許多攻擊機(jī)制，都是針對(duì)未修補(bǔ)的系統(tǒng)。所以，不管你的網(wǎng)絡(luò)是否對(duì)外開放，都應(yīng)該定期更新操作系統(tǒng)和應(yīng)用程序。雖然這個(gè)建議屬于老生常談，但從另一個(gè)側(cè)面也說明了該建議的重要性。

　　

　　對(duì)于Windows系統(tǒng)來說，利用Windows Server進(jìn)行更新服務(wù)簡單而高效。 利用WSUS部署更新程序時(shí)，WSUS易于設(shè)置，可以設(shè)置為自動(dòng)或手動(dòng)方式，而利用第三方軟件來管理更新就有點(diǎn)不靠譜了。

　　

　　目前已確認(rèn)的數(shù)據(jù)泄露事件均涉及到密碼口令的丟失、密碼口令安全性過低或默認(rèn)密碼未更改有關(guān)，所以這個(gè)建議是非常重要的。當(dāng)用戶在首次使用設(shè)備時(shí)，應(yīng)該先對(duì)默認(rèn)的出廠密碼進(jìn)行修改，如果沒有設(shè)置密碼的要先設(shè)置密碼，但往往人們會(huì)忽略這些關(guān)鍵的保護(hù)手段。攻擊者就是利用這些疏忽來進(jìn)行攻擊的，因?yàn)橐话愕某鰪S默認(rèn)密碼都可以在網(wǎng)絡(luò)上查到。攻擊者可以利用網(wǎng)絡(luò)設(shè)備，如交換機(jī)和接入點(diǎn)上的默認(rèn)密碼來重定向流量，執(zhí)行中間人攻擊，或?qū)W(wǎng)絡(luò)基礎(chǔ)設(shè)施執(zhí)行拒絕服務(wù)攻擊。更糟糕的是，內(nèi)部系統(tǒng)所利用的Web控制臺(tái)在包含敏感業(yè)務(wù)數(shù)據(jù)或系統(tǒng)配置的應(yīng)用程序中通常使用的都是默認(rèn)密碼。攻擊者利用網(wǎng)絡(luò)釣魚和常見的惡意軟件的攻擊向量就可以繞過安全防護(hù)。

　　

　　

　　內(nèi)部攻擊有兩種，一種是內(nèi)部人員有意進(jìn)行的惡意行為，另一種是供應(yīng)鏈攻擊的被動(dòng)攻擊行為。

　　

　　最近兩年，供應(yīng)鏈攻擊已經(jīng)成為最大網(wǎng)絡(luò)威脅 。供應(yīng)鏈攻擊形式多樣。可以是對(duì)合作伙伴公司的雇員進(jìn)行網(wǎng)絡(luò)釣魚獲取本公司登錄憑證，比如近幾年影響最重大的兩起數(shù)據(jù)泄露：美國零售商塔吉特百貨和美國人事管理局(OPM)數(shù)據(jù)泄露事件，就是經(jīng)由合作公司失竊的登錄憑證。也可以是往合法軟件中植入惡意軟件，比如著名的NotPetya勒索軟件，就是烏克蘭流行會(huì)計(jì)軟件M.E.Doc被感染而引起的。英國國家網(wǎng)絡(luò)安全中心(NCSC) 對(duì)供應(yīng)鏈攻擊的總結(jié)如下：

　　

　　如果做得好的話，供應(yīng)鏈攻擊是很難被檢測(cè)出來的，有時(shí)候甚至是完全不可能被發(fā)現(xiàn)的。網(wǎng)絡(luò)監(jiān)視能檢測(cè)出異常或可疑行為，但依然難以確定安全漏洞是有意引入的(可能是作為后門)，還是來自開發(fā)人員或制造商的無意疏忽，或者其實(shí)是為了證明有潛在的訪問憑證被利用了。

　　

　　

