网络入侵的后果对任何组织来说都是极其有害和苛刻的. 在被攻破后恢复正常工作之前, 澳门赌场官方下载必须确保所有威胁行为者都已被驱逐出网络,并且无法再次进入. 在入侵之前,为成功做好准备的有效方法是了解如何才能顺利驱逐. 主动规划退出需要有效和成熟的密码重置功能, 可靠的密码管理实践和良好的多因素身份验证(MFA)标准.
确保全面的库存
在计划驱逐时,考虑帐户和网络清单是有用的. 从网络安全的角度来看, 人们如何保护他们不知道存在的计算机或帐户? 库存中存在缺口可能会导致安全性控制不佳或缺失,以及日志记录不足, 打补丁, 脆弱性分析, 帐户管理或端点管理, 在其他问题中. 对网络上的所有设备和帐户进行全面而精确的盘点是非常必要的. 库存记录应包含有关帐户如何使用的信息, 谁拥有这个账户(并为此负责), 密码多久修改一次,帐户如何被监控.
考虑服务帐户和密码管理
在进行凭证管理和密码重置时,服务帐户通常是一个痛点. 服务帐户管理几乎是每个信息安全团队的眼中钉. 从历史上看, 服务帐户拥有太多特权, 没有得到很好的监控, 很少或没有安全控制(e.g.(密码管理)和/或未列入库存. 通常,凭据提升的帐户没有得到有效的管理或保护.
消除威胁行为者最重要也是最困难的方面是进行大规模行动, 快速重置密码. 在驱逐过程中, 所有凭据必须经过密码重置,以确保成功驱逐威胁参与者. 在某些情况下, 密码必须多次重置, 如果你的资历很高, 每个帐户密码必须至少重置2次. 如果某些密码无法重置,则不建议启动退出过程,因为如果更改密码,服务帐户使用的进程将中断.
充分利用MFA
另外, 除非使用多因素身份验证(MFA)保护了所有外部帐户,否则不建议开始退出过程。. 试图驱逐仅基于密码访问内部网络的威胁行为者可能会浪费时间和资源. 在所有外部帐户都受到威胁行为者无法访问的附加因素的保护之前,不应启动驱逐程序. 事实上, 建议网络中被视为机密或关键业务的任何内容也具有MFA需求, 即使是值得信任的, 内部认证网络用户.
试图驱逐仅基于密码访问内部网络的威胁行为者可能会浪费时间和资源.
考虑最小特权原则
以及坚实的密码管理和彻底的凭证清单, 所有组织都应遵守最小特权原则,以减少威胁行为者入侵的可能性. 这是澳门赌场官方下载整体网络安全策略的关键基础. 员工应该只被授予完成其工作所需的访问权限和工具. 这听起来很简单,但经常被忽视. 达到适当的访问级别, 建议对操作系统进行加固,并移除不必要的部件, 或者可以选择使用强化的虚拟机(VM)或虚拟桌面接口(VDI)拓扑.
在某些情况下, 最终用户可能不需要访问Internet来履行其职责, 在这种情况下,他们不应该拥有它. 他们可能能够满足本地内部网访问. 这可以显著降低风险. 同样的概念也适用于电子邮件:一些用户可能只需要内部电子邮件访问. 同样,这也有助于降低风险.
监控用户访问级别
对于所有网络资源, 澳门赌场官方下载必须确保所有员工只拥有其角色所需的访问权限. 一些组织要求大学实习生陪同各种澳门赌场官方下载人员记录和定义适当的访问级别. 这对实习生来说是一次宝贵的经历, 极大地帮助IT和安全团队,并且可以降低风险.
幸运的是, 对于没有资源招聘实习生的澳门赌场官方下载, 现在有技术可以帮助解决端点帐户管理中一些令人担忧的问题. 从历史上看, 组织已经尝试采用最终用户对其本地机器没有管理员(admin)访问权限的模型. 如果用户具有管理员权限, 如果他们点击恶意链接或打开恶意附件, 恶意软件和PowerShell脚本可以运行, 改变安全机制和操作系统本身. 通常, 任何恶意软件, 如果最终用户具有管理员权限,则可以安装后门或远程控制应用程序.
