韌性在銜接處失效：微小的配置錯(cuò)誤、被遺忘的默認(rèn)設(shè)置和悄無聲息的偏差，這些雖未引起關(guān)注，但在出現(xiàn)問題時(shí)卻會(huì)擴(kuò)大破壞范圍。

大多數(shù)安全漏洞并非始于罕見的零日漏洞。它們往往源于一些平凡的缺口：破壞取證的時(shí)間偏差、易遭劫持的過期DNS記錄，或是那臺(tái)無人記得購(gòu)買過的打印機(jī)。

你已見過這種模式。攻擊者找到你遺忘存在的乏味漏洞，然后利用它來破壞你真正關(guān)心的一切。

系統(tǒng)性韌性要求全面填補(bǔ)身份管理、配置、遙測(cè)、云服務(wù)和恢復(fù)方面那些不引人注目的漏洞。這些并非能在會(huì)議演講中贏得掌聲的炫酷漏洞，而是會(huì)將事件演變成災(zāi)難的隱形殺手。

今天，我們將討論橫跨六個(gè)不重疊領(lǐng)域的15個(gè)盲點(diǎn)。沒有重疊，沒有遺漏，只有一個(gè)清晰的清單，你可以在攻擊者搶先發(fā)現(xiàn)之前進(jìn)行分配、測(cè)量和修復(fù)。

時(shí)間與遙測(cè)完整性

如果你無法信任時(shí)間和日志，你就無法信任檢測(cè)、取證或根本原因分析。

服務(wù)器時(shí)間同步(NTP偏差)

時(shí)鐘偏差為攻擊者提供了完美的掩護(hù)。當(dāng)你的服務(wù)器對(duì)事件發(fā)生的時(shí)間存在分歧時(shí)，相關(guān)性就會(huì)消失，取證也就變成了虛構(gòu)。然而，大多數(shù)組織對(duì)待NTP就像對(duì)待管道一樣：設(shè)置一次就再也不管了。

立即修復(fù)：建立一個(gè)安全的NTP層級(jí)結(jié)構(gòu)，使用經(jīng)過認(rèn)證的源。嚴(yán)格監(jiān)控時(shí)間偏差。在邊界阻止未經(jīng)授權(quán)的NTP流量。設(shè)置偏差超過100毫秒的警報(bào)。你的安全信息與事件管理系統(tǒng)(SIEM)會(huì)感謝你，當(dāng)你的事件響應(yīng)人員在凌晨3點(diǎn)不追查幽靈信號(hào)時(shí)，他們也會(huì)感謝你。

被忽視的日志記錄缺口

你淹沒在防火墻日志中，卻對(duì)真正重要的事情視而不見。沒有端點(diǎn)遙測(cè)。沒有云身份和訪問管理(IAM)審計(jì)跟蹤。沒有進(jìn)程創(chuàng)建監(jiān)控。攻擊者喜歡這種不平衡;他們?cè)谀憧床坏降牡胤交顒?dòng)。

立即定義你的最低遙測(cè)基準(zhǔn)。每個(gè)端點(diǎn)都需要端點(diǎn)檢測(cè)與響應(yīng)(EDR)覆蓋。記錄每個(gè)身份操作。捕獲每個(gè)云控制平面的變更。集中這些信號(hào)，每周驗(yàn)證其完整性，并實(shí)際測(cè)試你的檢測(cè)是否有效。大多數(shù)組織都沒有這樣做。

在鎖定了可信信號(hào)后，控制誰(shuí)可以操作以及可以操作什么。

身份與邊緣

攻擊者偏愛治理最少的路徑：服務(wù)主體、BYOD和無人擁有的設(shè)備。

特權(quán)服務(wù)賬戶

那個(gè)擁有域管理員權(quán)限且密碼設(shè)置于2019年的服務(wù)賬戶怎么樣了?攻擊者知道它的存在。非人類身份的增長(zhǎng)速度比你管理它們的速度還要快，每個(gè)身份都攜帶著靜態(tài)密鑰和過度權(quán)限。

