众大事件:一周荐读:盘点2021最重大八个安全事件,企业新一年要避开这些坑

admin 17 2022-01-10 20:31:22

一周荐读:盘点2021最重大八个安全事件,企业新一年要避开这些坑

对于网络安全而言,2021年非同寻常,又意义非凡。数据安全、代码存储库、恶意软件、零日漏洞、新型勒索软件等不同类型威胁轮番上演。2021年企业数据泄露平均成本达到近17年以来最高;用户凭证泄露成为了数据泄露最主要的原因;“世界上最危险的恶意软件”Emotet僵尸网络卷土重来......未来很难预测,但总结过去却相对容易,而且对现实更有价值。这次的微步一周荐读,我们筛选了2021年最重大的安全事件,并附上了具体的应对建议,希望对你有帮助。

01 SolarWinds攻击:了解供应商的安全状况2020年12月底,FireEye发布分析报告称SolarWinds旗下Orion基础设施管理平台的发布环境遭到攻击者入侵,并对文件SolarWinds.Orion.Core.BusinessLayer.dll的源码进行了篡改并添加后门代码,由于文件具有合法数字签名因此会伴随软件更新下发。该攻击隐藏性极强,企业完全无法自行感知。根据微软的说法,攻击者能够“伪造SAML令牌来冒充企业任何的现有用户及帐户,包括高特权帐户。当时已检测到北美、欧洲、亚洲及中东等全球多地的一些政府、咨询、技术公司被攻击,波及范围极大。

经验教训

供应链攻击事件并不少见。而这次事件给我们最大的教训在于:企业不仅要考虑自身的安全流程,同时还需要仔细审查安装软件的来源及完整性、确认是否可信,了解供应商的安全流程。对于高特权账户,也需要检测其异常行为。创建新的联合信任或将凭证添加到可执行如mail.read或mail.readwrite之类操作的进程时,均需要进行审查。同时,还需要在网络外围防火墙阻断已知的C2终端。

02 Accellion零日漏洞攻击:及时更新并安装补丁2021年2月,美国、加拿大、荷兰及其他国家和地区的多个组织早遭到严重的数据泄露,原因在于使用的FTA(File Transfer Appliance)文件传输服务存在漏洞。其中,美国零售巨头克罗格是最大的受害者之一,旗下药房及诊所的员工及服务客户数据被曝光。另外,能源巨头壳牌公司、众达律师事务所、新加坡电信、华盛顿州和新西兰储备银行等均在受害者之列。

据了解,Accellion FTA是美国Accellion公司开发的一个文件传输程序,能够帮助企业使用一个本地或托管的私有云传输大的敏感的文件。此次攻击与一个存在漏洞的FAT文件传输设备技术中的零日漏洞有关,大约300家企业一直使用该版本在企业内外部传输大型文件。有安全厂商认为,此次攻击与Cl0p勒索软件家族和FIN11APT组织有关,使用了Accellion技术中的四个零日漏洞。

经验教训

Accellion攻击事件再次证明了供应链攻击的危险性,攻击组织也正是利用了Accellion文件传输设备软件中的零日漏洞,针对大量的企业进行攻击,极大减少了初始访问需要耗费的精力。对此,建议企业能够减少攻击面,通过访问策略,严格控制敏感资产访问来源。同时,在发现其他企业遭到攻击时,需要快速自查企业自身是否有受到相同攻击的软硬件,或咨询专业的第三方公司进行快速处理。

03 美国佛罗里达州水处理系统攻击:增强企业访问权限管理2021年2月,美国佛罗里达州奥兹马市一家水处理设施的系统被攻击,攻击者试图改变控制水酸度的 NaOH 碱液浓度,并在准备将碱液浓度提高到111倍时被发现。之所以会在供水中添加少量NaOH碱液,主要是防止管道腐蚀同时提升PH值,但人接触到该碱液会导致严重的皮肤灼伤并伤害眼睛。所幸的是,攻击并未真正造成真正的损害,且及时进行了逆转。