　　在2015年年中，微軟發(fā)布了一個(gè)解決這個(gè)該問題的工具，即本地管理員密碼解決方案(LAPS)。此方案是將本地管理員密碼存儲(chǔ)在LDAP上，作為計(jì)算機(jī)賬戶的一個(gè)機(jī)密屬性，配合GPO，實(shí)現(xiàn)自動(dòng)定期修改密碼、設(shè)置密碼長度、強(qiáng)度等，更重要是該方案可以將該密碼作為計(jì)算機(jī)帳戶屬性存儲(chǔ)在Active Directory中。該屬性“ms-Mcs-AdmPwd”可以通過ACL鎖定，以確保只有經(jīng)過批準(zhǔn)的用戶，如控制臺(tái)和系統(tǒng)管理員可以查看密碼。 LAPS還包括一個(gè)PowerShell模塊和一個(gè)后臺(tái)客戶端，LAPS UI，以簡化管理和檢索過程。

　　

　　LAPS實(shí)現(xiàn)起來非常快速簡單，只需要要求系統(tǒng)管理員創(chuàng)建一個(gè)定義密碼策略和本地帳戶名稱的GPO來管理，可以直接將單個(gè)文件AdmPwd.dll添加到Windows上。

　　

　　

　　攻擊者利用這些信息制定攻擊策略，例如內(nèi)部IP地址，敏感文件的本地路徑，服務(wù)器名稱和文件共享。從這些信息可以推斷出其他的運(yùn)行環(huán)境特征，并可以幫助攻擊者更清楚地了解你的操作環(huán)境。一般情況下，很少有用戶會(huì)查看錯(cuò)誤信息的詳細(xì)原因。

　　

　　

　　鏈路本地組播名稱解析(LLMNR)和NetBIOS名稱服務(wù)(NBT-NS)都可以導(dǎo)致在啟用時(shí)快速對(duì)域名進(jìn)行攻擊。這些協(xié)議最常用在初始DNS查找失敗時(shí)查找所請(qǐng)求的主機(jī)，并且會(huì)在默認(rèn)情況下啟用。在大多數(shù)網(wǎng)絡(luò)中，由于DNS的存在，所以LLMNR和NetBIOS名稱解析根本就沒有必要再用了。當(dāng)對(duì)無法找到的主機(jī)發(fā)出請(qǐng)求時(shí)，例如嘗試訪問\\ dc-01的用戶打算輸入\\ dc01，LLMNR和NBT-NS就會(huì)發(fā)送廣播，尋找該主機(jī)。這時(shí)攻擊者就會(huì)通過偵聽LLMNR和NetBIOS廣播，偽裝成用戶(客戶端)要訪問的目標(biāo)設(shè)備，從而讓用戶乖乖交出相應(yīng)的登陸憑證。在接受連接后，攻擊者可以使用Responder.py或Metasploit等工具將請(qǐng)求轉(zhuǎn)發(fā)到執(zhí)行身份驗(yàn)證過程的流氓服務(wù)(如SMB TCP：137)。 在身份驗(yàn)證過程中，用戶會(huì)向流氓服務(wù)器發(fā)送用于身份認(rèn)證的NTLMv2哈希值，這個(gè)哈希值將被保存到磁盤中，之后就可以使用像Hashcat或John Ripper(TJR)這樣的工具在線下破解，或直接用于 pass-the-hash攻擊。

　　

　　由于這些服務(wù)通常不是必需的，因此最簡單的措施是完全禁用它們。大家可以按著計(jì)算機(jī)配置 – >策略 – >管理模板 – >網(wǎng)絡(luò) – > DNS客戶端 – >關(guān)閉組播名稱解析來修改組策略，禁用LLMNR。

　　

　　而禁用NetBIOS名稱解析并不是一件簡單的事情，因?yàn)槲覀儽仨氃诿總€(gè)網(wǎng)絡(luò)適配器中手動(dòng)禁用“啟用TCP / IP NetBIOS”選項(xiàng)。

　　

　　

　　攻擊者對(duì)賬戶進(jìn)行控制時(shí)，會(huì)盡一切辦法來獲得該設(shè)備的管理權(quán)限，比如用戶有時(shí)會(huì)為了某種訪問的需要，進(jìn)行一些臨時(shí)訪問，但在訪問完畢后，用戶有時(shí)會(huì)忘了對(duì)這些訪問進(jìn)行刪除或監(jiān)控，以至于被黑客利用。根據(jù)實(shí)際監(jiān)測(cè)，很少有用戶會(huì)把這些臨時(shí)訪問權(quán)限進(jìn)行刪除。

