【12 式基本功】Microsoft Exchange 淪陷教我們的事

2020 疫情推動遠程工作，無數用戶使用資安漏洞百出的裝置處理公司機密，低成本低技術門檻的 Old School 網絡攻擊成為散戶式黑客 2020 最常用手段，且收穫甚豐。2021 年則由機構型黑客主宰新聞推送，由 Solarwinds 到最近 Colonial Pipeline，關鍵字係 Ransomeware、Infrastructure、天價贖金。資安團隊很忙，所以時間更加要用得其所，洞察黑客的下一步提早佈局。

3 月 Microsoft 揭露中國黑客組織 Hafnium 透過 4 個 Zero-Day Attack 對本地 Exchange Server 發動攻擊，事發後 Microsoft 火速提供堵塞漏洞的 Update，警覺性高的用家立即更新，但總有人信陰謀論覺得 Update 之後反應慢更食電，係品牌耍手段逼大家換機，堅持不更新；亦有機構反應慢要用上星期甚至月更新公司所有裝置，這個不設防時段，資安界稱之為 N-Days。睇往績，能夠發動 Zero-Day 的黑客都係高手，而要早過當事人發現漏洞的成本當然高，換句話講有本事者少之又少。不過 N-Days 有官方公告漏洞，技術一般的黑客，都能輕易發動漁翁撤網攻擊，製造第 2 甚至 N 波的 N-Days Attack。以下 12 式，做足未必無敵，但肯定可以減低被入侵機率。

（1）確保多重身份認證、零信任登入、網路存取管制系統（NAC），將登入風險減到最低；

（2）動態分割網絡，按保安需求設 Zone，減低非法入侵或感染時損失；

（3）變更管理擬定緊急應變方案，以求快速應對突發更新包；

（4）確保所有 Endpoint 裝置安裝最先進保安程式，包括反滲透與 Endpoint Detection and Response（EDR）；

（5）積極更新電郵與網絡 Filter，濾走含惡意程式、釣魚攻擊內容等；

（6）確保經常更新網路攻擊特徵偵測、防毒程式與反惡意程式， 如果要保護無法更新的裝置，這尤其重要；

（7）定期系統備份，將之與執行復原所用的裝置與程式一併儲存線下；

（8）採用內容威脅解除與重組（Content Disarm and Recovery）對付惡意程式；

（9）以鑑證式分析工具找尋感染源頭、感染期、感染鏈；

（10）為所有使用企業裝置員工提供資安意識培訓；

（11）沙盒測試所有新或不明檔案、文件或程式；

（12）以 CASB 方案封鎖未授權 SaaS 應用。

以上 12 式，志在動用所有資源搜集威脅情報，並建立一個高度自動化系統，調整應對任何入侵。2021 年高調入侵個案顯示，技術高明資源豐富的黑客發動入侵時，唔會偷資訊了事，Colonial Pipeline 那一次幾乎令美國局部地區大停電，而上述 12 式，其實未必抵到針對性入侵。事件成為國際頭條時，DarkSide 仍能收到 4.4 百萬美元贖金，可想而知即使在執法機構眼中，付款了事這個縱容行為，已是最佳解決方法。DarkSide 事後宣佈解散，只係執法機構以不予追究換取的下台階。如果時光可以倒流，相信 Colonial Pipeline 寧願批核 CISO 4.4. 百萬美元，全面審視資安環境，強補所有弱點。

這一疫，是 Ransomware-as-a-Service 最佳宣傳，反應慢的企業相信會有不菲代價。資安團隊做足 12 式，才有人力資源應對更多突發與針對性攻擊，包括 AI 與 Machine Learning 主導的入侵技術。

資料來源：https://www.securityweek.com/lessons-learned-high-profile-exploits