据分析,攻击者主要可能使用了被盗的TeamViewer凭证,从而远程登录系统,获得了水处理设施操作员的系统访问权限。这次事件也再次暴露了关键基础设施在网络攻击面前的脆弱性,攻击者可以轻松闯入饮水设施的监控及数据采集系统。事件发生后,有媒体还了解到该机构将其远程访问密码发布在了公开可用的Google文档中。

经验教训

对于此次事件,既要对关键基础设施运营商在环境中使用的桌面共享软件及快过时的软件(比如window 7)及时更新,同时对于企业重要的内部系统,有必要通过多因子认证(MFA)进行访问权限保护,尽量限制远程访问对此类非常重要系统的访问,或者严格管控远程访问的IP地址、通信类型等要求。

一周荐读:盘点2021最重大八个安全事件,企业新一年要避开这些坑

04 微软Exchange Server攻击:保护旧有系统2021年3月,本地安装的Exchange服务器遭到零日漏洞攻击。微软官方最初评估该攻击属于小范围针对性攻击,然而实际却发现攻击范围比想象中要广得多,涉及数十万台未打补丁的Exchange服务器。更不幸的是,微软发现许多的邮件服务器补丁已经严重过时,很难快速更新。于是其不得不为旧平台准备补丁,从而确保用户的安全。当时,FBI甚至主动去清理并修补那些一直未受保护的Exchange服务器。

经验教训

Microsoft Exchange Server历来都是非常吸引攻击者的攻击媒介。对于企业而言,需要保证对所有旧服务器的实时保护,尤其是本地的Exchange服务器,这些更可能成为目标。对于这些旧有系统,企业需要分配适当的资源进行维护。无论是通过电子邮件进入的钓鱼邮件攻击,还是因为服务器打补丁难度较大产生的安全风险考虑,邮件都会是攻击者选择进入网络非常关键的入口。

05 Colonial Pipeline勒索软件:阻止RPC及SMB通信2021年5月,针对美国管道运营商Colonial Pipeline的勒索软件攻击引发全世界关注。该攻击使得运营商首次关闭了其5500英里的运营管道,导致数百万加仑(1加仑≈3.7854升)燃料运输中断,并引发了美国东海岸大部分地区短时天然气短缺。就在事件发生后几天,美国发布了行政命令,要求联邦机构实施新的控制措施,来加强网络安全。此次攻击后续被认为是总部位于俄罗斯的DarkSide组织所为,其利用被盗的旧的VPN凭证,取得了对Colonial Pipeline网络的访问权限。不出意外,勒索软件依旧会是2022年的主要安全风险。目前,针对勒索软件攻击,部分国家、网络保险企业都推出了相关的政策及指导。

经验教训

建议企业利用本地及网络防火墙来阻断RPC以及SMB通信,限制横向移动一类的攻击活动。打开防篡改功能,防止攻击者停止安全服务,并且强制执行高强度、随机的本地管理员密码,建议可以使用LAPS(本地管理员密码解决方案),确保能够使用随机密码。

另外,建议对安全事件日志清除进行监控。在发生此类情况时,Windows会生成安全事件ID1102,之后则需要确保面向网络的资产更到最新。对于可疑活动还需进行资产定期审计,最终确认高特权账户的登录以及公开凭证的位置,监控并调查登录事件(事件ID4624)的登录类型属性,高特权账户不应存在于工作站之上。

06 零日漏洞PrintNightmare攻击:确保打印机更新2021年年中,攻击者利用名为“PrintNightmare”的零日漏洞,可在补丁完善的Windows Print Spooler设备上获得完整的远程代码执行能力。对于网络管理员来说,这个漏洞简直就是打印机管理的噩梦。由于打印后台处理程序软件属于NT时代的代码,许多人希望微软能够完全重写该代码,但这样做会对第三方打印供应商造成重大影响。

