代码执行漏洞。成功利用该漏洞的攻击者可以系统权限运行任意代码,安装程序;查看、更改或删除数据;或以完整的用户权限创建新账户。“

对于网络管理员来说,这个PrintNightmare已经变成了打印管理的噩梦。Print Spooler软件是老旧的NT时代代码,许多人曾敦促微软完全重写,但这会对第三方打印供应商造成重大破坏。虽说疫情大流行已经将我们从面对面打印过渡到远程打印流程,但即便是PDF打印机也需要依赖Print Spooler来部署和打印为PDF。

时至今日,安全研究人员仍在追踪当时发布的多个Print Spooler相关补丁的后续影响。去年12月底发布的可选更新中包含对几个打印相关问题的修复。它修复了当连接到Windows打印服务器上共享的远程打印机时,Windows打印客户端可能会遇到的一些错误问题:

0x000006e4 (RPC_S_CANNOT_SUPPORT)

0x0000007c (ERROR_INVALID_LEVEL)

0x00000709 (ERROR_INVALID_PRINTER_NAME)

不过,考虑到这些更新的破坏性副作用,一些网络管理员选择不打补丁。

经验教训:即使在大流行中,我们仍然需要打印服务。每当更新包含针对print spooler服务的修复程序时,您必须在更新之前分配适当的资源进行测试。您可以使用PatchManagement.org或reddit上的Sysadmin论坛等第三方资源,来监控您可能需要实施的解决方案,而不是选择让您的公司完全不受保护。print spooler服务只需在必须启用打印的设备和服务器上运行,其他应该禁用。

勒索软件:阻止RPC和SMB通信

进入2022年,勒索软件仍将是主要网络安全风险。它现在已被纳入网络保险政策,美国政府也已组织专家组为企业提供更多保护、信息和指导以应对这种风险。

经验教训:使用本地和网络防火墙来阻止RPC和SMB通信,这将限制横向移动以及其他攻击活动。接下来,开启防篡改功能,防止攻击者停止安全服务。然后强制执行强大、随机的本地管理员密码。此外,还建议您使用本地管理员密码解决方案(LAPS)来确保您拥有随机密码。

监控事件日志的清除。 具体来说,Windows会在发生这种情况时生成安全事件ID 1102。 然后,您需要确保面向Internet的资产拥有最新的安全更新。定期审计这些资产是否存在可疑活动。最后,确定高特权帐户的登录情况以及处于暴露状态的凭据。工作站上不应存在高特权帐户。

本文翻译自:https://www.csoonline.com/article/3644051/lessons-learned-from-2021-network-security-events.html如若转载,请注明原文地址

责任编辑:姜华 来源: 嘶吼网
相关推荐

2020-12-22 14:03:07

网络安全物联网

2021-06-16 11:03:17

网络安全ISACA网络攻击

2024-01-05 14:58:16

网络安全数据监管

2013-01-09 16:15:31

2020-12-10 15:24:53

瞻博网络安全

2020-12-23 10:44:21

网络安全新基建漏洞

2020-11-25 12:58:15

网络安全权限攻击

2020-12-11 10:26:21

网络安全趋势

2020-01-10 08:10:14

网络安全数据泄露勒索攻击

2021-01-06 09:11:59

网络安全安全威胁网络攻击

2020-01-09 08:44:08

网络安全IT安全漏洞

2021-01-07 09:41:23

网络安全数据泄露网络攻击

2011-12-29 12:27:41

2022-01-12 16:13:29

网络安全趋势网络安全网络攻击

2021-01-15 14:20:07

网络安全黑客汽车

2021-02-20 23:23:19

网络安全投资网络安全攻击

2022-05-06 08:47:00

网络安全人均绩效人均薪酬

2019-01-24 16:27:28

2011-04-21 15:44:45

2023-04-20 10:50:25

点赞
收藏

51CTO技术栈公众号