| 本文共 3775字,閱讀預(yù)計 7分鐘 |
對于網(wǎng)絡(luò)安全而言����,2021年非同尋常�����,又意義非凡��。數(shù)據(jù)安全、代碼存儲庫��、惡意軟件、零日漏洞�、新型勒索軟件等不同類型威脅輪番上演�����。2021年企業(yè)數(shù)據(jù)泄露平均成本達(dá)到近17年以來最高;用戶憑證泄露成為了數(shù)據(jù)泄露最主要的原因;“世界上最危險的惡意軟件”僵尸網(wǎng)絡(luò)卷土重來......未來很難預(yù)測�,但總結(jié)過去卻相對容易��,而且對現(xiàn)實更有價值���。這次的微步一周薦讀windows無法打開添加打印機(jī) 本地打印后臺處理程序���,我們篩選了2021年最重大的安全事件��,并附上了具體的應(yīng)對建議�,希望對你有幫助����。
攻擊:了解供應(yīng)商的安全狀況2020年12月底,發(fā)布分析報告稱旗下Orion基礎(chǔ)設(shè)施管理平臺的發(fā)布環(huán)境遭到攻擊者入侵�����,并對文件.Orion.Core..dll的源碼進(jìn)行了篡改并添加后門代碼���,由于文件具有合法數(shù)字簽名因此會伴隨軟件更新下發(fā)�����。該攻擊隱藏性極強(qiáng)�,企業(yè)完全無法自行感知。根據(jù)微軟的說法�����,攻擊者能夠“偽造SAML令牌來冒充企業(yè)任何的現(xiàn)有用戶及帳戶��,包括高特權(quán)帳戶���。當(dāng)時已檢測到北美���、歐洲��、亞洲及中東等全球多地的一些政府����、咨詢����、技術(shù)公司被攻擊,波及范圍極大。
經(jīng)驗教訓(xùn)
供應(yīng)鏈攻擊事件并不少見���。而這次事件給我們最大的教訓(xùn)在于:企業(yè)不僅要考慮自身的安全流程,同時還需要仔細(xì)審查安裝軟件的來源及完整性����、確認(rèn)是否可信�,了解供應(yīng)商的安全流程。對于高特權(quán)賬戶,也需要檢測其異常行為���。創(chuàng)建新的聯(lián)合信任或?qū){證添加到可執(zhí)行如mail.read或mail.之類操作的進(jìn)程時�����,均需要進(jìn)行審查��。同時,還需要在網(wǎng)絡(luò)外圍防火墻阻斷已知的C2終端。
零日漏洞攻擊:及時更新并安裝補(bǔ)丁2021年2月��,美國����、加拿大、荷蘭及其他國家和地區(qū)的多個組織早遭到嚴(yán)重的數(shù)據(jù)泄露,原因在于使用的FTA(File )文件傳輸服務(wù)存在漏洞���。其中,美國零售巨頭克羅格是最大的受害者之一,旗下藥房及診所的員工及服務(wù)客戶數(shù)據(jù)被曝光。另外���,能源巨頭殼牌公司���、眾達(dá)律師事務(wù)所���、新加坡電信����、華盛頓州和新西蘭儲備銀行等均在受害者之列。
據(jù)了解���, FTA是美國公司開發(fā)的一個文件傳輸程序,能夠幫助企業(yè)使用一個本地或托管的私有云傳輸大的敏感的文件���。此次攻擊與一個存在漏洞的FAT文件傳輸設(shè)備技術(shù)中的零日漏洞有關(guān),大約300家企業(yè)一直使用該版本在企業(yè)內(nèi)外部傳輸大型文件��。有安全廠商認(rèn)為�,此次攻擊與Cl0p勒索軟件家族和組織有關(guān),使用了技術(shù)中的四個零日漏洞�。
經(jīng)驗教訓(xùn)
攻擊事件再次證明了供應(yīng)鏈攻擊的危險性����,攻擊組織也正是利用了文件傳輸設(shè)備軟件中的零日漏洞�����,針對大量的企業(yè)進(jìn)行攻擊����,極大減少了初始訪問需要耗費(fèi)的精力��。對此��,建議企業(yè)能夠減少攻擊面,通過訪問策略����,嚴(yán)格控制敏感資產(chǎn)訪問來源。同時,在發(fā)現(xiàn)其他企業(yè)遭到攻擊時,需要快速自查企業(yè)自身是否有受到相同攻擊的軟硬件,或咨詢專業(yè)的第三方公司進(jìn)行快速處理。
