韧性在衔接处失效:微小的配置错误、被遗忘的默认设置和悄无声息的偏差,这些虽未引起关注,但在出现问题时却会扩大破坏范围。
大多数安全漏洞并非始于罕见的零日漏洞。它们往往源于一些平凡的缺口:破坏取证的时间偏差、易遭劫持的过期DNS记录,或是那台无人记得购买过的打印机。
你已见过这种模式。攻击者找到你遗忘存在的乏味漏洞,然后利用它来破坏你真正关心的一切。
系统性韧性要求全面填补身份管理、配置、遥测、云服务和恢复方面那些不引人注目的漏洞。这些并非能在会议演讲中赢得掌声的炫酷漏洞,而是会将事件演变成灾难的隐形杀手。
今天,我们将讨论横跨六个不重叠领域的15个盲点。没有重叠,没有遗漏,只有一个清晰的清单,你可以在攻击者抢先发现之前进行分配、测量和修复。
时间与遥测完整性
如果你无法信任时间和日志,你就无法信任检测、取证或根本原因分析。
服务器时间同步(NTP偏差)
时钟偏差为攻击者提供了完美的掩护。当你的服务器对事件发生的时间存在分歧时,相关性就会消失,取证也就变成了虚构。然而,大多数组织对待NTP就像对待管道一样:设置一次就再也不管了。
立即修复:建立一个安全的NTP层级结构,使用经过认证的源。严格监控时间偏差。在边界阻止未经授权的NTP流量。设置偏差超过100毫秒的警报。你的安全信息与事件管理系统(SIEM)会感谢你,当你的事件响应人员在凌晨3点不追查幽灵信号时,他们也会感谢你。
被忽视的日志记录缺口
你淹没在防火墙日志中,却对真正重要的事情视而不见。没有端点遥测。没有云身份和访问管理(IAM)审计跟踪。没有进程创建监控。攻击者喜欢这种不平衡;他们在你看不到的地方活动。
立即定义你的最低遥测基准。每个端点都需要端点检测与响应(EDR)覆盖。记录每个身份操作。捕获每个云控制平面的变更。集中这些信号,每周验证其完整性,并实际测试你的检测是否有效。大多数组织都没有这样做。
在锁定了可信信号后,控制谁可以操作以及可以操作什么。
身份与边缘
攻击者偏爱治理最少的路径:服务主体、BYOD和无人拥有的设备。
特权服务账户
那个拥有域管理员权限且密码设置于2019年的服务账户怎么样了?攻击者知道它的存在。非人类身份的增长速度比你管理它们的速度还要快,每个身份都携带着静态密钥和过度权限。
明天就开始盘点。将每个服务账户映射到一个所有者。严格执行最小权限原则。每季度轮换密钥,或转向使用托管身份。尽可能启用多因素认证(MFA),是的,即使对于服务账户也是如此。持续监控异常行为。这些账户不会休假,异常活动意味着已被攻破。
移动设备管理(BYOD泛滥)
BYOD泛滥意味着企业数据存储在你不控制的个人手机上。一台被攻破的设备可能导致对电子邮件、文件和聊天的持续访问。你的安全边界现在包括了从亚马逊或百思买购买的设备。
强制实施移动设备管理(MDM)或移动应用管理(MAM),没有例外。根据设备合规性配置条件访问。将工作应用容器化以防止数据混合。启用快速远程擦除功能,并每季度测试其有效性。当有人离职时,他们的个人手机不应保留你的企业机密。
不安全的打印机和物联网设备
扁平网络上的默认凭据是攻击者最喜欢的组合。那台会议室里的智能电视自2018年以来就一直在运行Linux系统。打印机的管理员凭据是admin/admin。两者都与你的域控制器在同一网络上。
立即进行网络分段。更改每个默认凭据。创建一个固件补丁周期,是的,即使对于打印机也是如此。禁用你不使用的服务(剧透:大部分都是不用的)。监控这些设备与关键系统之间的东西向流量。当你的打印机开始与你的数据库服务器通信时,你就有问题了。
身份和边缘得到了控制;现在加固它们运行的基础。
配置与加密
安静的配置债务会增加攻击路径。加密滞后会招致降级和拦截。
固件与BIOS/UEFI更新
固件位于你的操作系统之下,是持久化的完美选择。然而,大多数组织从未对其进行过补丁更新。你的服务器运行着自制造日期以来的BIOS版本,每个版本都携带着已知漏洞。
从下个月开始,将固件纳入你的补丁服务水平协议(SLA)中。启用证明机制以检测篡改行为。在所有地方配置安全启动。订阅供应商的安全警报;固件漏洞在成为武器之前不会成为头条新闻。
过时的加密协议
你仍然在为那个遗留应用运行TLS 1.0.SSL 3.0仍然“以防万一”而启用。弱密码仍然存在,因为没有人想破坏兼容性。攻击者每天都在利用这种犹豫不决。
这个周末就关闭TLS 1.2以下的所有协议。仅强制使用现代密码套件。每月审计证书卫生情况;过期的证书和弱密钥会增加风险。现在就破坏兼容性,否则攻击者稍后会破坏机密性。
非生产环境中的不安全默认配置
