来自英国安全公司总结的十大安全误区
在我们面对网络安全时,遇到的单位多了,自然会发现很多人的安全意识存在高下之分,这些认知的偏执最终形成一个个安全认知的误区。然而,这些安全认知误区,是世界性的通病。美国有,英国有,中国也有。这次我们借鉴英国安全企业总结,修改如下。希望我们的企事业单位的网络安全负责者、运行者能够查漏补缺,加强自身网络安全防护。
误区 一:我们不是目标;我们太小和/或没有有价值的资产
许多网络攻击受害者认为他们规模太小了,黑客对他们的领域没有兴趣或缺乏可以吸引黑客的丰厚的资产。
事实上规模大小并不重要:如果拥有数据处理能力和数据存在,那么你的组织就是目标。大多数攻击不是先进的民族国家攻击者实施的,而是由机会主义者发起的,他们寻找容易下手的猎物,就是那些存在黑客很容易利用的安全漏洞或配置错误的组织。
如果从安全意识上认为自己的组织不是黑客攻击目标,更不能可能主动寻找网络上的可疑活动,那么自然会错过发现早期攻击迹象的绝佳机会。例如 域控制器上是否存在 Mimikatz (一种允许用户查看和保存身份验证凭据的开源应用程序)。
误区 二:我们不需要先进的安全技术
一些IT团队仍然认为,端点安全软件无法阻止各种威胁,他们不需要为服务器的安全,采取终端防护措施。黑客则乐意充分利用这些假设。 把服务器配置、修补或保护方面的任何错误作为主要目标。
试图绕过或禁用端点软件并避免被 IT 安全团队检测的攻击技术与日俱增。包括利用社会工程学和多个脆弱点的攻击;大量压缩和混淆的恶意代码直接注入内存;“无文件”恶意软件攻击,例如反射 DLL(动态链接库)加载;使用合法的远程访问代理(如 Cobalt Strike)以及利用日常 IT 管理工具和技术进行攻击。基本的防病毒技术将难以检测和阻止此类活动。
同样单一的认为端点防护可以防止入侵者攻击未受保护的服务器的假设也是错误的。服务器现在是第一攻击目标,攻击者可以使用被盗的访问凭据轻松找到。大多数攻击者也知道如何绕过 Linux 机器。事实上,攻击者经常侵入 Linux 机器并在其中安装后门,将其用作避风港并保持对目标网络的持续访问。
如果组织仅依赖基本安全,没有更先进的集成工具,例如基于行为和 AI 的检测以及 24/7 以人为主导的安全运营中心,那么入侵者迟早会找到绕过防御的方法。
谨记:虽然预防是理想的,但检测是必须的。
误区 三:我们安全政策很健全
为应用程序和用户制定安全策略至关重要。随着新特性和功能添加连接到网络的设备不断增多,设备需要不断检查和更新。使用渗透测试、桌面演练和灾难恢复计划试运行等技术验证和测试策略。
误区 四:RDP协议服务器修改端口引入多因素身份验证 (MFA) 可免受攻击
RDP服务使用的标准端口是3389,所以大多数攻击者会扫描这个端口来寻找开放的远程访问服务器。更改端口本身提供很少或根本没有保护,扫描将能识别任何端口上开放的服务,无论它们在哪个端口上。
虽然引入多因素身份验证很重要,但除非对所有人员和设备强制执行该策略,否则不会增强安全性。RDP 活动应该在虚拟专用网络 (VPN) 的保护边界内进行,如果攻击者已经在网络中立足,即使这样也无法完全保护组织网络安全。理想情况下,非必要情况下,应限制或禁止在内部和外部使用 RDP 。
误区 五:屏蔽来自高风险地区的 IP 地址可以免受来自这些地区的攻击
阻止来自特定区域的IP感觉能够避免造成任何伤害,这是可能是虚假的安全感。攻击者可以在许多国家/地区托管其恶意基础设施,包括被攻击国家也可能也设置托管其恶意基础设施。
误区 六:备份可以抵御勒索软件
保持文档的最新备份对业务至关重要。但是,如果备份连接到网络,那么也在攻击者的范围内,也容易在勒索软件攻击中被加密、删除或禁用。
限制可以访问备份的人数,可能不会显着提高安全性,因为攻击者会花时间在网络中寻找这些人及其访问凭据。
在云中存储备份也需要小心,美国安全厂商举了一个例子:攻击者通过被黑的IT管理员帐户向云服务提供商发送电子邮件,要求他们删除所有备份,供应商答应了。
勒索软件攻击后恢复数据和系统的安全备份的标准公式是 3:2:1:所有内容保存三个副本,使用两个不同的系统,其中一个处于离线状态。
最后要注意的是:离线备份不会保护信息免受基于勒索软件的攻击,勒索软件攻击新发展是黑客会窃取并威胁要发布数据,而不仅仅是加密数据。
误区 七:员工了解安全
网络钓鱼电子邮件等社会工程策略变得越来越难以发现。钓鱼邮件信息通常是手工制作的、写得准确、有说服力和针对性的。员工需要知道如何发现可疑邮件以及收到邮件后该怎么做。他们应能够知道通知谁以便其他员工保持警惕。
误区 八:应急响应团队可以在勒索软件攻击后恢复数据
勒索加密技术和过程不断改进,大多数现代勒索软件也会删除 Windows Volume Shadow Copies 等自动备份,并覆盖存储在磁盘上的原始数据,使除了支付赎金之外无法恢复,应急团队也无能为力。
误区 九:支付赎金将在勒索软件攻击后取回数据
根据 2021 年勒索软件状况调查,支付赎金的组织平均可以恢复约三分之二 (65%) 的数据,只有 8% 的人恢复了所有数据,29% 的人恢复了不到一半。支付赎金也不是最佳解决方案。
在大多数情况下恢复数据只是恢复过程的一部分,勒索软件会完全禁用计算机,并且需要从头开始重装软件和系统,然后才能恢复数据。2021 年的调查发现,回收成本平均是赎金需求的十倍。
误区 十:勒索软件的发布是一次性攻击
在发布勒索软件、探索、禁用或删除备份、查找具有高价值信息的机器或应用程序以进行加密、删除信息和安装额外的有效载荷(例如后门)之前,攻击者可能已经在网络中停留数天甚至数周,保持在受害者网络中的存在允许攻击者根据需要发起第二次攻击。 本文根据英国安全公司Sophos文章整理,部分有删减
