企业最易遭遇的网络安全十大IT安全漏洞

对于勒索加密和一个包含勒索信的文本文件清楚地表明一家公司已经遭受了网络攻击，但这只是漫长攻击链的终点。攻击者通常在网络中自由移动数周或数月而不受阻碍，也无人察觉。经过已有的进行IT取证并分析显示，在加密之前企业用户使用基本的简单的安全措施就可以阻断大部分攻击，从而降低安全事件发生。以下十个问题使得威胁行为者更容易发动此类攻击，了解并从实际工作中加固能有效管控未知的网络安全风险。

1、未修补的安全漏洞

‌问题‌：近年来，应用程序或操作系统中反复出现安全漏洞，网络犯罪分子直接利用这些漏洞。特别是使用Fortinet、Citrix或Microsoft等系统的公司，对此深有体会。许多公司甚至没有及时修补关键漏洞。所谓的零日漏洞利用尤为危险。这些漏洞通常制造商并不知情，因此一开始没有补丁可用。然而，系统本身的脆弱性并不直接导致被攻陷。

‌解决方案‌：密切监控以尽早发现异常，是迅速遏制更严重的恶意活动的好方法。此外，相关负责人应建立补丁流程并建立良好的资产管理。这将使您能够概览您的系统环境和各自的补丁状态。对于无法打补丁或已过时的系统，应单独运行。例如，出于技术原因，医院使用许多基于过时操作系统的医疗设备。这些设备不得允许与网络其余部分通信，当然也不能从互联网上访问。

2、‌密码设置不当‌（常见弱口令）

问题‌：密码设置不当一再使网络犯罪分子更容易进入公司网络。一个包含六个字符的域管理员密码或仅包含两个字符的本地管理员密码对攻击者来说不构成障碍。很明显，这个问题在实践中经常被忽视，尽管安全密码的要求早已广为人知。

‌解决方案‌：需要严格的密码策略，以使威胁行为者更难获得访问权限。联邦信息安全局（BSI）提供了安全密码提示。所有也可以通过互联网访问的接入点都应通过多因素身份验证进行额外保护。这尤其包括VPN访问。随着用户数量的增加，一个或多个人使用弱密码或重复使用密码的可能性也随之增加。难以控制的用户群体的一个典型例子是大学和学院。

3、账户管理混乱

问题‌：攻击者群体通常能够毫不费力地在网络中获得更高的访问权限。一种流行的方法是使用被攻陷的本地管理员账户从工作内存中读取缓存的密码哈希值，因为每次用户登录时都会缓存密码哈希值。这适用于用户账户或管理员账户以及服务账户的登录。通常，无需知道实际密码即可直接使用密码哈希值以其他身份登录。专家将其称为“传递哈希值”攻击。当拥有特定域管理员权限的管理员为了方便而登录到普通PC时（这种情况很常见），这种高度特权的登录会在本地缓存，并很容易落入网络犯罪团伙之手。

‌解决方案‌：为了最大限度地降低此类风险，需要进行账户分离。微软在其分层模型中描述了一个很好的例子。其背后的理念是将系统划分为不同的层级（层），并为每个层级使用单独的管理员账户。这种方法可防止攻击者在攻陷较低层级时获得对更高层级系统的访问权限。因此，他们无法简单地扩展权限以访问基础设施的敏感部分。

4、网络未分区分域

问题‌：许多公司仍在使用大型平面网络，或者忘记了只有对过渡进行监管时，网络分段才能提供安全好处。否则，如果网络犯罪分子能够在整个网络中迅速传播，相关负责人也不必感到惊讶。

解决方案‌：通过精心设计的网络分段，可以为威胁行为者树立起难以逾越的重大障碍。公司应严格分离服务器和客户端网络，并且只允许明确必要的连接。同样重要的是将运营技术（OT）和信息技术（IT）分离。例如，生产和控制系统没有放在纯办公网络中的位置。拥有关键基础设施（如市政公用事业）的公司必须确保无法访问。此外，还可以实现快速解决方案，如管理网络。在这里，只有管理账户才能访问，每个账户都通过带有第二因素的VPN进行保护。这提供了高度的安全性，同时又不干扰普通用户的日常工作。

‌5、备份工作不足‌

‌问题‌：当涉及到数据丢失时，仅仅有备份是不够的。它还必须可恢复。此外，网络犯罪分子专门搜索备份以删除或加密它们。这增加了公司支付赎金的压力。

解决方案‌：备份应始终与网络和互联网断开连接。这意味着没有连接到Active Directory，并且存储在单独的隔离网络段中，以便在勒索软件攻击后可以使用。一次又一次地，犯罪团伙在找不到或无法访问备份服务器时放弃了攻击。这意味着他们失去了强制执行其要求的杠杆。同时，他们搜索备份的时间越长，公司检测攻击的时间就越多。