明天就開始盤點(diǎn)。將每個(gè)服務(wù)賬戶映射到一個(gè)所有者。嚴(yán)格執(zhí)行最小權(quán)限原則。每季度輪換密鑰，或轉(zhuǎn)向使用托管身份。盡可能啟用多因素認(rèn)證(MFA)，是的，即使對(duì)于服務(wù)賬戶也是如此。持續(xù)監(jiān)控異常行為。這些賬戶不會(huì)休假，異?；顒?dòng)意味著已被攻破。

移動(dòng)設(shè)備管理(BYOD泛濫)

BYOD泛濫意味著企業(yè)數(shù)據(jù)存儲(chǔ)在你不控制的個(gè)人手機(jī)上。一臺(tái)被攻破的設(shè)備可能導(dǎo)致對(duì)電子郵件、文件和聊天的持續(xù)訪問。你的安全邊界現(xiàn)在包括了從亞馬遜或百思買購(gòu)買的設(shè)備。

強(qiáng)制實(shí)施移動(dòng)設(shè)備管理(MDM)或移動(dòng)應(yīng)用管理(MAM)，沒有例外。根據(jù)設(shè)備合規(guī)性配置條件訪問。將工作應(yīng)用容器化以防止數(shù)據(jù)混合。啟用快速遠(yuǎn)程擦除功能，并每季度測(cè)試其有效性。當(dāng)有人離職時(shí)，他們的個(gè)人手機(jī)不應(yīng)保留你的企業(yè)機(jī)密。

不安全的打印機(jī)和物聯(lián)網(wǎng)設(shè)備

扁平網(wǎng)絡(luò)上的默認(rèn)憑據(jù)是攻擊者最喜歡的組合。那臺(tái)會(huì)議室里的智能電視自2018年以來就一直在運(yùn)行Linux系統(tǒng)。打印機(jī)的管理員憑據(jù)是admin/admin。兩者都與你的域控制器在同一網(wǎng)絡(luò)上。

立即進(jìn)行網(wǎng)絡(luò)分段。更改每個(gè)默認(rèn)憑據(jù)。創(chuàng)建一個(gè)固件補(bǔ)丁周期，是的，即使對(duì)于打印機(jī)也是如此。禁用你不使用的服務(wù)(劇透：大部分都是不用的)。監(jiān)控這些設(shè)備與關(guān)鍵系統(tǒng)之間的東西向流量。當(dāng)你的打印機(jī)開始與你的數(shù)據(jù)庫(kù)服務(wù)器通信時(shí)，你就有問題了。

身份和邊緣得到了控制;現(xiàn)在加固它們運(yùn)行的基礎(chǔ)。

配置與加密

安靜的配置債務(wù)會(huì)增加攻擊路徑。加密滯后會(huì)招致降級(jí)和攔截。

固件與BIOS/UEFI更新

固件位于你的操作系統(tǒng)之下，是持久化的完美選擇。然而，大多數(shù)組織從未對(duì)其進(jìn)行過補(bǔ)丁更新。你的服務(wù)器運(yùn)行著自制造日期以來的BIOS版本，每個(gè)版本都攜帶著已知漏洞。

從下個(gè)月開始，將固件納入你的補(bǔ)丁服務(wù)水平協(xié)議(SLA)中。啟用證明機(jī)制以檢測(cè)篡改行為。在所有地方配置安全啟動(dòng)。訂閱供應(yīng)商的安全警報(bào);固件漏洞在成為武器之前不會(huì)成為頭條新聞。

過時(shí)的加密協(xié)議

你仍然在為那個(gè)遺留應(yīng)用運(yùn)行TLS 1.0。SSL 3.0仍然“以防萬一”而啟用。弱密碼仍然存在，因?yàn)闆]有人想破壞兼容性。攻擊者每天都在利用這種猶豫不決。

這個(gè)周末就關(guān)閉TLS 1.2以下的所有協(xié)議。僅強(qiáng)制使用現(xiàn)代密碼套件。每月審計(jì)證書衛(wèi)生情況;過期的證書和弱密鑰會(huì)增加風(fēng)險(xiǎn)?，F(xiàn)在就破壞兼容性，否則攻擊者稍后會(huì)破壞機(jī)密性。

