2022年伊始，你是不是又被各種預測刷屏了?不過，我更傾向于回顧過去一年發(fā)生的安全問題，以便從中吸取所有必要的經(jīng)驗教訓。

SolarWinds攻擊：了解供應商的安全狀況很有必要

雖然SolarWinds軟件供應鏈攻擊事件已經(jīng)過去一年，但我們仍在努力充分了解此類攻擊的潛在破壞性。在此事件中，攻擊者是十分隱秘的，最終被發(fā)現(xiàn)也只是因為受影響的公司之一 FireEye具有監(jiān)控和檢測入侵的超凡能力。

你也許想過：面對這種情況，我的公司是否有工具和資源來了解此類攻擊是否正在發(fā)生?對此，我的猜測是，你不僅不會意識到存在入侵行為，甚至你們中的許多人并不具備這么做的能力和資源。根據(jù)微軟的說法，攻擊者能夠“偽造SAML令牌來模擬組織的任何現(xiàn)有用戶和帳戶，包括高特權帳戶。

這件事情為我們敲響了警鐘：讓我們重新考慮所裝軟件的來源，以及重新審視對供應商及其安全流程的信任度，更不用說我們自己的安全流程了!

經(jīng)驗教訓：與您的軟件供應商一起審查他們的安全流程。尋找異常行為，尤其是在高特權帳戶中。查看將憑據(jù)添加到可以執(zhí)行諸如mail.read或mail.readwrite之類的操作的進程。此外，您還需要阻止網(wǎng)絡外圍防火墻中的已知C2端點。

Exchange Server攻擊：保護遺留系統(tǒng)

2021年3月，又發(fā)生了一次極具破壞性的攻擊——攻擊者使用零日漏洞直接攻擊本地安裝的Exchange服務器。微軟最初表示這些攻擊是有針對性的，但后來發(fā)現(xiàn)這些攻擊更為廣泛。微軟還發(fā)現(xiàn)許多郵件服務器嚴重過時，很難讓它們實現(xiàn)快速更新。微軟必須為這些遺留平臺準備補丁，才能確?？蛻舭踩?/p>

2021年4月，美國司法部還針對此事宣布了一項法院授權的行動，該行動將授權FBI從美國數(shù)百臺用于提供企業(yè)級電子郵件服務的Microsoft Exchange服務器中，先收集大量被攻陷的服務器，再將這些服務器上的WebShell進行拷貝，然后再刪除服務器上的惡意WebShell。

經(jīng)驗教訓：確保任何遺留服務器都受到保護。特別是本地Exchange服務器，它們更易成為目標。確保分配適當?shù)馁Y源來修補這些遺留系統(tǒng)。電子郵件是網(wǎng)絡的關鍵“入口點”，一方面是攻擊者可以通過電子郵件實施網(wǎng)絡釣魚攻擊，另一方面是攻擊者了解修補這些遺留服務器的難度。

此外，不要完全依賴供應商提供的威脅和風險評估。微軟最初表示，這些攻擊是有限的和有針對性的，但實際上它們的范圍要廣得多，甚至會影響到小公司。

PrintNightmare：保持打印機更新

2021年7月，Microsoft針對名為PrintNightmare的漏洞發(fā)布了帶外更新。根據(jù)微軟安全公告稱，“當 Windows Print Spooler 服務不正確地執(zhí)行提權文件操作時會觸發(fā)遠程代碼執(zhí)行漏洞。成功利用該漏洞的攻擊者可以系統(tǒng)權限運行任意代碼，安裝程序;查看、更改或刪除數(shù)據(jù);或以完整的用戶權限創(chuàng)建新賬戶?！?/p>

對于網(wǎng)絡管理員來說，這個PrintNightmare已經(jīng)變成了打印管理的噩夢。Print Spooler軟件是老舊的NT時代代碼，許多人曾敦促微軟完全重寫，但這會對第三方打印供應商造成重大破壞。雖說疫情大流行已經(jīng)將我們從面對面打印過渡到遠程打印流程，但即便是PDF打印機也需要依賴Print Spooler來部署和打印為PDF。

時至今日，安全研究人員仍在追蹤當時發(fā)布的多個Print Spooler相關補丁的后續(xù)影響。去年12月底發(fā)布的可選更新中包含對幾個打印相關問題的修復。它修復了當連接到Windows打印服務器上共享的遠程打印機時，Windows打印客戶端可能會遇到的一些錯誤問題：

0x000006e4 (RPC_S_CANNOT_SUPPORT)

0x0000007c (ERROR_INVALID_LEVEL)

0x00000709 (ERROR_INVALID_PRINTER_NAME)

不過，考慮到這些更新的破壞性副作用，一些網(wǎng)絡管理員選擇不打補丁。

經(jīng)驗教訓：即使在大流行中，我們仍然需要打印服務。每當更新包含針對print spooler服務的修復程序時，您必須在更新之前分配適當?shù)馁Y源進行測試。您可以使用PatchManagement.org或reddit上的Sysadmin論壇等第三方資源，來監(jiān)控您可能需要實施的解決方案，而不是選擇讓您的公司完全不受保護。print spooler服務只需在必須啟用打印的設備和服務器上運行，其他應該禁用。

勒索軟件：阻止RPC和SMB通信

進入2022年，勒索軟件仍將是主要網(wǎng)絡安全風險。它現(xiàn)在已被納入網(wǎng)絡保險政策，美國政府也已組織專家組為企業(yè)提供更多保護、信息和指導以應對這種風險。

經(jīng)驗教訓：使用本地和網(wǎng)絡防火墻來阻止RPC和SMB通信，這將限制橫向移動以及其他攻擊活動。接下來，開啟防篡改功能，防止攻擊者停止安全服務。然后強制執(zhí)行強大、隨機的本地管理員密碼。此外，還建議您使用本地管理員密碼解決方案(LAPS)來確保您擁有隨機密碼。

監(jiān)控事件日志的清除。 具體來說，Windows會在發(fā)生這種情況時生成安全事件ID 1102。 然后，您需要確保面向Internet的資產(chǎn)擁有最新的安全更新。定期審計這些資產(chǎn)是否存在可疑活動。最后，確定高特權帳戶的登錄情況以及處于暴露狀態(tài)的憑據(jù)。工作站上不應存在高特權帳戶。

本文翻譯自：https://www.csoonline.com/article/3644051/lessons-learned-from-2021-network-security-events.html如若轉載，請注明原文地址。