許多攻擊機制,都是針對未修補的系統。所以,不管你的網絡是否對外開放,都應該定期更新操作系統和應用程序。雖然這個建議屬于老生常談,但從另一個側面也說明了該建議的重要性。
對于Windows系統來說,利用Windows Server進行更新服務簡單而高效。 利用WSUS部署更新程序時,WSUS易于設置,可以設置為自動或手動方式,而利用第三方軟件來管理更新就有點不靠譜了。
審核默認密碼
目前已確認的數據泄露事件均涉及到密碼口令的丟失、密碼口令安全性過低或默認密碼未更改有關,所以這個建議是非常重要的。當用戶在首次使用設備時,應該先對默認的出廠密碼進行修改,如果沒有設置密碼的要先設置密碼,但往往人們會忽略這些關鍵的保護手段。攻擊者就是利用這些疏忽來進行攻擊的,因為一般的出廠默認密碼都可以在網絡上查到。攻擊者可以利用網絡設備,如交換機和接入點上的默認密碼來重定向流量,執行中間人攻擊,或對網絡基礎設施執行拒絕服務攻擊。更糟糕的是,內部系統所利用的Web控制臺在包含敏感業務數據或系統配置的應用程序中通常使用的都是默認密碼。攻擊者利用網絡釣魚和常見的惡意軟件的攻擊向量就可以繞過安全防護。
加強內部防護,特別是供應鏈攻擊
內部攻擊有兩種,一種是內部人員有意進行的惡意行為,另一種是供應鏈攻擊的被動攻擊行為。
最近兩年,供應鏈攻擊已經成為最大網絡威脅 。供應鏈攻擊形式多樣。可以是對合作伙伴公司的雇員進行網絡釣魚獲取本公司登錄憑證,比如近幾年影響最重大的兩起數據泄露:美國零售商塔吉特百貨和美國人事管理局(OPM)數據泄露事件,就是經由合作公司失竊的登錄憑證。也可以是往合法軟件中植入惡意軟件,比如著名的NotPetya勒索軟件,就是烏克蘭流行會計軟件M.E.Doc被感染而引起的。英國國家網絡安全中心(NCSC) 對供應鏈攻擊的總結如下:
如果做得好的話,供應鏈攻擊是很難被檢測出來的,有時候甚至是完全不可能被發現的。網絡監視能檢測出異常或可疑行為,但依然難以確定安全漏洞是有意引入的(可能是作為后門),還是來自開發人員或制造商的無意疏忽,或者其實是為了證明有潛在的訪問憑證被利用了。
使用LAPS管理本地管理員密碼
在2015年年中,微軟發布了一個解決這個該問題的工具,即本地管理員密碼解決方案(LAPS)。此方案是將本地管理員密碼存儲在LDAP上,作為計算機賬戶的一個機密屬性,配合GPO,實現自動定期修改密碼、設置密碼長度、強度等,更重要是該方案可以將該密碼作為計算機帳戶屬性存儲在Active Directory中。該屬性“ms-Mcs-AdmPwd”可以通過ACL鎖定,以確保只有經過批準的用戶,如控制臺和系統管理員可以查看密碼。 LAPS還包括一個PowerShell模塊和一個后臺客戶端,LAPS UI,以簡化管理和檢索過程。
LAPS實現起來非常快速簡單,只需要要求系統管理員創建一個定義密碼策略和本地帳戶名稱的GPO來管理,可以直接將單個文件AdmPwd.dll添加到Windows上。
注意漏洞披露時保護關鍵細節
攻擊者利用這些信息制定攻擊策略,例如內部IP地址,敏感文件的本地路徑,服務器名稱和文件共享。從這些信息可以推斷出其他的運行環境特征,并可以幫助攻擊者更清楚地了解你的操作環境。一般情況下,很少有用戶會查看錯誤信息的詳細原因。
禁用LLMNR和NetBIOS名稱解析