03美國佛羅里達(dá)州水處理系統(tǒng)攻擊:增強(qiáng)企業(yè)訪問權(quán)限管理
2021年2月���,美國佛羅里達(dá)州奧茲馬市一家水處理設(shè)施的系統(tǒng)被攻擊����,攻擊者試圖改變控制水酸度的 NaOH 堿液濃度����,并在準(zhǔn)備將堿液濃度提高到111倍時被發(fā)現(xiàn)。之所以會在供水中添加少量NaOH堿液��,主要是防止管道腐蝕同時提升PH值����,但人接觸到該堿液會導(dǎo)致嚴(yán)重的皮膚灼傷并傷害眼睛。所幸的是���,攻擊并未真正造成真正的損害,且及時進(jìn)行了逆轉(zhuǎn)��。
據(jù)分析����,攻擊者主要可能使用了被盜的憑證,從而遠(yuǎn)程登錄系統(tǒng)����,獲得了水處理設(shè)施操作員的系統(tǒng)訪問權(quán)限����。這次事件也再次暴露了關(guān)鍵基礎(chǔ)設(shè)施在網(wǎng)絡(luò)攻擊面前的脆弱性�,攻擊者可以輕松闖入飲水設(shè)施的監(jiān)控及數(shù)據(jù)采集系統(tǒng)。事件發(fā)生后����,有媒體還了解到該機(jī)構(gòu)將其遠(yuǎn)程訪問密碼發(fā)布在了公開可用的文檔中。
經(jīng)驗教訓(xùn)
對于此次事件,既要對關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營商在環(huán)境中使用的桌面共享軟件及快過時的軟件(比如 7)及時更新,同時對于企業(yè)重要的內(nèi)部系統(tǒng),有必要通過多因子認(rèn)證(MFA)進(jìn)行訪問權(quán)限保護(hù),盡量限制遠(yuǎn)程訪問對此類非常重要系統(tǒng)的訪問���,或者嚴(yán)格管控遠(yuǎn)程訪問的IP地址、通信類型等要求。
04微軟 攻擊:保護(hù)舊有系統(tǒng)2021年3月��,本地安裝的服務(wù)器遭到零日漏洞攻擊�。微軟官方最初評估該攻擊屬于小范圍針對性攻擊,然而實際卻發(fā)現(xiàn)攻擊范圍比想象中要廣得多��,涉及數(shù)十萬臺未打補(bǔ)丁的服務(wù)器�。更不幸的是,微軟發(fā)現(xiàn)許多的郵件服務(wù)器補(bǔ)丁已經(jīng)嚴(yán)重過時�,很難快速更新�����。于是其不得不為舊平臺準(zhǔn)備補(bǔ)丁,從而確保用戶的安全��。當(dāng)時�,F(xiàn)BI甚至主動去清理并修補(bǔ)那些一直未受保護(hù)的服務(wù)器。
經(jīng)驗教訓(xùn)
歷來都是非常吸引攻擊者的攻擊媒介。對于企業(yè)而言�����,需要保證對所有舊服務(wù)器的實時保護(hù)�����,尤其是本地的服務(wù)器����,這些更可能成為目標(biāo)���。對于這些舊有系統(tǒng)�����,企業(yè)需要分配適當(dāng)?shù)馁Y源進(jìn)行維護(hù)。無論是通過電子郵件進(jìn)入的釣魚郵件攻擊,還是因為服務(wù)器打補(bǔ)丁難度較大產(chǎn)生的安全風(fēng)險考慮��,郵件都會是攻擊者選擇進(jìn)入網(wǎng)絡(luò)非常關(guān)鍵的入口��。