2021年7月,微软发布了PrintNightmare漏洞的带外更新,不过到去年12月仍旧余痛未消。相关企业仍在跟踪微软发布的与打印机后台处理程序相关的多个补丁的影响。去年12月底发布的可选更新中包含了对几个打印相关问题的修复,主要修复的是Windows打印客户端连接到Windows打印服务器上共享的远程打印机时可能遇到的几个错误问题。

经验教训

如果可能,建议企业在更新前安排适当资源进行测试。可利用第三方资源,例如PatchManagement.org或reddit的Sysadmin论坛,监控可能产生的负面影响或是及时调整。另外,在不需要打印的服务器和工作站上,应该禁用打印后台处理程序服务,并且只在必须启用打印的设备和服务器上运行。

一周荐读:盘点2021最重大八个安全事件,企业新一年要避开这些坑

07 Kaseya供应链攻击:安全防护左移2021年7月发生在IT管理软件供应商Kaseya身上的攻击事件,再次凸显了IT供应链中的软件供应商安全的重要性。该事件后续被归因为REvil/Sodinokibi勒索软件团伙的一个分支所为,攻击者利用了Kaseya的虚拟系统管理员 (VSA) 技术中的三个漏洞,由于许多托管服务提供商 (MSPs) 都会使用这种技术来管理其客户网络,因此导致攻击者在托管服务提供商下游客户的数千个系统上分发勒索软件攻击。根据Huntress Labs对泄露事件的调查发现,在进行初始利用活动后,攻击者用了不到两小时的时间,在多个提供商服务的众多企业的系统上安装了勒索软件。

经验教训

Kaseya勒索事件同样代表了2021年来的一个重要攻击趋势。为扩大对下游受害者的利用范围,攻击者不断攻击上游技术资产及提供商,包括开源库、IDE(集成开发环境)、及Kaseya事件中出现的MSPs等。为此,企业有必要考虑进行安全左移,在开发周期、网络策略、最佳实践等方面进行提前介入。针对不断出现的零日漏洞,除了快速响应,企业还需了解自有供应商的安全程度,并且保证软件尽快更新。

08 震惊业界的Log4j漏洞:软件及时更新,加强企业资产管理2021年年末,Log4j日志框架中一个严重的远程代码执行漏洞,在整个行业掀起了滔天巨浪,堪称近十年来都极为罕见的漏洞。该漏洞 ( CVE-2021-44228 ) 存在于 Log4j 2.0-beta9 到 Log4j 2.14.1 版本中,可以通过多种方式利用。Apache最开始发布了一个该工具的最新版本(Apache Log4j 2.15.0) ,因为无法完全阻止DDoS攻击及数据盗窃,随后又发布了另外一个更新。截止到2021年12月17日,暂时没有公开报道的与该漏洞有关的重大数据泄露。

经验教训

Log4j这款工具在企业、工控系统的OT网络、SaaS产品、云服务提供商环境中都广泛使用,更为关键的是它非常易于利用,被大量商业产品、应用及各种开源组件嵌套使用。这次Log4j漏洞,可以看成一次典型的供应链攻击。对于企业而言,在利用其它供应商产品时,需要及时更新补丁,或者采取自动更新的方式。其次,企业需针对自身的资产暴露面实时管理,才能在漏洞出现时,快速进行资产清点及响应修复。最后,如果需要了解详细Log4j漏洞处置方法或后续修复,欢迎联系微步在线安全服务团队。

2021年,你印象最深刻的安全事件是哪一次,欢迎留言分享。最后也希望大家都能从过去这一年别人摔倒的地方得到一些启发,避免企业自身在同样的地方跌倒,新的一年更安全。

参考来源:csoonline/DARKReading/微步情报局

  • 随机文章

  • 热门文章

  • 热评文章

上一篇:众大事件:众主播、解说锐评17支战队:一致看好EDG和TES,BLG谨慎看好
下一篇:众大事件:盘点2021年12大国际事件
相关文章

 发表评论

暂时没有评论,来抢沙发吧~

返回顶部小火箭