在我們面對(duì)網(wǎng)絡(luò)安全時(shí)，遇到的單位多了，自然會(huì)發(fā)現(xiàn)很多人的安全意識(shí)存在高下之分，這些認(rèn)知的偏執(zhí)最終形成一個(gè)個(gè)安全認(rèn)知的誤區(qū)。然而，這些安全認(rèn)知誤區(qū)，是世界性的通病。美國有，英國有，中國也有。這次我們借鑒英國安全企業(yè)總結(jié)，修改如下。希望我們的企事業(yè)單位的網(wǎng)絡(luò)安全負(fù)責(zé)者、運(yùn)行者能夠查漏補(bǔ)缺，加強(qiáng)自身網(wǎng)絡(luò)安全防護(hù)。

[[442692]]

誤區(qū) 一：我們不是目標(biāo);我們太小和/或沒有有價(jià)值的資產(chǎn)

許多網(wǎng)絡(luò)攻擊受害者認(rèn)為他們規(guī)模太小了，黑客對(duì)他們的領(lǐng)域沒有興趣或缺乏可以吸引黑客的豐厚的資產(chǎn)。

事實(shí)上規(guī)模大小并不重要：如果擁有數(shù)據(jù)處理能力和數(shù)據(jù)存在，那么你的組織就是目標(biāo)。大多數(shù)攻擊不是先進(jìn)的民族國家攻擊者實(shí)施的，而是由機(jī)會(huì)主義者發(fā)起的，他們尋找容易下手的獵物，就是那些存在黑客很容易利用的安全漏洞或配置錯(cuò)誤的組織。

如果從安全意識(shí)上認(rèn)為自己的組織不是黑客攻擊目標(biāo)，更不能可能主動(dòng)尋找網(wǎng)絡(luò)上的可疑活動(dòng)，那么自然會(huì)錯(cuò)過發(fā)現(xiàn)早期攻擊跡象的絕佳機(jī)會(huì)。例如 域控制器上是否存在 Mimikatz (一種允許用戶查看和保存身份驗(yàn)證憑據(jù)的開源應(yīng)用程序)。

誤區(qū) 二：我們不需要先進(jìn)的安全技術(shù)

一些IT團(tuán)隊(duì)仍然認(rèn)為，端點(diǎn)安全軟件無法阻止各種威脅，他們不需要為服務(wù)器的安全，采取終端防護(hù)措施。黑客則樂意充分利用這些假設(shè)。 把服務(wù)器配置、修補(bǔ)或保護(hù)方面的任何錯(cuò)誤作為主要目標(biāo)。

試圖繞過或禁用端點(diǎn)軟件并避免被 IT 安全團(tuán)隊(duì)檢測(cè)的攻擊技術(shù)與日俱增。包括利用社會(huì)工程學(xué)和多個(gè)脆弱點(diǎn)的攻擊;大量壓縮和混淆的惡意代碼直接注入內(nèi)存;“無文件”惡意軟件攻擊，例如反射 DLL(動(dòng)態(tài)鏈接庫)加載;使用合法的遠(yuǎn)程訪問代理(如 Cobalt Strike)以及利用日常 IT 管理工具和技術(shù)進(jìn)行攻擊?；镜姆啦《炯夹g(shù)將難以檢測(cè)和阻止此類活動(dòng)。

同樣單一的認(rèn)為端點(diǎn)防護(hù)可以防止入侵者攻擊未受保護(hù)的服務(wù)器的假設(shè)也是錯(cuò)誤的。服務(wù)器現(xiàn)在是第一攻擊目標(biāo)，攻擊者可以使用被盜的訪問憑據(jù)輕松找到。大多數(shù)攻擊者也知道如何繞過 Linux 機(jī)器。事實(shí)上，攻擊者經(jīng)常侵入 Linux 機(jī)器并在其中安裝后門，將其用作避風(fēng)港并保持對(duì)目標(biāo)網(wǎng)絡(luò)的持續(xù)訪問。

如果組織僅依賴基本安全，沒有更先進(jìn)的集成工具，例如基于行為和 AI 的檢測(cè)以及 24/7 以人為主導(dǎo)的安全運(yùn)營中心，那么入侵者遲早會(huì)找到繞過防御的方法。

謹(jǐn)記：雖然預(yù)防是理想的，但檢測(cè)是必須的。

誤區(qū) 三：我們安全政策很健全

為應(yīng)用程序和用戶制定安全策略至關(guān)重要。隨著新特性和功能添加連接到網(wǎng)絡(luò)的設(shè)備不斷增多，設(shè)備需要不斷檢查和更新。使用滲透測(cè)試、桌面演練和災(zāi)難恢復(fù)計(jì)劃試運(yùn)行等技術(shù)驗(yàn)證和測(cè)試策略。

誤區(qū) 四：RDP協(xié)議服務(wù)器修改端口引入多因素身份驗(yàn)證 (MFA) 可免受攻擊

RDP服務(wù)使用的標(biāo)準(zhǔn)端口是3389，所以大多數(shù)攻擊者會(huì)掃描這個(gè)端口來尋找開放的遠(yuǎn)程訪問服務(wù)器。更改端口本身提供很少或根本沒有保護(hù)，掃描將能識(shí)別任何端口上開放的服務(wù)，無論它們?cè)谀膫€(gè)端口上。