勒索軟件:阻止RPC及SMB通信2021年5月��,針對美國管道運(yùn)營商 的勒索軟件攻擊引發(fā)全世界關(guān)注。該攻擊使得運(yùn)營商首次關(guān)閉了其5500英里的運(yùn)營管道����,導(dǎo)致數(shù)百萬加侖(1加侖≈3.7854升)燃料運(yùn)輸中斷���,并引發(fā)了美國東海岸大部分地區(qū)短時天然氣短缺�����。就在事件發(fā)生后幾天����,美國發(fā)布了行政命令���,要求聯(lián)邦機(jī)構(gòu)實施新的控制措施��,來加強(qiáng)網(wǎng)絡(luò)安全�。此次攻擊后續(xù)被認(rèn)為是總部位于俄羅斯的組織所為����,其利用被盜的舊的VPN憑證,取得了對 網(wǎng)絡(luò)的訪問權(quán)限。不出意外,勒索軟件依舊會是2022年的主要安全風(fēng)險����。目前,針對勒索軟件攻擊��,部分國家�����、網(wǎng)絡(luò)保險企業(yè)都推出了相關(guān)的政策及指導(dǎo)����。
經(jīng)驗教訓(xùn)
建議企業(yè)利用本地及網(wǎng)絡(luò)防火墻來阻斷RPC以及SMB通信����,限制橫向移動一類的攻擊活動。打開防篡改功能����,防止攻擊者停止安全服務(wù)��,并且強(qiáng)制執(zhí)行高強(qiáng)度、隨機(jī)的本地管理員密碼���,建議可以使用LAPS(本地管理員密碼解決方案),確保能夠使用隨機(jī)密碼���。
另外,建議對安全事件日志清除進(jìn)行監(jiān)控��。在發(fā)生此類情況時��,會生成安全事件��,之后則需要確保面向網(wǎng)絡(luò)的資產(chǎn)更到最新。對于可疑活動還需進(jìn)行資產(chǎn)定期審計windows無法打開添加打印機(jī) 本地打印后臺處理程序�,最終確認(rèn)高特權(quán)賬戶的登錄以及公開憑證的位置��,監(jiān)控并調(diào)查登錄事件(事件)的登錄類型屬性,高特權(quán)賬戶不應(yīng)存在于工作站之上���。
06零日漏洞攻擊:確保打印機(jī)更新2021年年中�����,攻擊者利用名為“”的零日漏洞��,可在補(bǔ)丁完善的 Print 設(shè)備上獲得完整的遠(yuǎn)程代碼執(zhí)行能力。對于網(wǎng)絡(luò)管理員來說��,這個漏洞簡直就是打印機(jī)管理的噩夢��。由于打印后臺處理程序軟件屬于NT時代的代碼����,許多人希望微軟能夠完全重寫該代碼��,但這樣做會對第三方打印供應(yīng)商造成重大影響�。
2021年7月,微軟發(fā)布了漏洞的帶外更新�,不過到去年12月仍舊余痛未消���。相關(guān)企業(yè)仍在跟蹤微軟發(fā)布的與打印機(jī)后臺處理程序相關(guān)的多個補(bǔ)丁的影響�。去年12月底發(fā)布的可選更新中包含了對幾個打印相關(guān)問題的修復(fù)��,主要修復(fù)的是打印客戶端連接到打印服務(wù)器上共享的遠(yuǎn)程打印機(jī)時可能遇到的幾個錯誤問題�����。
經(jīng)驗教訓(xùn)
如果可能,建議企業(yè)在更新前安排適當(dāng)資源進(jìn)行測試��?�?衫玫谌劫Y源��,例如或的論壇,監(jiān)控可能產(chǎn)生的負(fù)面影響或是及時調(diào)整����。另外,在不需要打印的服務(wù)器和工作站上���,應(yīng)該禁用打印后臺處理程序服務(wù),并且只在必須啟用打印的設(shè)備和服務(wù)器上運(yùn)行����。
供應(yīng)鏈攻擊:安全防護(hù)左移2021年7月發(fā)生在IT管理軟件供應(yīng)商身上的攻擊事件���,再次凸顯了IT供應(yīng)鏈中的軟件供應(yīng)商安全的重要性����。該事件后續(xù)被歸因為REvil/勒索軟件團(tuán)伙的一個分支所為�����,攻擊者利用了的虛擬系統(tǒng)管理員 (VSA) 技術(shù)中的三個漏洞���,由于許多托管服務(wù)提供商 (MSPs) 都會使用這種技術(shù)來管理其客戶網(wǎng)絡(luò)��,因此導(dǎo)致攻擊者在托管服務(wù)提供商下游客戶的數(shù)千個系統(tǒng)上分發(fā)勒索軟件攻擊。根據(jù) Labs對泄露事件的調(diào)查發(fā)現(xiàn),在進(jìn)行初始利用活動后��,攻擊者用了不到兩小時的時間���,在多個提供商服務(wù)的眾多企業(yè)的系統(tǒng)上安裝了勒索軟件�����。
