Уроки, извлеченные из событий сетевой безопасности 2021 года

В конце 2021 года большинство аналитиков отрасли ИБ ожидали, что эксперты данной сферы начнут активно предсказывать проблемы безопасности на следующий год. Однако некоторые предпочли оглянуться на текущие проблемы безопасности, чтобы убедиться, что ИБ-специалисты извлекли из них все необходимые уроки, рассказала Сьюзан Брэдли изданию CSO.

Атака SolarWinds: узнайте уровень безопасности ваших поставщиков

Прошел буквально год с тех пор, как об атаке на цепочку поставок программного обеспечения SolarWinds стало известно в новостях, и мы все еще пытаемся полностью понять потенциал этого типа атаки. Злоумышленники действовали скрытно, они были обнаружены только потому, что одна из пострадавших фирм, FireEye, обладала элитными возможностями для отслеживания и обнаружения вторжений.

Интересно, в таких ситуациях у компаний есть соответствующие инструменты и ресурсы, чтобы знать, совершается ли такая атака? Предполагается, что большинство не знало об атаке, кроме того, у многих не было и ресурсов для этого. По данным Microsoft, злоумышленник смог «подделать токены SAML, которые выдавали себя за любых существующих пользователей и учетные записи организации, включая учетные записи с высоким уровнем привилегий. Это должно заставить специалистов подумать об источнике программного обеспечения, которое было установлено, и задаться вопросом, можно ли доверять своим поставщикам и их процессам безопасности, не говоря уже о собственных процессах безопасности компании.

Извлеченные уроки: вместе с поставщиками программного обеспечения просмотрите их процессы обеспечения безопасности. Ищите ненормальное поведение, особенно в учетных записях с высоким уровнем привилегий. Проверяйте, когда создаются новые федеративные доверительные отношения или добавляются учетные данные для процессов, которые могут выполнять такие действия, как mail.read или mail.readwrite. Вы также захотите заблокировать известные конечные точки C2 в брандмауэре сетевого периметра.

Атака на Exchange Server: защита устаревших систем

В марте 2021 года произошла очень разрушительная атака. Локально установленные серверы Exchange подверглись прямой атаке с использованием уязвимости нулевого дня. Первоначально Microsoft указывала, что атаки были целенаправленными, но позже выяснилось, что атаки были гораздо более распространенными. Microsoft также обнаружила, что многие почтовые серверы ужасно устарели с точки зрения исправлений, поэтому их было трудно быстро обновить. Microsoft пришлось подготовить исправления для старых платформ, чтобы обезопасить клиентов. ФБР даже дошло до того, что активно очищало и исправляло незащищенные серверы Exchange.

Извлеченные уроки: Обеспечьте защиту любого устаревшего сервера. Особенно с локальными серверами Exchange, они чаще становятся мишенью. Убедитесь, что вы выделили соответствующие ресурсы для исправления этих устаревших систем. Электронная почта является ключевой точкой входа в сети как с точки зрения фишинговых атак, поступающих по электронной почте, так и с точки зрения более высокого риска из-за того, что злоумышленники понимают сложность исправления этих серверов.

Кроме того, не обязательно полагаться на оценку угроз и рисков, предоставленную поставщиком. Microsoft сначала указала, что атаки были ограниченными и целенаправленными, но они были гораздо более распространенными и затрагивали даже небольшие фирмы.

PrintNightmare: обновляйте принтеры

Следующий крупный инцидент с безопасностью - это тот, с которым мы все еще имеем дело почти шесть месяцев спустя. В июле 2021 года Microsoft выпустила внеочередное обновление для уязвимости под названием PrintNightmare. Для сетевых администраторов этот кошмар печати превратился в кошмар управления печатью. Программное обеспечение диспетчера очереди печати представляет собой старый код эпохи NT, который многие призывают Microsoft полностью переписать, но это может привести к серьезным сбоям в работе сторонних поставщиков услуг печати. Хотя пандемия подтолкнула нас от личной печати к более удаленным процессам печати, даже PDF-принтеры полагаются на диспетчер очереди печати для развертывания и печати в PDF.

Даже в декабре, специалисты все еще отмечали побочные эффекты нескольких исправлений, связанных с диспетчером очереди печати, которые были выпущены с тех пор. Исправление нескольких проблем, связанных с печатью, было включено в дополнительные обновления, выпущенные в конце декабря. Оно устраняет проблемы, из-за которых клиенты печати Windows могли столкнуться с ошибками при подключении к удаленному принтеру, совместно используемому на сервере печати Windows.

Было видно, как некоторые сетевые администраторы предпочитали не устанавливать исправления из-за разрушительных побочных эффектов этих обновлений.

Извлеченные уроки: даже в условиях пандемии большому количеству людей все еще необходимо печатать. Всякий раз, когда обновление включает исправление для службы диспетчера очереди печати, перед обновлением необходимо назначить соответствующие ресурсы для тестирования. Используйте сторонние ресурсы, такие как PatchManagement.org или форум системного администратора на Reddit, чтобы отслеживать побочные эффекты и обходные пути, которые вам могут понадобиться, а не оставлять свою компанию без защиты. Служба диспетчера очереди печати должна быть отключена на серверах и рабочих станциях, на которых вам не нужно печатать, и должна работать только на тех устройствах и серверах, на которых должна быть включена печать.

Программа-вымогатель: блокировка связи RPC и SMB

Среди инцидентов безопасности, с которыми, как полагают эксперты, компании столкнутся в 2022 году, программы-вымогатели по-прежнему будут представлять собой серьезную угрозу. Теперь такие инциденты встроены в полисы киберстрахования, и правительство Соединенных Штатов организовало целевые группы для обеспечения большей защиты, информации и рекомендаций для предприятий, столкнувшихся с этим риском.

Извлеченные уроки: используйте локальные и сетевые брандмауэры для предотвращения связи RPC и SMB. Это ограничит боковое движение, а также другие виды атаки. Затем включите функции защиты от несанкционированного доступа, чтобы злоумышленники не могли остановить службы безопасности. Затем используйте надежные случайные пароли локальных администраторов. Эксперты рекомендуют использовать решение для паролей локального администратора (LAPS), чтобы убедиться, что у вас есть случайные пароли.

Монитор для очистки журналов событий. В частности, когда это происходит, Windows создает событие безопасности с идентификатором 1102. Затем нужно убедиться, что ресурсы, подключенные к Интернету, имеют последние обновления безопасности. Регулярно проверяйте эти активы на наличие подозрительной активности. Наконец, определите, где учетные записи с высоким уровнем привилегий входят в систему и раскрывают учетные данные. Отслеживайте и исследуйте события входа в систему (идентификатор события 4624) для атрибутов типа входа. На рабочих станциях не должно быть учетных записей с высоким уровнем привилегий.