鏈路本地組播名稱解析(LLMNR)和NetBIOS名稱服務(NBT-NS)都可以導致在啟用時快速對域名進行攻擊。這些協議最常用在初始DNS查找失敗時查找所請求的主機,并且會在默認情況下啟用。在大多數網絡中,由于DNS的存在,所以LLMNR和NetBIOS名稱解析根本就沒有必要再用了。當對無法找到的主機發出請求時,例如嘗試訪問\\ dc-01的用戶打算輸入\\ dc01,LLMNR和NBT-NS就會發送廣播,尋找該主機。這時攻擊者就會通過偵聽LLMNR和NetBIOS廣播,偽裝成用戶(客戶端)要訪問的目標設備,從而讓用戶乖乖交出相應的登陸憑證。在接受連接后,攻擊者可以使用Responder.py或Metasploit等工具將請求轉發到執行身份驗證過程的流氓服務(如SMB TCP:137)。 在身份驗證過程中,用戶會向流氓服務器發送用于身份認證的NTLMv2哈希值,這個哈希值將被保存到磁盤中,之后就可以使用像Hashcat或John Ripper(TJR)這樣的工具在線下破解,或直接用于 pass-the-hash攻擊。
由于這些服務通常不是必需的,因此最簡單的措施是完全禁用它們。大家可以按著計算機配置 – >策略 – >管理模板 – >網絡 – > DNS客戶端 – >關閉組播名稱解析來修改組策略,禁用LLMNR。
而禁用NetBIOS名稱解析并不是一件簡單的事情,因為我們必須在每個網絡適配器中手動禁用“啟用TCP / IP NetBIOS”選項。
查看當前賬戶是否具備管理員權限
攻擊者對賬戶進行控制時,會盡一切辦法來獲得該設備的管理權限,比如用戶有時會為了某種訪問的需要,進行一些臨時訪問,但在訪問完畢后,用戶有時會忘了對這些訪問進行刪除或監控,以至于被黑客利用。根據實際監測,很少有用戶會把這些臨時訪問權限進行刪除。
具有域管理員或企業管理員資格的帳戶應受到高度限制,比如只能用于登錄域控制器,具有這些權限的帳戶不應再在其他系統上進行登錄了。在此,我們建議大家可以基于不同的管理功能來為每個賬戶設置不同的權限的管理賬戶,比如 “工作站管理”和“服務器管理”組,這樣每個管理員就不具有訪問整個域的權限了,這將有助于對整個域的權限保護。
及時查看你的網絡設備是否被攻擊
如果你登陸過https://www.shodan.io這個網站,你一定會被其中所曝光的敏感漏洞和服務而震驚。與谷歌不同的是,Shodan不是在網上搜索網址,而是直接進入互聯網的背后通道。Shodan可以說是一款“黑暗”谷歌,不停的在尋找著所有和互聯網關聯的服務器、攝像頭、打印機、路由器等等。每個月Shodan都會在大約5億個服務器上日夜不停地搜集信息。
如果沒有必要就不要將你的設備接入網絡
如果沒有必要就不要把你的設備連接到互聯網,不過要知道網絡上有哪些型號的設備已經被攻擊了,建議大家嘗試使用端口掃描之王——nmap進行掃描,端口掃描是指某些別有用心的人發送一組端口掃描消息,試圖以此侵入某臺計算機,并了解其提供的計算機網絡服務類型(這些網絡服務均與端口號相關),但是端口掃描不但可以為黑客所利用,同時端口掃描還是網絡安全工作者的必備的利器,通過對端口的掃描,了解網站中出現的漏洞以及端口的開放情況。比如,像“nmap -sV -Pn -top-ports 10000
1.2.3.4/24”這樣的簡單掃描可以讓我們快速了解攻擊者可能看到的內容,利用Shodan和Censys.io這樣的工具就可以做到自動搜索這些內容。
盡量使用專有的設備管理網絡
扁平網絡雖然易于管理和使用,但是對于攻擊者來說也一樣非常方便進行攻擊。所以為了加強對設備的管理和安全預防,目前,主流廠商售出的大部分服務器都使用專用硬件模塊或特殊的遠程管理卡提供管理接口,通過專用的數據通道對設備進行遠程維護和管理,完全獨立于設備操作系統之外,甚至可以在設備關機狀態下進行遠程監控與管理。
進行滲透測試
雖然進行滲透測試的成本會很大,但是對于大型組織機構來說,我還是覺得有必要這樣做。比如一家企業在執行網絡安全檢測時,可能會傾向于或固定使用某一種方法,時間一長就會形成一種定性思維,對某些潛在問題或某一類問題忽略。雇用安全專家來模擬一個攻擊者的行為來對你的組織進行一次攻擊,會讓你產生不同的防御思路,并及時和最新的安全趨勢進行對接。