因此，良好的备份策略还包括安全存储所有信息的离线副本。“3-2-1原则”已被证明是数据备份的最佳实践。根据这一原则，创建三份独立的备份副本，其中两份存储在不同的介质上（例如硬盘和LTO磁带），一份存储在异地。此外，相关负责人应定期测试备份的功能和恢复。顺便提一下，如果备份受密码保护，但密码存储在已被攻击者加密的密码管理器中，那么事情就会变得棘手。

6、IT人员超负荷工作

问题：在许多公司中，“IT部门”不得不负责所有任务，从用户支持、安装打印机驱动程序到网络管理，还包括服务器环境和IT安全的维护和保障。这些任务往往与其他任务并行进行，在最坏的情况下，还是法规要求。这导致缺乏技术专长和时间资源来完成基础性和战略性的任务，如建立设计良好的网络基础设施。

解决方案：经验表明，中型公司中约有5%的员工应从事IT工作。此外，公司需要自己的IT安全人员；否则，在日常业务中IT安全将被忽视，带来致命的后果。值得注意的是，具有竞争力的薪酬是争夺技术工人的关键因素。

7、低质量的IT服务提供商

问题：许多公司将IT的全部或部分外包，以弥补技术工人的短缺。然而，在服务提供商的技能和专业知识方面，细节决定成败。

解决方案：好的IT服务提供商可以用其专业知识来支持公司内部的IT部门，弥补其不足。但是，在选择IT安全服务提供商时，需要考虑一些因素。选择时的重要标准包括服务水平协议，包括服务提供商的响应时间。在紧急情况下，时间是关键因素。例如，如果您与服务提供商就全年每周七天、每天24小时的监控服务达成协议，作为托管扩展检测与响应（MXDR）服务的一部分，您还应指定自己公司内的联系人，确保他们全天候可用。如果服务提供商在晚上10点报告安全事件，但无人响应，那将无济于事。

此外，应定期检查整个IT基础设施，例如进行渗透测试。这些测试还应包括IT服务提供商提供的IT基础设施。联合进行应急演练可以了解IT安全能力。通过这种方式，还可以练习和测试报告链和应急流程。

8、缺乏安全监控

问题：大多数事件本可以更早地被检测到并因此被阻止。然而，所使用的安全解决方案发出的警报被忽视、在大量无关信息中丢失或因缺乏专业知识而被误解。因此，IT取证分析师反复发现非常明确的警告信息被忽略（有意或无意）或误解。

解决方案：要避免这种情况，需要为IT安全分配专门人员。如果无法或不想自己这样做，应考虑使用托管安全服务，如安全运营中心。但有一点很重要：报告链。需要顺畅的报告流程，才能使托管安全解决方案充分发挥作用。

9、技术落后——过时系统成为入侵跳板

问题：技术债务往往也是人员短缺的后果。不幸的是，公共管理部门就是这方面的典型例子。在这里，我们一再发现明显过时的IT基础设施。但错误的优先级设置也助长了这种情况。

解决方案：负责人不应仅将新系统或安全产品视为解决方案，还应定期解决技术债务问题。当时间和资源稀缺时，这通常是首先被忽视的事情，但也是对网络犯罪分子的诱惑。

10、无计划的应急响应管理

问题：在发现严重的网络攻击后，许多公司往往会陷入恐慌。员工和管理层疯狂行动，但很少采取有效措施。重要的决策和工作被推迟，从而增加了损失。这种现象被亲切地称为“无头苍蝇模式”。

解决方案：来自事件响应团队的经验丰富的专家可以提供冷静和条理。只有这样，大家才能共同努力解决问题，并使系统重新运行。应急预案至关重要。应事先离线准备好应急预案，而不是将其存放在无法访问的加密服务器上。该应急预案具体规定了紧急情况下的职责和程序。谁做出哪些决策，谁通知员工、客户或利益相关者，以及谁与调查当局交谈？否则，公司将在讨论职责上浪费宝贵时间。

另一点：系统优先级排序。也就是说，哪个系统需要首先检查和重启。哪些系统对于我的基础设施重新运行是必要的？哪些系统是业务关键系统，以确保能够保持生产运行？另外储备一个优质响应服务商也至关重要。若临时寻找，不仅耗时，也未必能匹配最佳人选。理想情况是提前与专家建立联系甚至签订事件响应协议以确保获得即时处理。