韌性在銜接處失效：微小的配置錯誤、被遺忘的默認設置和悄無聲息的偏差，這些雖未引起關注，但在出現問題時卻會擴大破壞范圍。

　　大多數安全漏洞并非始于罕見的零日漏洞。它們往往源于一些平凡的缺口：破壞取證的時間偏差、易遭劫持的過期DNS記錄，或是那臺無人記得購買過的打印機。

　　你已見過這種模式。攻擊者找到你遺忘存在的乏味漏洞，然后利用它來破壞你真正關心的一切。

　　系統性韌性要求全面填補身份管理、配置、遙測、云服務和恢復方面那些不引人注目的漏洞。這些并非能在會議演講中贏得掌聲的炫酷漏洞，而是會將事件演變成災難的隱形殺手。

　　今天，我們將討論橫跨六個不重疊領域的15個盲點。沒有重疊，沒有遺漏，只有一個清晰的清單，你可以在攻擊者搶先發現之前進行分配、測量和修復。

　　時間與遙測完整性

　　如果你無法信任時間和日志，你就無法信任檢測、取證或根本原因分析。

　　服務器時間同步(NTP偏差)

　　時鐘偏差為攻擊者提供了完美的掩護。當你的服務器對事件發生的時間存在分歧時，相關性就會消失，取證也就變成了虛構。然而，大多數組織對待NTP就像對待管道一樣：設置一次就再也不管了。

　　立即修復：建立一個安全的NTP層級結構，使用經過認證的源。嚴格監控時間偏差。在邊界阻止未經授權的NTP流量。設置偏差超過100毫秒的警報。你的安全信息與事件管理系統(SIEM)會感謝你，當你的事件響應人員在凌晨3點不追查幽靈信號時，他們也會感謝你。

　　被忽視的日志記錄缺口

　　你淹沒在防火墻日志中，卻對真正重要的事情視而不見。沒有端點遙測。沒有云身份和訪問管理(IAM)審計跟蹤。沒有進程創建監控。攻擊者喜歡這種不平衡;他們在你看不到的地方活動。

　　立即定義你的最低遙測基準。每個端點都需要端點檢測與響應(EDR)覆蓋。記錄每個身份操作。捕獲每個云控制平面的變更。集中這些信號，每周驗證其完整性，并實際測試你的檢測是否有效。大多數組織都沒有這樣做。

　　在鎖定了可信信號后，控制誰可以操作以及可以操作什么。

　　身份與邊緣

　　攻擊者偏愛治理最少的路徑：服務主體、BYOD和無人擁有的設備。

　　特權服務賬戶

　　那個擁有域管理員權限且密碼設置于2019年的服務賬戶怎么樣了?攻擊者知道它的存在。非人類身份的增長速度比你管理它們的速度還要快，每個身份都攜帶著靜態密鑰和過度權限。

　　明天就開始盤點。將每個服務賬戶映射到一個所有者。嚴格執行最小權限原則。每季度輪換密鑰，或轉向使用托管身份。盡可能啟用多因素認證(MFA)，是的，即使對于服務賬戶也是如此。持續監控異常行為。這些賬戶不會休假，異常活動意味著已被攻破。

　　移動設備管理(BYOD泛濫)

　　BYOD泛濫意味著企業數據存儲在你不控制的個人手機上。一臺被攻破的設備可能導致對電子郵件、文件和聊天的持續訪問。你的安全邊界現在包括了從亞馬遜或百思買購買的設備。

　　強制實施移動設備管理(MDM)或移動應用管理(MAM)，沒有例外。根據設備合規性配置條件訪問。將工作應用容器化以防止數據混合。啟用快速遠程擦除功能，并每季度測試其有效性。當有人離職時，他們的個人手機不應保留你的企業機密。

　　不安全的打印機和物聯網設備

　　扁平網絡上的默認憑據是攻擊者最喜歡的組合。那臺會議室里的智能電視自2018年以來就一直在運行Linux系統。打印機的管理員憑據是admin/admin。兩者都與你的域控制器在同一網絡上。

　　立即進行網絡分段。更改每個默認憑據。創建一個固件補丁周期，是的，即使對于打印機也是如此。禁用你不使用的服務(劇透：大部分都是不用的)。監控這些設備與關鍵系統之間的東西向流量。當你的打印機開始與你的數據庫服務器通信時，你就有問題了。

　　身份和邊緣得到了控制;現在加固它們運行的基礎。

　　配置與加密

　　安靜的配置債務會增加攻擊路徑。加密滯后會招致降級和攔截。

　　固件與BIOS/UEFI更新

　　固件位于你的操作系統之下，是持久化的完美選擇。然而，大多數組織從未對其進行過補丁更新。你的服務器運行著自制造日期以來的BIOS版本，每個版本都攜帶著已知漏洞。

　　從下個月開始，將固件納入你的補丁服務水平協議(SLA)中。啟用證明機制以檢測篡改行為。在所有地方配置安全啟動。訂閱供應商的安全警報;固件漏洞在成為武器之前不會成為頭條新聞。

　　過時的加密協議

　　你仍然在為那個遺留應用運行TLS 1.0.SSL 3.0仍然“以防萬一”而啟用。弱密碼仍然存在，因為沒有人想破壞兼容性。攻擊者每天都在利用這種猶豫不決。

　　這個周末就關閉TLS 1.2以下的所有協議。僅強制使用現代密碼套件。每月審計證書衛生情況;過期的證書和弱密鑰會增加風險。現在就破壞兼容性，否則攻擊者稍后會破壞機密性。

