【12 式基本功】Microsoft Exchange 淪陷教我們的事
2020 疫情推動遠程工作,無數用戶使用資安漏洞百出的裝置處理公司機密,低成本低技術門檻的 Old School 網絡攻擊成為散戶式黑客 2020 最常用手段,且收穫甚豐。2021 年則由機構型黑客主宰新聞推送,由 Solarwinds 到最近 Colonial Pipeline,關鍵字係 Ransomeware、Infrastructure、天價贖金。資安團隊很忙,所以時間更加要用得其所,洞察黑客的下一步提早佈局。
3 月 Microsoft 揭露中國黑客組織 Hafnium 透過 4 個 Zero-Day Attack 對本地 Exchange Server 發動攻擊,事發後 Microsoft 火速提供堵塞漏洞的 Update,警覺性高的用家立即更新,但總有人信陰謀論覺得 Update 之後反應慢更食電,係品牌耍手段逼大家換機,堅持不更新;亦有機構反應慢要用上星期甚至月更新公司所有裝置,這個不設防時段,資安界稱之為 N-Days。睇往績,能夠發動 Zero-Day 的黑客都係高手,而要早過當事人發現漏洞的成本當然高,換句話講有本事者少之又少。不過 N-Days 有官方公告漏洞,技術一般的黑客,都能輕易發動漁翁撤網攻擊,製造第 2 甚至 N 波的 N-Days Attack。以下 12 式,做足未必無敵,但肯定可以減低被入侵機率。
(1)確保多重身份認證、零信任登入、網路存取管制系統(NAC),將登入風險減到最低;
(2)動態分割網絡,按保安需求設 Zone,減低非法入侵或感染時損失;
(3)變更管理擬定緊急應變方案,以求快速應對突發更新包;
(4)確保所有 Endpoint 裝置安裝最先進保安程式,包括反滲透與 Endpoint Detection and Response(EDR);
(5)積極更新電郵與網絡 Filter,濾走含惡意程式、釣魚攻擊內容等;
(6)確保經常更新網路攻擊特徵偵測、防毒程式與反惡意程式, 如果要保護無法更新的裝置,這尤其重要;
(7)定期系統備份,將之與執行復原所用的裝置與程式一併儲存線下;
(8)採用內容威脅解除與重組(Content Disarm and Recovery)對付惡意程式;
(9)以鑑證式分析工具找尋感染源頭、感染期、感染鏈;
(10)為所有使用企業裝置員工提供資安意識培訓;
(11)沙盒測試所有新或不明檔案、文件或程式;
(12)以 CASB 方案封鎖未授權 SaaS 應用。
以上 12 式,志在動用所有資源搜集威脅情報,並建立一個高度自動化系統,調整應對任何入侵。2021 年高調入侵個案顯示,技術高明資源豐富的黑客發動入侵時,唔會偷資訊了事,Colonial Pipeline 那一次幾乎令美國局部地區大停電,而上述 12 式,其實未必抵到針對性入侵。事件成為國際頭條時,DarkSide 仍能收到 4.4 百萬美元贖金,可想而知即使在執法機構眼中,付款了事這個縱容行為,已是最佳解決方法。DarkSide 事後宣佈解散,只係執法機構以不予追究換取的下台階。如果時光可以倒流,相信 Colonial Pipeline 寧願批核 CISO 4.4. 百萬美元,全面審視資安環境,強補所有弱點。
這一疫,是 Ransomware-as-a-Service 最佳宣傳,反應慢的企業相信會有不菲代價。資安團隊做足 12 式,才有人力資源應對更多突發與針對性攻擊,包括 AI 與 Machine Learning 主導的入侵技術。
資料來源:https://www.securityweek.com/lessons-learned-high-profile-exploits