雖然引入多因素身份驗(yàn)證很重要，但除非對(duì)所有人員和設(shè)備強(qiáng)制執(zhí)行該策略，否則不會(huì)增強(qiáng)安全性。RDP 活動(dòng)應(yīng)該在虛擬專用網(wǎng)絡(luò) (VPN) 的保護(hù)邊界內(nèi)進(jìn)行，如果攻擊者已經(jīng)在網(wǎng)絡(luò)中立足，即使這樣也無法完全保護(hù)組織網(wǎng)絡(luò)安全。理想情況下，非必要情況下，應(yīng)限制或禁止在內(nèi)部和外部使用 RDP 。

誤區(qū) 五：屏蔽來自高風(fēng)險(xiǎn)地區(qū)的 IP 地址可以免受來自這些地區(qū)的攻擊

阻止來自特定區(qū)域的IP感覺能夠避免造成任何傷害，這是可能是虛假的安全感。攻擊者可以在許多國家/地區(qū)托管其惡意基礎(chǔ)設(shè)施，包括被攻擊國家也可能也設(shè)置托管其惡意基礎(chǔ)設(shè)施。

誤區(qū) 六：備份可以抵御勒索軟件

保持文檔的最新備份對(duì)業(yè)務(wù)至關(guān)重要。但是，如果備份連接到網(wǎng)絡(luò)，那么也在攻擊者的范圍內(nèi)，也容易在勒索軟件攻擊中被加密、刪除或禁用。

限制可以訪問備份的人數(shù)，可能不會(huì)顯著提高安全性，因?yàn)楣粽邥?huì)花時(shí)間在網(wǎng)絡(luò)中尋找這些人及其訪問憑據(jù)。

在云中存儲(chǔ)備份也需要小心，美國安全廠商舉了一個(gè)例子：攻擊者通過被黑的IT管理員帳戶向云服務(wù)提供商發(fā)送電子郵件，要求他們刪除所有備份，供應(yīng)商答應(yīng)了。

勒索軟件攻擊后恢復(fù)數(shù)據(jù)和系統(tǒng)的安全備份的標(biāo)準(zhǔn)公式是 3:2:1：所有內(nèi)容保存三個(gè)副本，使用兩個(gè)不同的系統(tǒng)，其中一個(gè)處于離線狀態(tài)。

最后要注意的是：離線備份不會(huì)保護(hù)信息免受基于勒索軟件的攻擊，勒索軟件攻擊新發(fā)展是黑客會(huì)竊取并威脅要發(fā)布數(shù)據(jù)，而不僅僅是加密數(shù)據(jù)。

誤區(qū) 七：員工了解安全

網(wǎng)絡(luò)釣魚電子郵件等社會(huì)工程策略變得越來越難以發(fā)現(xiàn)。釣魚郵件信息通常是手工制作的、寫得準(zhǔn)確、有說服力和針對(duì)性的。員工需要知道如何發(fā)現(xiàn)可疑郵件以及收到郵件后該怎么做。他們應(yīng)能夠知道通知誰以便其他員工保持警惕。

誤區(qū) 八：應(yīng)急響應(yīng)團(tuán)隊(duì)可以在勒索軟件攻擊后恢復(fù)數(shù)據(jù)

勒索加密技術(shù)和過程不斷改進(jìn)，大多數(shù)現(xiàn)代勒索軟件也會(huì)刪除 Windows Volume Shadow Copies 等自動(dòng)備份，并覆蓋存儲(chǔ)在磁盤上的原始數(shù)據(jù)，使除了支付贖金之外無法恢復(fù)，應(yīng)急團(tuán)隊(duì)也無能為力。

誤區(qū) 九：支付贖金將在勒索軟件攻擊后取回?cái)?shù)據(jù)

根據(jù) 2021 年勒索軟件狀況調(diào)查，支付贖金的組織平均可以恢復(fù)約三分之二 (65%) 的數(shù)據(jù)，只有 8% 的人恢復(fù)了所有數(shù)據(jù)，29% 的人恢復(fù)了不到一半。支付贖金也不是最佳解決方案。

在大多數(shù)情況下恢復(fù)數(shù)據(jù)只是恢復(fù)過程的一部分，勒索軟件會(huì)完全禁用計(jì)算機(jī)，并且需要從頭開始重裝軟件和系統(tǒng)，然后才能恢復(fù)數(shù)據(jù)。2021 年的調(diào)查發(fā)現(xiàn)，回收成本平均是贖金需求的十倍。

誤區(qū) 十：勒索軟件的發(fā)布是一次性攻擊

在發(fā)布勒索軟件、探索、禁用或刪除備份、查找具有高價(jià)值信息的機(jī)器或應(yīng)用程序以進(jìn)行加密、刪除信息和安裝額外的有效載荷(例如后門)之前，攻擊者可能已經(jīng)在網(wǎng)絡(luò)中停留數(shù)天甚至數(shù)周，保持在受害者網(wǎng)絡(luò)中的存在允許攻擊者根據(jù)需要發(fā)起第二次攻擊。 本文根據(jù)英國安全公司Sophos文章整理，部分有刪減