經(jīng)驗教訓(xùn)
勒索事件同樣代表了2021年來的一個重要攻擊趨勢�����。為擴(kuò)大對下游受害者的利用范圍���,攻擊者不斷攻擊上游技術(shù)資產(chǎn)及提供商�����,包括開源庫���、IDE(集成開發(fā)環(huán)境)���、及事件中出現(xiàn)的MSPs等����。為此�,企業(yè)有必要考慮進(jìn)行安全左移,在開發(fā)周期�、網(wǎng)絡(luò)策略��、最佳實踐等方面進(jìn)行提前介入。針對不斷出現(xiàn)的零日漏洞����,除了快速響應(yīng)���,企業(yè)還需了解自有供應(yīng)商的安全程度����,并且保證軟件盡快更新。
08震驚業(yè)界的Log4j漏洞:軟件及時更新,加強(qiáng)企業(yè)資產(chǎn)管理
2021年年末,Log4j日志框架中一個嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞���,在整個行業(yè)掀起了滔天巨浪,堪稱近十年來都極為罕見的漏洞。該漏洞 ( CVE-2021-44228 ) 存在于 Log4j 2.0-beta9 到 Log4j 2.14.1 版本中���,可以通過多種方式利用�。最開始發(fā)布了一個該工具的最新版本( Log4j 2.15.0) ,因為無法完全阻止DDoS攻擊及數(shù)據(jù)盜竊����,隨后又發(fā)布了另外一個更新���。截止到2021年12月17日�����,暫時沒有公開報道的與該漏洞有關(guān)的重大數(shù)據(jù)泄露。
經(jīng)驗教訓(xùn)
Log4j這款工具在企業(yè)�����、工控系統(tǒng)的OT網(wǎng)絡(luò)�����、SaaS產(chǎn)品���、云服務(wù)提供商環(huán)境中都廣泛使用����,更為關(guān)鍵的是它非常易于利用��,被大量商業(yè)產(chǎn)品��、應(yīng)用及各種開源組件嵌套使用。這次Log4j漏洞���,可以看成一次典型的供應(yīng)鏈攻擊。對于企業(yè)而言��,在利用其它供應(yīng)商產(chǎn)品時���,需要及時更新補(bǔ)丁����,或者采取自動更新的方式�。其次,企業(yè)需針對自身的資產(chǎn)暴露面實時管理,才能在漏洞出現(xiàn)時��,快速進(jìn)行資產(chǎn)清點(diǎn)及響應(yīng)修復(fù)����。最后,如果需要了解詳細(xì)Log4j漏洞處置方法或后續(xù)修復(fù),歡迎聯(lián)系微步在線安全服務(wù)團(tuán)隊���。
2021年,你印象最深刻的安全事件是哪一次���,歡迎留言分享。最后也希望大家都能從過去這一年別人摔倒的地方得到一些啟發(fā)����,避免企業(yè)自身在同樣的地方跌倒�,新的一年更安全���。
參考來源://微步情報局
安全公開課
微步安全學(xué)院第3期 -內(nèi)存馬檢測專題直播將于2022/1/6 19:10開播���,觀看本期直播����,可搶先體驗河馬內(nèi)存馬專殺工具�����!
· END ·
點(diǎn)擊下方名片���,關(guān)注我們覺得內(nèi)容不錯�����,就點(diǎn)下“贊”和“在看”如果不想錯過新的內(nèi)容推送��,可以設(shè)為星標(biāo)
哦
