原创 安全419 2025-07-21 17:30 四川
企业屡屡遭遇相同的安全漏洞,这些漏洞是什么?又该如何解决呢?
攻击者往往能在公司网络中潜伏数周甚至数月而不被发现。IT 取证分析显示,若能实施基本且简单的安全措施,许多攻击本可在数据加密前就被阻断,而正是以下这10 个问题为攻击者实施此类攻击提供了便利。
一、未修补的安全漏洞
问题:
近年来,网络犯罪分子频繁利用应用程序或操作系统中反复出现的安全漏洞发动攻击。许多公司甚至未能及时修补关键漏洞。零日漏洞利用更为危险,由于制造商对这些漏洞通常是不知情的,因此最初连可用补丁都没有。
解决方案:
密切监控以及早发现异常情况是快速遏制更严重恶意活动的好方法。此外,负责人应建立补丁流程并设置良好的资产管理,以提供系统环境和相应补丁状态的概览。不可修补或过时的系统应隔离运行,例如医院因技术原因大量使用许多过时操作系统的医疗设备,这些设备绝不允许与网络其它部分通信,更不能允许陌生用户从Internet 进行访问。
二、入口:弱口令
问题:
弱密码屡屡让网络罪犯轻易获取公司网络访问权限。无论是6个字符的域管理员密码,还是仅有2个字符的本地管理员密码,对犯罪者来说都形同虚设。安全密码要求早已广为人知,但实践中这个问题仍常被忽视。
解决方案:
需要制定严格的密码策略以增加攻击者获取访问权限的难度。对于所有可通过互联网访问的接入点,特别是 VPN 访问,都应额外采用多因素身份验证进行保护。随着用户数量的增加,一人或多人使用弱密码或重复使用密码的可能性也随之上升,高校等用户群体难以管控便是典型例证。
三、账户管理混乱
问题:
攻击者能轻易在网络中提升访问权限,一种常见手法是利用失窃的本地管理员账户,从内存中读取用户登录时缓存的密码哈希值,通常,攻击者无需知晓实际密码,即可直接使用这些哈希值冒充他人身份登录,即专家所称的“传递哈希”攻击。若具备域管理员权限的管理员为图方便登录普通PC,其高权限凭证便会在本地缓存,极易落入攻击者之手,构成重大安全漏洞。
解决方案:
为最大限度降低此类风险,需实施账户分离策略。其核心理念是将系统划分为不同层级,并为每个层级配备专属管理员账户。该方法可有效阻止攻击者入侵较低层级后获取更高级别系统的访问权限,从而无法轻易提权以触及基础设施的关键系统。
四、网络未分段
问题:
许多公司仍在使用大型扁平网络,而忽视了网络分段的安全优势需以“监管”过渡为前提。倘若放任网络犯罪分子在网段间自由穿行,那么安全负责人也不该对其迅速蔓延的攻击感到意外。
解决方案:
精心设计的网络分段能为攻击者设置难以逾越的屏障。公司应严格隔离服务器与客户端网络,仅允许明确必要的连接。OT与IT的分离同样关键,例如生产系统不应接入办公网络。像市政公用事业这样的关键信息基础设施,必须确保无法从外部访问。
此外,也可以快速实施一些短期见效的措施,例如建立管理网络。在此网络中,只授予管理账户访问权限,每个账户都通过带有第二因素的VPN进行保护,这样可以在不干扰普通用户日常工作的前提下提供了高水平的安全性。
五、备份不足
问题:
应对数据丢失风险,仅有备份是远远不够的,备份必须确保可恢复。更严峻的是,网络犯罪分子会专门搜寻并删除或加密备份。
解决方案:
备份必须始终保持与网络和互联网的物理隔离。这意味着不与 Active Directory 连接,并存储在一个单独的、隔离的网段中,以便在勒索软件攻击后仍可使用。攻击者在无法找到或访问备份服务器时,经常会放弃攻击,这意味着他们失去了强制企业满足其要求所需的筹码。同时,他们搜索备份的时间越长,企业就越有时间发现攻击。