非生產(chǎn)環(huán)境中的不安全默認(rèn)配置

“這只是開發(fā)環(huán)境”變成了“他們是怎么獲取到生產(chǎn)數(shù)據(jù)的?”弱的非生產(chǎn)設(shè)置會(huì)泄露到生產(chǎn)環(huán)境中，或在較低環(huán)境中暴露真實(shí)數(shù)據(jù)。

在所有環(huán)境中實(shí)施黃金鏡像。執(zhí)行策略即代碼以防止偏差。將密鑰存儲(chǔ)在保險(xiǎn)庫(kù)中，而不是配置文件中。確保非生產(chǎn)環(huán)境的安全性與生產(chǎn)環(huán)境基準(zhǔn)相當(dāng);攻擊者不會(huì)區(qū)分你的環(huán)境。

表面加固后，現(xiàn)在關(guān)閉你看不到的外部信任濫用。

DNS與Web信任邊界

信任始于名稱和鏈接。清理它們，否則攻擊者會(huì)。

舊的DNS記錄

孤立的子域?yàn)榧磿r(shí)釣魚基礎(chǔ)設(shè)施提供了可能。那個(gè)被遺忘的指向已退役服務(wù)的CNAME記錄怎么樣了?攻擊者明天就可以聲稱擁有它，并繼承你域名的聲譽(yù)。

每月盤點(diǎn)你的整個(gè)區(qū)域。為每個(gè)記錄標(biāo)記一個(gè)所有者。自動(dòng)刪除90天內(nèi)未使用的記錄。要求DNS變更需要兩次批準(zhǔn)：DNS中的拼寫錯(cuò)誤會(huì)永遠(yuǎn)存在。

第三方開放重定向

你的受信任域名通過重定向參數(shù)洗白了惡意鏈接。用戶看到你的URL，并自信地點(diǎn)擊，結(jié)果陷入了困境。

根據(jù)允許列表驗(yàn)證每個(gè)重定向目標(biāo)。對(duì)重定向令牌進(jìn)行簽名并快速使其過期。監(jiān)控引用日志以查找濫用模式。你的域名聲譽(yù)需要數(shù)年時(shí)間來建立，但幾分鐘內(nèi)就可以毀掉。

名稱清理后，現(xiàn)在馴服為你的業(yè)務(wù)提供動(dòng)力的云和軟件即服務(wù)(SaaS)泛濫。

云與SaaS泛濫

沒有護(hù)欄的云速度會(huì)滋生看不見的債務(wù)：未使用的資產(chǎn)、未知的應(yīng)用、不安全的合作伙伴關(guān)系。

揭示影子SaaS

你以為你沒有影子SaaS?再想想。市場(chǎng)營(yíng)銷剛剛注冊(cè)了一個(gè)“免費(fèi)”的人工智能工具，該工具擁有你的整個(gè)客戶數(shù)據(jù)庫(kù)。銷售部門將合同上傳到了一個(gè)未經(jīng)審核的平臺(tái)。數(shù)據(jù)通過瀏覽器標(biāo)簽離開了你的治理范圍。

部署云訪問安全代理(CASB)或SaaS安全管理平臺(tái)(SSPM)進(jìn)行發(fā)現(xiàn)，你會(huì)發(fā)現(xiàn)的應(yīng)用數(shù)量比預(yù)期的多三倍。創(chuàng)建一個(gè)比違規(guī)行為更快的引入流程。對(duì)數(shù)據(jù)進(jìn)行分類，并阻止上傳到未經(jīng)批準(zhǔn)的應(yīng)用。在人們找到自己的解決方案之前提供批準(zhǔn)的替代方案。

孤立的云資產(chǎn)

包含客戶數(shù)據(jù)的被遺忘的S3存儲(chǔ)桶。具有生產(chǎn)訪問權(quán)限的測(cè)試實(shí)例。前員工的個(gè)人項(xiàng)目仍在企業(yè)賬戶上運(yùn)行。云泛濫和孤立資產(chǎn)創(chuàng)建了一個(gè)看不見的攻擊面。

強(qiáng)制要求在創(chuàng)建時(shí)進(jìn)行標(biāo)記：無標(biāo)記，無資源。執(zhí)行生命周期策略，在30天后刪除未標(biāo)記的資源。每周運(yùn)行攻擊面掃描。自動(dòng)隔離沒有所有者的資產(chǎn)。你的云賬單和安全狀況都會(huì)得到改善。

