滲透測試人員的工作是幫助企業(yè)加強網(wǎng)絡安全防護以確保業(yè)務安全。滲透測試人員充當了勒索軟件攻擊者,根據(jù)他們的經(jīng)驗,企業(yè)應該提出以下五個問題:
1. 可以突破安全邊界嗎?
如今,有很多方法能夠突破企業(yè)的安全邊界。可以在企業(yè)的一個Web應用程序中查找SQL注入漏洞。滲透測試人員可以嘗試猜測企業(yè)的VPN憑據(jù),或者查找企業(yè)的防火墻配置中的錯誤,以便訪問敏感服務或應用程序。
作為勒索軟件攻擊者,滲透測試人員不太可能以企業(yè)為目標掃描安全邊界以查找問題,然后嘗試利用其中的漏洞進入企業(yè)內部。與其相反,會將互聯(lián)網(wǎng)視為目標。掃描感興趣的一個特定漏洞會更容易,而找到100個存在該漏洞的系統(tǒng),然后調查擁有這100個系統(tǒng)的企業(yè)。換句話說,滲透測試人員不一定要將企業(yè)作為一個目標,而將其作為易受攻擊系統(tǒng)的所有者。
2.可以對企業(yè)的用戶進行網(wǎng)絡釣魚嗎?
當然,很多企業(yè)已經(jīng)實施了防御措施,使攻擊者實施網(wǎng)絡釣魚變得更加困難和耗時。但是域名很便宜,電子郵件也是免費的,所以經(jīng)常都會進行嘗試。另外,網(wǎng)絡釣魚是一種無限制重新嘗試的游戲——只需讓一個用戶點擊一次就有可能成功,而企業(yè)希望其用戶不要點擊。滲透測試人員可以繼續(xù)嘗試借口/有效負載的不同迭代或轉移到另一個目標。如果用戶點擊,那么網(wǎng)絡釣魚就開始了。
企業(yè)要知道要設置什么樣的防御措施。需要強大的端點控制,包括EDR和受限權限。需要電子郵件過濾來檢查郵件屬性,例如源域的歷史和聲譽。而且,當然需要培訓進行,從企業(yè)高級管理人員到新員工,以確保他們具有電子郵件的安全防范意識。
3.關鍵備份是否可行并得到良好保護?
受損的備份基礎設施通常是勒索軟件攻擊中的致命一擊。如果攻擊者可以訪問企業(yè)的關鍵備份并刪除或加密其備份文件,那么企業(yè)將失去恢復業(yè)務的唯一選擇。這將讓企業(yè)陷入困境。
要維護故障轉移選項,必須保護備份基礎設施。多因素身份驗證很重要,網(wǎng)絡分段也很重要。企業(yè)的備份服務器應該位于單獨的域中,并且其每個用戶都不能通過網(wǎng)絡訪問。此外,備份基礎設施不與其他生產(chǎn)系統(tǒng)共享憑據(jù)也是至關重要的。
另一個警告是:企業(yè)的備份系統(tǒng)必須工作。確保負責執(zhí)行和測試備份系統(tǒng)的人定期這樣做。當企業(yè)遭遇勒索軟件攻擊時,在可恢復性方面不能存在問題。
4.可以保持多久不被發(fā)現(xiàn)?
這是滲透測試人員從充當勒索軟件攻擊者的過程中學到的最重要的經(jīng)驗之一:攻擊者探索企業(yè)的運營環(huán)境的時間越長,成功的機會就越大。如果勒索軟件攻擊者侵入一小時內被檢測到并被清除,通常不會有太多機會發(fā)動成功的攻擊。但是,如果有幾天時間橫向移動并破壞其他系統(tǒng),那么通常會帶來更大的損害。
快速而準確的威脅檢測對于企業(yè)的反勒索軟件工作至關重要。企業(yè)需要來自端點、網(wǎng)絡和云平臺的大量遙測數(shù)據(jù);需要能夠理解遙測數(shù)據(jù),而不會被警報疲勞所淹沒;還需要立即發(fā)現(xiàn)和識別活躍威脅,并轉化為果斷行動以消除威脅。
5.安全團隊成員齊全嗎?
坦率地說,如果滲透測試人員和其團隊攻擊人手不足的安全運營中心(SOC)幾乎都會成功。這只是一場數(shù)字游戲,但是已經(jīng)通過滲透測試和紅隊對抗策略的企業(yè)更難破解。這主要是因為已經(jīng)讓滲透測試人員對他們進行了多次攻擊——所以滲透測試人員發(fā)現(xiàn)漏洞,并幫助他們修復了這些漏洞。
如果企業(yè)并不是容易攻擊的目標,大多數(shù)網(wǎng)絡攻擊者會轉移到更易受攻擊的環(huán)境。幾乎所有網(wǎng)絡攻擊者也是如此。
好消息是,如果能快速減緩攻擊者的速度,他們很可能會攻擊另一個更容易的目標,這可能是企業(yè)最好的防護。
版權聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。
京公網(wǎng)安備 11010502049343號