2021年网络安全事件给我们上的“那些课”

2022年伊始，你是不是又被各种预测刷屏了？不过，我更倾向于回顾过去一年发生的安全问题，以便从中吸取所有必要的经验教训。

SolarWinds攻击：了解供应商的安全状况很有必要

虽然SolarWinds软件供应链攻击事件已经过去一年，但我们仍在努力充分了解此类攻击的潜在破坏性。在此事件中，攻击者是十分隐秘的，最终被发现也只是因为受影响的公司之一 FireEye具有监控和检测入侵的超凡能力。

你也许想过：面对这种情况，我的公司是否有工具和资源来了解此类攻击是否正在发生？对此，我的猜测是，你不仅不会意识到存在入侵行为，甚至你们中的许多人并不具备这么做的能力和资源。根据微软的说法，攻击者能够“伪造SAML令牌来模拟组织的任何现有用户和帐户，包括高特权帐户。

这件事情为我们敲响了警钟：让我们重新考虑所装软件的来源，以及重新审视对供应商及其安全流程的信任度，更不用说我们自己的安全流程了！

经验教训：与您的软件供应商一起审查他们的安全流程。寻找异常行为，尤其是在高特权帐户中。查看将凭据添加到可以执行诸如mail.read或mail.readwrite之类的操作的进程。此外，您还需要阻止网络外围防火墙中的已知C2端点。

Exchange Server攻击：保护遗留系统

2021年3月，又发生了一次极具破坏性的攻击——攻击者使用零日漏洞直接攻击本地安装的Exchange服务器。微软最初表示这些攻击是有针对性的，但后来发现这些攻击更为广泛。微软还发现许多邮件服务器严重过时，很难让它们实现快速更新。微软必须为这些遗留平台准备补丁，才能确保客户安全。

2021年4月，美国司法部还针对此事宣布了一项法院授权的行动，该行动将授权FBI从美国数百台用于提供企业级电子邮件服务的Microsoft Exchange服务器中，先收集大量被攻陷的服务器，再将这些服务器上的WebShell进行拷贝，然后再删除服务器上的恶意WebShell。

经验教训：确保任何遗留服务器都受到保护。特别是本地Exchange服务器，它们更易成为目标。确保分配适当的资源来修补这些遗留系统。电子邮件是网络的关键“入口点”，一方面是攻击者可以通过电子邮件实施网络钓鱼攻击，另一方面是攻击者了解修补这些遗留服务器的难度。

此外，不要完全依赖供应商提供的威胁和风险评估。微软最初表示，这些攻击是有限的和有针对性的，但实际上它们的范围要广得多，甚至会影响到小公司。

PrintNightmare：保持打印机更新

2021年7月，Microsoft针对名为PrintNightmare的漏洞发布了带外更新。根据微软安全公告称，“当 Windows Print Spooler 服务不正确地执行提权文件操作时会触发远程代码执行漏洞。成功利用该漏洞的攻击者可以系统权限运行任意代码，安装程序；查看、更改或删除数据；或以完整的用户权限创建新账户。“

对于网络管理员来说，这个PrintNightmare已经变成了打印管理的噩梦。Print Spooler软件是老旧的NT时代代码，许多人曾敦促微软完全重写，但这会对第三方打印供应商造成重大破坏。虽说疫情大流行已经将我们从面对面打印过渡到远程打印流程，但即便是PDF打印机也需要依赖Print Spooler来部署和打印为PDF。

时至今日，安全研究人员仍在追踪当时发布的多个Print Spooler相关补丁的后续影响。去年12月底发布的可选更新中包含对几个打印相关问题的修复。它修复了当连接到Windows打印服务器上共享的远程打印机时，Windows打印客户端可能会遇到的一些错误问题：

0x000006e4 (RPC_S_CANNOT_SUPPORT)

0x0000007c (ERROR_INVALID_LEVEL)

0x00000709 (ERROR_INVALID_PRINTER_NAME)

不过，考虑到这些更新的破坏性副作用，一些网络管理员选择不打补丁。

经验教训：即使在大流行中，我们仍然需要打印服务。每当更新包含针对print spooler服务的修复程序时，您必须在更新之前分配适当的资源进行测试。您可以使用PatchManagement.org或reddit上的Sysadmin论坛等第三方资源，来监控您可能需要实施的解决方案，而不是选择让您的公司完全不受保护。print spooler服务只需在必须启用打印的设备和服务器上运行，其他应该禁用。

勒索软件：阻止RPC和SMB通信

进入2022年，勒索软件仍将是主要网络安全风险。它现在已被纳入网络保险政策，美国政府也已组织专家组为企业提供更多保护、信息和指导以应对这种风险。

经验教训：使用本地和网络防火墙来阻止RPC和SMB通信，这将限制横向移动以及其他攻击活动。接下来，开启防篡改功能，防止攻击者停止安全服务。然后强制执行强大、随机的本地管理员密码。此外，还建议您使用本地管理员密码解决方案（LAPS）来确保您拥有随机密码。

监控事件日志的清除。 具体来说，Windows会在发生这种情况时生成安全事件ID 1102。 然后，您需要确保面向Internet的资产拥有最新的安全更新。定期审计这些资产是否存在可疑活动。最后，确定高特权帐户的登录情况以及处于暴露状态的凭据。工作站上不应存在高特权帐户。