“这只是开发环境”变成了“他们是怎么获取到生产数据的?”弱的非生产设置会泄露到生产环境中,或在较低环境中暴露真实数据。
在所有环境中实施黄金镜像。执行策略即代码以防止偏差。将密钥存储在保险库中,而不是配置文件中。确保非生产环境的安全性与生产环境基准相当;攻击者不会区分你的环境。
表面加固后,现在关闭你看不到的外部信任滥用。
DNS与Web信任边界
信任始于名称和链接。清理它们,否则攻击者会。
旧的DNS记录
孤立的子域为即时钓鱼基础设施提供了可能。那个被遗忘的指向已退役服务的CNAME记录怎么样了?攻击者明天就可以声称拥有它,并继承你域名的声誉。
每月盘点你的整个区域。为每个记录标记一个所有者。自动删除90天内未使用的记录。要求DNS变更需要两次批准:DNS中的拼写错误会永远存在。
第三方开放重定向
你的受信任域名通过重定向参数洗白了恶意链接。用户看到你的URL,并自信地点击,结果陷入了困境。
根据允许列表验证每个重定向目标。对重定向令牌进行签名并快速使其过期。监控引用日志以查找滥用模式。你的域名声誉需要数年时间来建立,但几分钟内就可以毁掉。
名称清理后,现在驯服为你的业务提供动力的云和软件即服务(SaaS)泛滥。
云与SaaS泛滥
没有护栏的云速度会滋生看不见的债务:未使用的资产、未知的应用、不安全的合作伙伴关系。
揭示影子SaaS
你以为你没有影子SaaS?再想想。市场营销刚刚注册了一个“免费”的人工智能工具,该工具拥有你的整个客户数据库。销售部门将合同上传到了一个未经审核的平台。数据通过浏览器标签离开了你的治理范围。
部署云访问安全代理(CASB)或SaaS安全管理平台(SSPM)进行发现,你会发现的应用数量比预期的多三倍。创建一个比违规行为更快的引入流程。对数据进行分类,并阻止上传到未经批准的应用。在人们找到自己的解决方案之前提供批准的替代方案。
孤立的云资产
包含客户数据的被遗忘的S3存储桶。具有生产访问权限的测试实例。前员工的个人项目仍在企业账户上运行。云泛滥和孤立资产创建了一个看不见的攻击面。
强制要求在创建时进行标记:无标记,无资源。执行生命周期策略,在30天后删除未标记的资源。每周运行攻击面扫描。自动隔离没有所有者的资产。你的云账单和安全状况都会得到改善。
组织间API信任
具有永久令牌和管理员范围的合作伙伴API。自实施以来未经审查的供应商集成。每个组织间连接都成为攻击者跨越的桥梁。
在集成之前签订安全要求合同。实施相互传输层安全性(mTLS)和具有最小权限的OAuth。为每个客户发放密钥,从不共享凭据。每季度轮换令牌,并监控异常模式。信任你的合作伙伴,但验证他们的安全性。
在表面和提供商得到治理后,保护你的构建链和最后一道防线。
软件供应链与恢复准备
上游被攻破或首先破坏备份;任何一条路径都会造成最大损害。
代码重用与被遗忘的依赖项
你的应用包含了奥巴马总统在任时最后一次更新的库。传递依赖隐藏了你从未听说过的漏洞。每个组件都成为一个攻击向量。
为你构建的所有内容生成软件物料清单(SBOM)。运行软件成分分析(SCA)工具,在发现关键问题时中断构建。固定版本并有意更新。验证来源并要求签名工件。你的供应链只与其最弱的依赖项一样强大。
备份的假定安全性
在线、未加密、未测试的备份是勒索软件的第一个目标。你以为它们能工作,直到你需要它们时才发现它们不能。
立即实施3-2-1备份策略。创建不可变、气隙隔离的副本。每季度测试恢复,不仅要测试“已完成”的日志,还要测试实际的数据恢复。限制恢复权限,使其比备份权限更严格。到处加密所有内容。你的备份是你的最后希望;相应地对待它们。
通过维护赢得韧性
韧性不是通过备忘录赢得的。它是通过维护赢得的。
这15项内容填补了信号、身份、配置、信任、云和恢复方面最常被滥用的衔接处。以下是你的90天行动计划:
• 前30天:盘点和测量。检查NTP偏差,评估日志覆盖范围,映射服务账户,审计DNS卫生情况,发现影子SaaS并测试备份恢复。
• 接下来30天:执行基准。修补固件,加强加密,实现非生产环境与生产环境的对等,到处部署MDM,实施云标记和生命周期策略。
• 最后30天:验证韧性。运行恢复演练,测试检测效果,审查API合同并建立SBOM治理。
今天就指定领域所有者。跟踪合规资产的百分比、固件修补的平均时间、日志覆盖率的比率、备份恢复的成功率以及具有最小权限范围的API的百分比。
将这15项内容纳入你的审计计划和季度关键风险指标(KRI)中。在对手打开它们之前关闭它们。
乏味的漏洞会慢慢置你于死地,然后突然发作,不要让它们得逞。