　　非生產環境中的不安全默認配置

　　“這只是開發環境”變成了“他們是怎么獲取到生產數據的?”弱的非生產設置會泄露到生產環境中，或在較低環境中暴露真實數據。

　　在所有環境中實施黃金鏡像。執行策略即代碼以防止偏差。將密鑰存儲在保險庫中，而不是配置文件中。確保非生產環境的安全性與生產環境基準相當;攻擊者不會區分你的環境。

　　表面加固后，現在關閉你看不到的外部信任濫用。

　　DNS與Web信任邊界

　　信任始于名稱和鏈接。清理它們，否則攻擊者會。

　　舊的DNS記錄

　　孤立的子域為即時釣魚基礎設施提供了可能。那個被遺忘的指向已退役服務的CNAME記錄怎么樣了?攻擊者明天就可以聲稱擁有它，并繼承你域名的聲譽。

　　每月盤點你的整個區域。為每個記錄標記一個所有者。自動刪除90天內未使用的記錄。要求DNS變更需要兩次批準：DNS中的拼寫錯誤會永遠存在。

　　第三方開放重定向

　　你的受信任域名通過重定向參數洗白了惡意鏈接。用戶看到你的URL，并自信地點擊，結果陷入了困境。

　　根據允許列表驗證每個重定向目標。對重定向令牌進行簽名并快速使其過期。監控引用日志以查找濫用模式。你的域名聲譽需要數年時間來建立，但幾分鐘內就可以毀掉。

　　名稱清理后，現在馴服為你的業務提供動力的云和軟件即服務(SaaS)泛濫。

　　云與SaaS泛濫

　　沒有護欄的云速度會滋生看不見的債務：未使用的資產、未知的應用、不安全的合作伙伴關系。

　　揭示影子SaaS

　　你以為你沒有影子SaaS?再想想。市場營銷剛剛注冊了一個“免費”的人工智能工具，該工具擁有你的整個客戶數據庫。銷售部門將合同上傳到了一個未經審核的平臺。數據通過瀏覽器標簽離開了你的治理范圍。

　　部署云訪問安全代理(CASB)或SaaS安全管理平臺(SSPM)進行發現，你會發現的應用數量比預期的多三倍。創建一個比違規行為更快的引入流程。對數據進行分類，并阻止上傳到未經批準的應用。在人們找到自己的解決方案之前提供批準的替代方案。

　　孤立的云資產

　　包含客戶數據的被遺忘的S3存儲桶。具有生產訪問權限的測試實例。前員工的個人項目仍在企業賬戶上運行。云泛濫和孤立資產創建了一個看不見的攻擊面。

　　強制要求在創建時進行標記：無標記，無資源。執行生命周期策略，在30天后刪除未標記的資源。每周運行攻擊面掃描。自動隔離沒有所有者的資產。你的云賬單和安全狀況都會得到改善。

　　組織間API信任

　　具有永久令牌和管理員范圍的合作伙伴API。自實施以來未經審查的供應商集成。每個組織間連接都成為攻擊者跨越的橋梁。

　　在集成之前簽訂安全要求合同。實施相互傳輸層安全性(mTLS)和具有最小權限的OAuth。為每個客戶發放密鑰，從不共享憑據。每季度輪換令牌，并監控異常模式。信任你的合作伙伴，但驗證他們的安全性。

　　在表面和提供商得到治理后，保護你的構建鏈和最后一道防線。

　　軟件供應鏈與恢復準備

　　上游被攻破或首先破壞備份;任何一條路徑都會造成最大損害。

　　代碼重用與被遺忘的依賴項

　　你的應用包含了奧巴馬總統在任時最后一次更新的庫。傳遞依賴隱藏了你從未聽說過的漏洞。每個組件都成為一個攻擊向量。

　　為你構建的所有內容生成軟件物料清單(SBOM)。運行軟件成分分析(SCA)工具，在發現關鍵問題時中斷構建。固定版本并有意更新。驗證來源并要求簽名工件。你的供應鏈只與其最弱的依賴項一樣強大。

　　備份的假定安全性

　　在線、未加密、未測試的備份是勒索軟件的第一個目標。你以為它們能工作，直到你需要它們時才發現它們不能。

　　立即實施3-2-1備份策略。創建不可變、氣隙隔離的副本。每季度測試恢復，不僅要測試“已完成”的日志，還要測試實際的數據恢復。限制恢復權限，使其比備份權限更嚴格。到處加密所有內容。你的備份是你的最后希望;相應地對待它們。

　　通過維護贏得韌性

　　韌性不是通過備忘錄贏得的。它是通過維護贏得的。

　　這15項內容填補了信號、身份、配置、信任、云和恢復方面最常被濫用的銜接處。以下是你的90天行動計劃：

　　• 前30天：盤點和測量。檢查NTP偏差，評估日志覆蓋范圍，映射服務賬戶，審計DNS衛生情況，發現影子SaaS并測試備份恢復。

　　• 接下來30天：執行基準。修補固件，加強加密，實現非生產環境與生產環境的對等，到處部署MDM，實施云標記和生命周期策略。

　　• 最后30天：驗證韌性。運行恢復演練，測試檢測效果，審查API合同并建立SBOM治理。

　　今天就指定領域所有者。跟蹤合規資產的百分比、固件修補的平均時間、日志覆蓋率的比率、備份恢復的成功率以及具有最小權限范圍的API的百分比。

　　將這15項內容納入你的審計計劃和季度關鍵風險指標(KRI)中。在對手打開它們之前關閉它們。

　　乏味的漏洞會慢慢置你于死地，然后突然發作，不要讓它們得逞。