因此,完善的备份策略必须包含安全存储所有信息的离线副本,并遵循“3-2-1原则”:创建三份独立副本,其中两份存储于不同介质,如硬盘与LTO磁带,另一份异地存放。
此外,还需定期测试数据备份的功能性和恢复能力。需要警惕的是,若备份密码存储在已被攻击者加密的密码管理器中,事情将会变得非常棘手。
六、IT 人员超负荷工作
问题:
许多公司的IT部门被迫包揽所有任务,从用户支持、安装打印机驱动到网络管理,乃至维护服务器环境和保障IT安全变成是其他任务之外的附加工作。
解决方案:
经验表明,中型企业应将约5%的员工配置于IT岗位。同时,企业必须配备专职的IT安全人员,否则IT安全将在日常运营中被忽视,从而引发严重后果。
七、糟糕的 IT 服务提供商
问题:
许多公司为弥补技术人才短缺,选择将IT全部或部分外包。然而,在选择服务提供商时,其技能和专业知识的好坏至关重要,往往细节决定成败。
解决方案:
优秀的IT服务提供商能以其专业知识弥补企业自身IT部门的不足。然而,在选择IT安全服务提供商时,有几点需要考虑。比如服务提供商的响应时间,在紧急情况下,时间是关键因素。假如您购买了提供全年7×24小时监控的托管扩展检测与响应(MXDR)服务,则公司内部也必须指定全天候联络人。否则,若服务商深夜10点报告安全事件却无人响应,那么一切皆成空谈。
此外,应定期对整体IT基础设施进行渗透测试等安全检查,并通过联合应急演练实践响应流程、检验安全能力及报告链条的有效性。
八、缺乏安全监控
问题:
大多数安全事件本可更早发现并阻止,但安全告警常被忽略,或淹没于无关信息的洪流中,或因专业知识的缺失而被误解。
解决方案:
为避免此类情况,企业需配备专职IT安全人员。若无法或不愿自建团队,则可考虑安全托管服务,与此同时,还必须建立流畅的报告响应链条,唯有确保高效的响应流程,托管安全方案方能充分发挥效力。
九、技术债——过时系统成为入侵通道
问题:
技术债务往往是人员短缺的直接后果,公共管理部门便是典型例证,其IT基础设施明显过时的情况屡见不鲜。同时,优先级设置失当同样会导致技术债务累积。
解决方案:
安全负责人不应仅仅将新系统或安全产品视为解决方案,还应定期解决技术债务。当时间和资源稀缺时,这通常是首先被忽视的事情,但这无异于向网络犯罪分子敞开大门。
十、恐慌的应急响应
问题:
在发现严重的网络攻击后,许多公司常常陷入恐慌。员工和管理层手忙脚乱,但所做的有效工作却很少,重要的决策和工作被延误,反而加大了损失,这种现象被戏称为“无头苍蝇模式”。
解决方案:
经验丰富的事件响应团队能提供冷静、结构化的处理方式,唯有如此,各方才能齐心协力解决问题、恢复系统运行。
应急计划至关重要。应急计划应该提前以离线形式存在并且保持可用,而不是存放在无法访问的加密服务器上。应急计划还应明确规定紧急情况下的责任人和操作流程:谁做决策?谁通知员工、客户或利益相关者?谁与调查机构沟通?否则,公司将在责任归属的讨论中浪费宝贵时间。
另外,系统优先级排序同样关键,换句话说,需要确定哪些系统需要优先检查和恢复,哪些系统是基础设施重新运行所必需的?哪些系统对业务至关重要。
此外,储备一个优质响应服务商也至关重要。若临时寻找,不仅耗时,也未必能匹配最佳人选。理想情况是提前与专家建立联系甚至签订事件响应协议以确保获得即时处理。
结语
任何企业都不该心存侥幸,网络犯罪分子随时将突破防线。但若能落实前述十项措施,便可在早期阶段检测攻击企图并启动应对措施。最理想情况是,这些措施非常有效,以至于攻击团伙会早早放弃攻击,或者攻击被及时检测到。
END
✦
推荐阅读
✦
粉丝福利群开放啦
加安全419好友进群
红包/书籍/礼品等不定期派送
