黑天鵝事件指的是一些發(fā)生頻率低但是影響程度大，并且無法進(jìn)行預(yù)測的事件。無論你是否認(rèn)為它們是網(wǎng)絡(luò)黑天鵝事件，SolarWinds 和 Log4Shell 攻擊事件都強(qiáng)調(diào)了組織可以用來預(yù)防危機(jī)的一些方式。

以下是關(guān)于預(yù)防此類事件的三個常見的誤解。

誤解一：對于零日攻擊，我們無能為力

最常見的誤解之一就是：由于零日漏洞和供應(yīng)鏈攻擊過于隱秘并且無法預(yù)測，所以保護(hù)環(huán)境免受這兩類攻擊的危害是不可能的。在積極的方面，該誤解可以促使人們在增強(qiáng)檢測和響應(yīng)能力方面投入更多的努力。而在消極方面，它會使人們在處理此類事件時產(chǎn)生一種無助感。

與這些普遍的看法相反，此類事件并非“未知的未知數(shù)”。組織可以通過戰(zhàn)略性地部署和改進(jìn)他們的防御并經(jīng)常性地使用現(xiàn)有的團(tuán)隊(duì)和安全棧，在一定程度上抵御此類攻擊。一些簡單但具有代表性的例子就是：防止服務(wù)器的互聯(lián)網(wǎng)流量流出。盡管這聽上去像是一種基本的安全實(shí)踐，但事實(shí)上，即使是相對成熟的組織也沒有將其完全實(shí)現(xiàn)的。  

阻止服務(wù)器接觸到互聯(lián)網(wǎng)，可以抵御那些基于服務(wù)端的，通過連接攻擊者命令從而控制基礎(chǔ)設(shè)施的攻擊（或是大大減緩攻擊者的速度）。此類攻擊通常是通過反彈shell、以及SolarWinds這樣的第三方供應(yīng)鏈中的惡意代碼、或者類似Log4Shell的漏洞來實(shí)現(xiàn)。

這讓我們意識到：即使是最基礎(chǔ)的安全控制也可以阻止SolarWinds供應(yīng)鏈攻擊（近年來最復(fù)雜的攻擊之一）并緩解 Log4Shell漏洞（最近發(fā)現(xiàn)的最普遍且破壞最大的漏洞之一）

調(diào)查和學(xué)習(xí)最近發(fā)生的入侵和漏洞利用事件中常用的策略、技術(shù)和過程，可以為組織提供給有價值的見解，幫助組織了解關(guān)于如何改進(jìn)防御和設(shè)置防御的優(yōu)先級，以減少未來漏洞被利用的可能性。

誤解2：  一旦攻擊者滲透到環(huán)境中，他們就會將環(huán)境完全摧毀

另一個誤解是這些新型的漏洞一定可以讓攻擊者進(jìn)行更進(jìn)一步的破壞，而不僅僅是滲透到外圍。實(shí)施有針對性的安全優(yōu)化，可以使環(huán)境對橫向移動和特權(quán)升級技術(shù)更具彈性，從而抵御攻擊者，使其無法利用最初的立足點(diǎn)來訪問核心資產(chǎn)。該方法也使組織有更多的時間來在攻擊的早期對其進(jìn)行檢測和消除。

(1) 橫向移動

微分割是一項(xiàng)艱巨的任務(wù)。許多組織在實(shí)施此類項(xiàng)目時會顯得拖沓，這是因?yàn)樗麄冃枰獙λ械膬?nèi)部流量進(jìn)行映射、創(chuàng)建端口和主機(jī)的細(xì)粒度允許列表、購買昂貴的解決方案，并在部署和維護(hù)此類環(huán)境中投資關(guān)鍵資源。然而微分割許多優(yōu)點(diǎn)的實(shí)現(xiàn)可以不用那么繁瑣。 

通過在服務(wù)器和工作站上使用基于主機(jī)的防火墻策略來限制交互式（如RDP, SSH）和非交互式（如SMB, WinRM, RPC）管理協(xié)議上的進(jìn)入流量，然后將管理流量限制到特定的專用網(wǎng)段或者jumpbox上，就可以幫助實(shí)現(xiàn)微分割提供的核心價值。

雖然有時出于操作或應(yīng)用目的，需要通過非交互式管理協(xié)議向服務(wù)器傳輸流量。但在許多情況下，不同工作站之間或DMZ區(qū)的服務(wù)器之間并不需要這種流量。首先采用重點(diǎn)拒絕列表方法可以立即降低風(fēng)險，直到在網(wǎng)絡(luò)中橫向移動變得非常困難。

(2) 特權(quán)升級

憑證安全和防止特權(quán)升級是降低網(wǎng)絡(luò)中實(shí)際攻擊風(fēng)險的主要挑戰(zhàn)之一。然而，與上面采取的方法類似，側(cè)重于從現(xiàn)實(shí)世界對已知和常見TTP的利用中得出高價值的措施可以為防衛(wèi)者提供重要價值。

為了實(shí)現(xiàn)這一點(diǎn)，需要不斷地搜索公開的明文憑證，為服務(wù)賬戶設(shè)置長且復(fù)雜的密碼，避免在日?；顒又惺褂糜蚬芾碣~戶，并充分利用內(nèi)置的微軟安全功能，例如Protected Users、LAPS、 LSA Protection以及 Credential Guard.

憑證安全問題是Sygnia在近幾年遭受的每一次攻擊中的主要促成因素。2022年，所有的安全圖譜都應(yīng)該將特權(quán)身份安全放在最首要的位置。

誤解3: 打補(bǔ)丁是解決新漏洞的唯一方法

通常情況下，每當(dāng)發(fā)現(xiàn)一個新漏洞，大部分顧問的首要（有時是唯一的）建議就是打補(bǔ)丁。好像打補(bǔ)丁是組織控制風(fēng)險的唯一辦法一樣。打補(bǔ)丁是重要的，但是大型企業(yè)需要花費(fèi)時間來充分了解其暴露的缺陷，從而在生產(chǎn)環(huán)境中應(yīng)用補(bǔ)丁。偶爾，由于重視或者系統(tǒng)和程序的輔助，打完補(bǔ)丁的隨后幾天，安全行業(yè)便會發(fā)現(xiàn)的新的漏洞。打補(bǔ)丁并非可以彌補(bǔ)所有的缺陷。響應(yīng)此類事件時，了解攻擊的執(zhí)行方式及其依賴的條件是不可或缺的。這可能是緩解脆弱性的唯一變通方法，有時也會是組織的救命稻草。

充分利用并優(yōu)化安全棧：

與常見的看法不同，組織是可以預(yù)防或緩解諸如 Log4Shell等新漏洞或SolarWinds等高度復(fù)雜的攻擊所帶來的的影響的。這需要組織通過充分利用并優(yōu)化他們現(xiàn)有的安全棧、實(shí)施精準(zhǔn)強(qiáng)化措施并使用那些無需額外花銷即可輕松開啟的內(nèi)置安全功能來實(shí)現(xiàn)。

點(diǎn)評

“黑天鵝”事件是無法避免的，但我們卻可以通過事前的防御以及事后的響應(yīng)來將其帶來的影響降至最低。面對無法預(yù)測的零日漏洞以及供應(yīng)鏈攻擊，我們并非手足無措。而看似萬能的補(bǔ)丁修復(fù)也絕非唯一的良策。只要解開對此類事件的種種誤解，即使是最基礎(chǔ)的實(shí)踐也能在應(yīng)對“黑天鵝”事件方面發(fā)揮出超乎預(yù)期的作用。