许多攻击机制,都是针对未修补的系统。所以,不管你的网络是否对外开放,都应该定期更新操作系统和应用程序。虽然这个建议属于老生常谈,但从另一个侧面也说明了该建议的重要性。
对于Windows系统来说,利用Windows Server进行更新服务简单而高效。 利用WSUS部署更新程序时,WSUS易于设置,可以设置为自动或手动方式,而利用第三方软件来管理更新就有点不靠谱了。
审核默认密码
目前已确认的数据泄露事件均涉及到密码口令的丢失、密码口令安全性过低或默认密码未更改有关,所以这个建议是非常重要的。当用户在首次使用设备时,应该先对默认的出厂密码进行修改,如果没有设置密码的要先设置密码,但往往人们会忽略这些关键的保护手段。攻击者就是利用这些疏忽来进行攻击的,因为一般的出厂默认密码都可以在网络上查到。攻击者可以利用网络设备,如交换机和接入点上的默认密码来重定向流量,执行中间人攻击,或对网络基础设施执行拒绝服务攻击。更糟糕的是,内部系统所利用的Web控制台在包含敏感业务数据或系统配置的应用程序中通常使用的都是默认密码。攻击者利用网络钓鱼和常见的恶意软件的攻击向量就可以绕过安全防护。
加强内部防护,特别是供应链攻击
内部攻击有两种,一种是内部人员有意进行的恶意行为,另一种是供应链攻击的被动攻击行为。
最近两年,供应链攻击已经成为最大网络威胁 。供应链攻击形式多样。可以是对合作伙伴公司的雇员进行网络钓鱼获取本公司登录凭证,比如近几年影响最重大的两起数据泄露:美国零售商塔吉特百货和美国人事管理局(OPM)数据泄露事件,就是经由合作公司失窃的登录凭证。也可以是往合法软件中植入恶意软件,比如著名的NotPetya勒索软件,就是乌克兰流行会计软件M.E.Doc被感染而引起的。英国国家网络安全中心(NCSC) 对供应链攻击的总结如下:
如果做得好的话,供应链攻击是很难被检测出来的,有时候甚至是完全不可能被发现的。网络监视能检测出异常或可疑行为,但依然难以确定安全漏洞是有意引入的(可能是作为后门),还是来自开发人员或制造商的无意疏忽,或者其实是为了证明有潜在的访问凭证被利用了。
使用LAPS管理本地管理员密码
在2015年年中,微软发布了一个解决这个该问题的工具,即本地管理员密码解决方案(LAPS)。此方案是将本地管理员密码存储在LDAP上,作为计算机账户的一个机密属性,配合GPO,实现自动定期修改密码、设置密码长度、强度等,更重要是该方案可以将该密码作为计算机帐户属性存储在Active Directory中。该属性“ms-Mcs-AdmPwd”可以通过ACL锁定,以确保只有经过批准的用户,如控制台和系统管理员可以查看密码。 LAPS还包括一个PowerShell模块和一个后台客户端,LAPS UI,以简化管理和检索过程。
LAPS实现起来非常快速简单,只需要要求系统管理员创建一个定义密码策略和本地帐户名称的GPO来管理,可以直接将单个文件AdmPwd.dll添加到Windows上。
注意漏洞披露时保护关键细节
攻击者利用这些信息制定攻击策略,例如内部IP地址,敏感文件的本地路径,服务器名称和文件共享。从这些信息可以推断出其他的运行环境特征,并可以帮助攻击者更清楚地了解你的操作环境。一般情况下,很少有用户会查看错误信息的详细原因。
禁用LLMNR和NetBIOS名称解析