　　

　　具有域管理員或企業(yè)管理員資格的帳戶應(yīng)受到高度限制，比如只能用于登錄域控制器，具有這些權(quán)限的帳戶不應(yīng)再在其他系統(tǒng)上進(jìn)行登錄了。在此，我們建議大家可以基于不同的管理功能來為每個(gè)賬戶設(shè)置不同的權(quán)限的管理賬戶，比如 “工作站管理”和“服務(wù)器管理”組，這樣每個(gè)管理員就不具有訪問整個(gè)域的權(quán)限了，這將有助于對(duì)整個(gè)域的權(quán)限保護(hù)。

　　

　　

　　如果你登陸過https://www.shodan.io這個(gè)網(wǎng)站，你一定會(huì)被其中所曝光的敏感漏洞和服務(wù)而震驚。與谷歌不同的是，Shodan不是在網(wǎng)上搜索網(wǎng)址，而是直接進(jìn)入互聯(lián)網(wǎng)的背后通道。Shodan可以說是一款“黑暗”谷歌，不停的在尋找著所有和互聯(lián)網(wǎng)關(guān)聯(lián)的服務(wù)器、攝像頭、打印機(jī)、路由器等等。每個(gè)月Shodan都會(huì)在大約5億個(gè)服務(wù)器上日夜不停地搜集信息。

　　

　　

　　如果沒有必要就不要把你的設(shè)備連接到互聯(lián)網(wǎng)，不過要知道網(wǎng)絡(luò)上有哪些型號(hào)的設(shè)備已經(jīng)被攻擊了，建議大家嘗試使用端口掃描之王——nmap進(jìn)行掃描，端口掃描是指某些別有用心的人發(fā)送一組端口掃描消息，試圖以此侵入某臺(tái)計(jì)算機(jī)，并了解其提供的計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)類型(這些網(wǎng)絡(luò)服務(wù)均與端口號(hào)相關(guān))，但是端口掃描不但可以為黑客所利用，同時(shí)端口掃描還是網(wǎng)絡(luò)安全工作者的必備的利器，通過對(duì)端口的掃描，了解網(wǎng)站中出現(xiàn)的漏洞以及端口的開放情況。比如，像“nmap -sV -Pn -top-ports 10000

　　

　　1.2.3.4/24”這樣的簡單掃描可以讓我們快速了解攻擊者可能看到的內(nèi)容，利用Shodan和Censys.io這樣的工具就可以做到自動(dòng)搜索這些內(nèi)容。

　　

　　

　　扁平網(wǎng)絡(luò)雖然易于管理和使用，但是對(duì)于攻擊者來說也一樣非常方便進(jìn)行攻擊。所以為了加強(qiáng)對(duì)設(shè)備的管理和安全預(yù)防，目前，主流廠商售出的大部分服務(wù)器都使用專用硬件模塊或特殊的遠(yuǎn)程管理卡提供管理接口，通過專用的數(shù)據(jù)通道對(duì)設(shè)備進(jìn)行遠(yuǎn)程維護(hù)和管理，完全獨(dú)立于設(shè)備操作系統(tǒng)之外，甚至可以在設(shè)備關(guān)機(jī)狀態(tài)下進(jìn)行遠(yuǎn)程監(jiān)控與管理。

　　

　　

　　雖然進(jìn)行滲透測(cè)試的成本會(huì)很大，但是對(duì)于大型組織機(jī)構(gòu)來說，我還是覺得有必要這樣做。比如一家企業(yè)在執(zhí)行網(wǎng)絡(luò)安全檢測(cè)時(shí)，可能會(huì)傾向于或固定使用某一種方法，時(shí)間一長就會(huì)形成一種定性思維，對(duì)某些潛在問題或某一類問題忽略。雇用安全專家來模擬一個(gè)攻擊者的行為來對(duì)你的組織進(jìn)行一次攻擊，會(huì)讓你產(chǎn)生不同的防御思路，并及時(shí)和最新的安全趨勢(shì)進(jìn)行對(duì)接。