到目前为止,你几乎肯定听说过 严重和持续的攻击 是针对内部部署的Microsoft Exchange Server实现进行的. 如果你不熟悉,我们这里指的是四个零日漏洞(cve - 2021 - 26855, cve - 2021 - 26857, cve - 2021 - 26858, cve - 2021 - 27065)早在一月份就发现了影响Exchange Server和 随后的攻击和远程入侵的扩散 目标是利用这些问题的交易所. 这一事件的影响是巨大的,有可能 数以万计 受害组织的数目.
从业者(无论是否直接受到影响)会问:“下一步怎么办?“这个问题实际上有几个方面. 首先,有一个直接的术语:评估你是否受到了影响. 其次,短期内组织可能会怀疑受到了攻击,需要做出回应. 从中期和长期来看, 还有“下一步怎么办”,因为它涉及到如何将经验教训纳入我们的安全规划中.
考虑到这一点, 让我们来看看这些方面,并考虑近期和长期的下一步行动.
短期来看:重要的事情先做
对于大多数组织来说, 最关键的近期行动将是双重的:确定你是否受到了影响,并进行补救. 幸运的是,这很简单. 如果您在Office 365上下文中运行Exchange服务器,则会受到影响. 这意味着您需要打补丁. 在理想的情况下, 你已经做过了, 鉴于攻击者活动的数量和相对容易发生的妥协. 这些问题继续被多个威胁行为者积极利用, 所以修补这个是第一要务. 如果你不能打补丁,不管什么原因,理解 还有其他的选择吗 和 立即 把权宜之计放在适当的地方.
修补(或权宜之计)显然是立即采取的第一步, 但是它并没有就此结束—特别是如果在您能够部署补丁之前过了一段时间. 因为大量的攻击者活动和妥协发生的速度, 你需要确定你是否已经受到了威胁. 为了帮助解决这个问题,微软发布了一个 检测工具 以帮助您找到与针对这些漏洞的攻击者(和攻击技术)相关的折衷(ioc)指标.
这个工具是一个很好的资源,但它不应该是你唯一的资源. 你要检查一下 发表国际石油公司 在你的环境中寻找它们, 还将详细了解Exchange环境, 例如通过审查系统活动. 如果您在Exchange环境中使用了任何安全工具(文件完整性监视), 等.),您将需要检查系统日志和网络流量以查找未经授权的活动.
如果你发现自己已经受到了伤害,那么恢复之路就开始漫长了. 具体的补救路径因环境而异, 但在许多情况下,这将涉及到对Exchange环境的全面重建,以及对攻击者在入侵后采取的任何行动(例如创建账户)的系统检查和跟踪, 数据泄露和横向移动到其他系统.
长期的行为
一旦眼前的大火被扑灭, 你会尽可能地把这些事件当作“学习时刻”. 这里有一些有用的东西需要考虑. 第一个, 有一个问题是,是否以及何时将关键和无处不在的服务(如邮件)放在云中. 这可能会让你重新评估之前的工作方向.
选择云计算还是自我管理一直是一个风险决策, 但是,像这样的事件可以成为基于风险的检查的支点,以确定哪种选择对您和您的风险动态最合理. 请注意,我这么说完全是 不 认为“云更好”.事实上, 我的观点是对任何使用特定事件(比如这些漏洞)的人持怀疑态度, 最近的 OVH数据中心火灾(或任何其他事件)来争论云计算与云计算的相对优点. 自我管理. 虽然这是真的, 在这个特殊的案例中, 相对于自我管理的方法,云服务具有更好的安全性, 下一次,情况可能正好相反. 而不是, 是现实的, 保持客观, 并且要以风险为基础, 根据您当前的舒适度和使用云解决方案的经验,特别是微软(或其他适用的服务提供商).
由这个, 我的意思是诚实地告诉你你能做好什么,你的安全运营团队能提供什么水平的服务. 云提供商在共享责任模型下提供了什么. 如果您有能力和工具来进行健壮的(和全天候的)安全监视, 冗余/可用性, 快速贴片递送, 以及云部署中包含的所有其他操作元素, 从风险控制的角度来看,“传统”部署可能对您来说仍然是最有意义的. 然而, 如果您觉得无法提供相同级别的监控和操作覆盖, 云实现可能具有优势. 你已经有一段时间没有重新评估这里的风险了, 以免我们忘记, 当云服务刚开始获得关注时,许多从业者对云服务有一些担忧.
第二件要考虑的事情是你与民族国家行为体的总体接触程度. 这一事件明确强调的一点是任何组织都可能成为攻击目标, 如果条件允许的话, 民族国家的攻击者绝对可以把你的组织放在他们的准星上. 如果在您的业务领域中,您认为只有低水平的对手才会来敲门, 这些事件可能会改变你的计算. 结果是, 您可以选择增强监视功能, 增加额外防御, 或者任何可能的替代策略.
一如既往,作为最后的学习机会, 保持警惕,并准备在必要时迅速作出反应. 对有关威胁和威胁行为者的情报保持警惕始终是一个好建议.