組織間API信任

具有永久令牌和管理員范圍的合作伙伴API。自實(shí)施以來未經(jīng)審查的供應(yīng)商集成。每個(gè)組織間連接都成為攻擊者跨越的橋梁。

在集成之前簽訂安全要求合同。實(shí)施相互傳輸層安全性(mTLS)和具有最小權(quán)限的OAuth。為每個(gè)客戶發(fā)放密鑰，從不共享憑據(jù)。每季度輪換令牌，并監(jiān)控異常模式。信任你的合作伙伴，但驗(yàn)證他們的安全性。

在表面和提供商得到治理后，保護(hù)你的構(gòu)建鏈和最后一道防線。

軟件供應(yīng)鏈與恢復(fù)準(zhǔn)備

上游被攻破或首先破壞備份;任何一條路徑都會(huì)造成最大損害。

代碼重用與被遺忘的依賴項(xiàng)

你的應(yīng)用包含了奧巴馬總統(tǒng)在任時(shí)最后一次更新的庫(kù)。傳遞依賴隱藏了你從未聽說過的漏洞。每個(gè)組件都成為一個(gè)攻擊向量。

為你構(gòu)建的所有內(nèi)容生成軟件物料清單(SBOM)。運(yùn)行軟件成分分析(SCA)工具，在發(fā)現(xiàn)關(guān)鍵問題時(shí)中斷構(gòu)建。固定版本并有意更新。驗(yàn)證來源并要求簽名工件。你的供應(yīng)鏈只與其最弱的依賴項(xiàng)一樣強(qiáng)大。

備份的假定安全性

在線、未加密、未測(cè)試的備份是勒索軟件的第一個(gè)目標(biāo)。你以為它們能工作，直到你需要它們時(shí)才發(fā)現(xiàn)它們不能。

立即實(shí)施3-2-1備份策略。創(chuàng)建不可變、氣隙隔離的副本。每季度測(cè)試恢復(fù)，不僅要測(cè)試“已完成”的日志，還要測(cè)試實(shí)際的數(shù)據(jù)恢復(fù)。限制恢復(fù)權(quán)限，使其比備份權(quán)限更嚴(yán)格。到處加密所有內(nèi)容。你的備份是你的最后希望;相應(yīng)地對(duì)待它們。

通過維護(hù)贏得韌性

韌性不是通過備忘錄贏得的。它是通過維護(hù)贏得的。

這15項(xiàng)內(nèi)容填補(bǔ)了信號(hào)、身份、配置、信任、云和恢復(fù)方面最常被濫用的銜接處。以下是你的90天行動(dòng)計(jì)劃：

? 前30天：盤點(diǎn)和測(cè)量。檢查NTP偏差，評(píng)估日志覆蓋范圍，映射服務(wù)賬戶，審計(jì)DNS衛(wèi)生情況，發(fā)現(xiàn)影子SaaS并測(cè)試備份恢復(fù)。

? 接下來30天：執(zhí)行基準(zhǔn)。修補(bǔ)固件，加強(qiáng)加密，實(shí)現(xiàn)非生產(chǎn)環(huán)境與生產(chǎn)環(huán)境的對(duì)等，到處部署MDM，實(shí)施云標(biāo)記和生命周期策略。

? 最后30天：驗(yàn)證韌性。運(yùn)行恢復(fù)演練，測(cè)試檢測(cè)效果，審查API合同并建立SBOM治理。

今天就指定領(lǐng)域所有者。跟蹤合規(guī)資產(chǎn)的百分比、固件修補(bǔ)的平均時(shí)間、日志覆蓋率的比率、備份恢復(fù)的成功率以及具有最小權(quán)限范圍的API的百分比。

將這15項(xiàng)內(nèi)容納入你的審計(jì)計(jì)劃和季度關(guān)鍵風(fēng)險(xiǎn)指標(biāo)(KRI)中。在對(duì)手打開它們之前關(guān)閉它們。

乏味的漏洞會(huì)慢慢置你于死地，然后突然發(fā)作，不要讓它們得逞。