链路本地组播名称解析(LLMNR)和NetBIOS名称服务(NBT-NS)都可以导致在启用时快速对域名进行攻击。这些协议最常用在初始DNS查找失败时查找所请求的主机,并且会在默认情况下启用。在大多数网络中,由于DNS的存在,所以LLMNR和NetBIOS名称解析根本就没有必要再用了。当对无法找到的主机发出请求时,例如尝试访问\\ dc-01的用户打算输入\\ dc01,LLMNR和NBT-NS就会发送广播,寻找该主机。这时攻击者就会通过侦听LLMNR和NetBIOS广播,伪装成用户(客户端)要访问的目标设备,从而让用户乖乖交出相应的登陆凭证。在接受连接后,攻击者可以使用Responder.py或Metasploit等工具将请求转发到执行身份验证过程的流氓服务(如SMB TCP:137)。 在身份验证过程中,用户会向流氓服务器发送用于身份认证的NTLMv2哈希值,这个哈希值将被保存到磁盘中,之后就可以使用像Hashcat或John Ripper(TJR)这样的工具在线下破解,或直接用于 pass-the-hash攻击。
由于这些服务通常不是必需的,因此最简单的措施是完全禁用它们。大家可以按着计算机配置 – >策略 – >管理模板 – >网络 – > DNS客户端 – >关闭组播名称解析来修改组策略,禁用LLMNR。
而禁用NetBIOS名称解析并不是一件简单的事情,因为我们必须在每个网络适配器中手动禁用“启用TCP / IP NetBIOS”选项。
查看当前账户是否具备管理员权限
攻击者对账户进行控制时,会尽一切办法来获得该设备的管理权限,比如用户有时会为了某种访问的需要,进行一些临时访问,但在访问完毕后,用户有时会忘了对这些访问进行删除或监控,以至于被黑客利用。根据实际监测,很少有用户会把这些临时访问权限进行删除。
具有域管理员或企业管理员资格的帐户应受到高度限制,比如只能用于登录域控制器,具有这些权限的帐户不应再在其他系统上进行登录了。在此,我们建议大家可以基于不同的管理功能来为每个账户设置不同的权限的管理账户,比如 “工作站管理”和“服务器管理”组,这样每个管理员就不具有访问整个域的权限了,这将有助于对整个域的权限保护。
及时查看你的网络设备是否被攻击
如果你登陆过https://www.shodan.io这个网站,你一定会被其中所曝光的敏感漏洞和服务而震惊。与谷歌不同的是,Shodan不是在网上搜索网址,而是直接进入互联网的背后通道。Shodan可以说是一款“黑暗”谷歌,不停的在寻找着所有和互联网关联的服务器、摄像头、打印机、路由器等等。每个月Shodan都会在大约5亿个服务器上日夜不停地搜集信息。
如果没有必要就不要将你的设备接入网络
如果没有必要就不要把你的设备连接到互联网,不过要知道网络上有哪些型号的设备已经被攻击了,建议大家尝试使用端口扫描之王——nmap进行扫描,端口扫描是指某些别有用心的人发送一组端口扫描消息,试图以此侵入某台计算机,并了解其提供的计算机网络服务类型(这些网络服务均与端口号相关),但是端口扫描不但可以为黑客所利用,同时端口扫描还是网络安全工作者的必备的利器,通过对端口的扫描,了解网站中出现的漏洞以及端口的开放情况。比如,像“nmap -sV -Pn -top-ports 10000
1.2.3.4/24”这样的简单扫描可以让我们快速了解攻击者可能看到的内容,利用Shodan和Censys.io这样的工具就可以做到自动搜索这些内容。
尽量使用专有的设备管理网络
扁平网络虽然易于管理和使用,但是对于攻击者来说也一样非常方便进行攻击。所以为了加强对设备的管理和安全预防,目前,主流厂商售出的大部分服务器都使用专用硬件模块或特殊的远程管理卡提供管理接口,通过专用的数据通道对设备进行远程维护和管理,完全独立于设备操作系统之外,甚至可以在设备关机状态下进行远程监控与管理。
进行渗透测试
虽然进行渗透测试的成本会很大,但是对于大型组织机构来说,我还是觉得有必要这样做。比如一家企业在执行网络安全检测时,可能会倾向于或固定使用某一种方法,时间一长就会形成一种定性思维,对某些潜在问题或某一类问题忽略。雇用安全专家来模拟一个攻击者的行为来对你的组织进行一次攻击,会让你产生不同的防御思路,并及时和最新的安全趋势进行对接。
