网络安全 频道

2021年网络安全事件给我们上的“那些课”

  2022年伊始,你是不是又被各种预测刷屏了?不过,我更倾向于回顾过去一年发生的安全问题,以便从中吸取所有必要的经验教训。

  SolarWinds攻击:了解供应商的安全状况很有必要

  虽然SolarWinds软件供应链攻击事件已经过去一年,但我们仍在努力充分了解此类攻击的潜在破坏性。在此事件中,攻击者是十分隐秘的,最终被发现也只是因为受影响的公司之一 FireEye具有监控和检测入侵的超凡能力。

  你也许想过:面对这种情况,我的公司是否有工具和资源来了解此类攻击是否正在发生?对此,我的猜测是,你不仅不会意识到存在入侵行为,甚至你们中的许多人并不具备这么做的能力和资源。根据微软的说法,攻击者能够“伪造SAML令牌来模拟组织的任何现有用户和帐户,包括高特权帐户。

  这件事情为我们敲响了警钟:让我们重新考虑所装软件的来源,以及重新审视对供应商及其安全流程的信任度,更不用说我们自己的安全流程了!

  经验教训:与您的软件供应商一起审查他们的安全流程。寻找异常行为,尤其是在高特权帐户中。查看将凭据添加到可以执行诸如mail.read或mail.readwrite之类的操作的进程。此外,您还需要阻止网络外围防火墙中的已知C2端点。

  Exchange Server攻击:保护遗留系统

  2021年3月,又发生了一次极具破坏性的攻击——攻击者使用零日漏洞直接攻击本地安装的Exchange服务器。微软最初表示这些攻击是有针对性的,但后来发现这些攻击更为广泛。微软还发现许多邮件服务器严重过时,很难让它们实现快速更新。微软必须为这些遗留平台准备补丁,才能确保客户安全。

  2021年4月,美国司法部还针对此事宣布了一项法院授权的行动,该行动将授权FBI从美国数百台用于提供企业级电子邮件服务的Microsoft Exchange服务器中,先收集大量被攻陷的服务器,再将这些服务器上的WebShell进行拷贝,然后再删除服务器上的恶意WebShell。

  经验教训:确保任何遗留服务器都受到保护。特别是本地Exchange服务器,它们更易成为目标。确保分配适当的资源来修补这些遗留系统。电子邮件是网络的关键“入口点”,一方面是攻击者可以通过电子邮件实施网络钓鱼攻击,另一方面是攻击者了解修补这些遗留服务器的难度。

  此外,不要完全依赖供应商提供的威胁和风险评估。微软最初表示,这些攻击是有限的和有针对性的,但实际上它们的范围要广得多,甚至会影响到小公司。

  PrintNightmare:保持打印机更新

  2021年7月,Microsoft针对名为PrintNightmare的漏洞发布了带外更新。根据微软安全公告称,“当 Windows Print Spooler 服务不正确地执行提权文件操作时会触发远程代码执行漏洞。成功利用该漏洞的攻击者可以系统权限运行任意代码,安装程序;查看、更改或删除数据;或以完整的用户权限创建新账户。“

  对于网络管理员来说,这个PrintNightmare已经变成了打印管理的噩梦。Print Spooler软件是老旧的NT时代代码,许多人曾敦促微软完全重写,但这会对第三方打印供应商造成重大破坏。虽说疫情大流行已经将我们从面对面打印过渡到远程打印流程,但即便是PDF打印机也需要依赖Print Spooler来部署和打印为PDF。

  时至今日,安全研究人员仍在追踪当时发布的多个Print Spooler相关补丁的后续影响。去年12月底发布的可选更新中包含对几个打印相关问题的修复。它修复了当连接到Windows打印服务器上共享的远程打印机时,Windows打印客户端可能会遇到的一些错误问题:

  0x000006e4 (RPC_S_CANNOT_SUPPORT)

  0x0000007c (ERROR_INVALID_LEVEL)

  0x00000709 (ERROR_INVALID_PRINTER_NAME)

  不过,考虑到这些更新的破坏性副作用,一些网络管理员选择不打补丁。

  经验教训:即使在大流行中,我们仍然需要打印服务。每当更新包含针对print spooler服务的修复程序时,您必须在更新之前分配适当的资源进行测试。您可以使用PatchManagement.org或reddit上的Sysadmin论坛等第三方资源,来监控您可能需要实施的解决方案,而不是选择让您的公司完全不受保护。print spooler服务只需在必须启用打印的设备和服务器上运行,其他应该禁用。

  勒索软件:阻止RPC和SMB通信

  进入2022年,勒索软件仍将是主要网络安全风险。它现在已被纳入网络保险政策,美国政府也已组织专家组为企业提供更多保护、信息和指导以应对这种风险。

  经验教训:使用本地和网络防火墙来阻止RPC和SMB通信,这将限制横向移动以及其他攻击活动。接下来,开启防篡改功能,防止攻击者停止安全服务。然后强制执行强大、随机的本地管理员密码。此外,还建议您使用本地管理员密码解决方案(LAPS)来确保您拥有随机密码。

  监控事件日志的清除。 具体来说,Windows会在发生这种情况时生成安全事件ID 1102。 然后,您需要确保面向Internet的资产拥有最新的安全更新。定期审计这些资产是否存在可疑活动。最后,确定高特权帐户的登录情况以及处于暴露状态的凭据。工作站上不应存在高特权帐户。

0
相关文章