每次终端用户需要临时权限来安装某些东西时,强迫他们通过呼叫中心寻求帮助需要花费太多的时间和资源,从而降低了生产效率.
在过去的二十年中,许多组织都试图删除最终用户的管理员访问权限. 这种方法常常失败. 一些终端用户仅仅需要管理员访问权限来完成他们的工作. 每次终端用户需要临时权限来安装某些东西时,强迫他们通过呼叫中心寻求帮助需要花费太多的时间和资源,从而降低了生产效率.
近年来, 用户端点不断构成重大风险,并成为威胁参与者入侵的目标. 只在终端安装杀毒软件的日子已经结束了. 现在需要下一代端点管理系统. 事实上, 高端端点管理系统提供自动隔离功能, which, 实际上, 当某些事件发生时,自动从网络中驱逐威胁参与者. 这些下一代端点安全应用程序还使内部安全或网络团队能够根据异常情况(按需)隔离, 事件日志或最终用户投诉.
Today, 端点权限管理系统可以很容易地配置为解决端点权限和安全性问题. 一些供应商提供的附加工具可以解决大多数(如果不是全部的话)与接管端点的威胁参与者的横向或垂直移动相关的问题. 该技术还可以防止威胁行为者从端点上任意数量的存储位置窃取存储的帐户信息, 同时解决了一些需要临时管理访问的用户的问题,只需点击一个按钮. 端点权限管理系统可以更容易地防止威胁参与者接管和, 如果威胁行为者进入网络, 驱逐他们更容易.
利用AD安全
准备驱逐和防止入侵的最重要方面涉及到Active Directory (AD)安全性. 许多违规行为利用了AD的错误配置. 还有什么地方比AD更适合威胁演员呢? AD通常位于集中的域控制器上,并包含所有权限, 域的密码和访问信息. 如果一个威胁行为者拥有AD,他们就拥有了网络.
从历史上看,AD评估和安全性没有得到足够的重视. 事实上, AD存在许多问题和错误配置,导致威胁参与者在几分钟内将自己提升为域管理员状态. 获得Domain Administrator权限后, 威胁行为者可以创建或更改任何AD对象以实现其目标. 记住,86%的情况下,威胁行为者的动机都是为了经济利益.1 目标可能是部署勒索软件或窃取机密数据. 后来, 威胁参与者可以轻松地配置AD以保持持久性并允许随时重新进入网络.
在许多网络中,广告最初是在几十年前建立的. 就像平常一样, 多年来发生了多次合并和收购,其中添加了其他域名,而没有对安全性进行太多审查. 诸如此类的做法会导致问题和错误配置,这可能对网络安全极为有害. 在驱逐威胁参与者以删除持久性之后,确保AD的安全至关重要.
进行威胁行为者驱逐
After an organization has ensured that it has a thorough inventory of all assets and accounts; enforced strong multifactor authentication, 最小特权原则, and endpoint account management; and assessed and secured AD, 是时候进行驱逐了. 有些组织可以随心所欲地定期重置环境中的每个密码. 这是一件很美妙的事情,而且不需要花费很多钱, 长期的影响,如终端用户被锁定或电子商务网站停止运行.
结论
通过实施所讨论的策略并启用快速密码重置, 组织不仅将其安全状态提升到更高的级别, 但也大大减少了可能阻碍驱逐威胁行为者和防止初次入侵后重新进入的障碍. 这些效果减轻了可怕情况的影响,并允许在威胁参与者入侵后更快地规范网络活动和业务功能.
尾注
1 拜仁,M.; “86%的数据泄露是为了经济利益,” TechRepublic2020年5月18日
帕特里克·巴内特, CISA, CISM, CEH, CISSP, PCI QSA, PCIP
是Secureworks的事件响应首席顾问吗. 他拥有超过30年的网络安全专业经验,专门从事网络工程,专注于安全. 在以前的角色中, 他曾担任首席信息安全官(CISO)和首席信息官(CIO),并曾在一家大型金融澳门赌场官方下载担任副总裁. Barnett热衷于看到网络安全得到正确的处理,并致力于帮助组织制定适当的政策, 响应任何大小的安全事件的过程和机制.