十大企业网络安全误区自查清单

2021年7月19日作者：GoUpSec

近日，Sophos Rapid Response快速响应团队编制了一份安全误区清单，列出了他们在过去12个月中调查和缓解各种企业网络攻击时最常见的安全误区，GoUpSec对其进行了整理，归纳出十大企业网络安全误区自查清单。

误区一：企业规模小，或者没有对攻击者有价值的资产，所以不会是攻击目标

许多网络攻击的受害者都认为他们规模太小，处于一个缺乏可吸引对手的有利可图的资产领域。事实是，这并不重要：如果您拥有处理能力和数字资产，那么您就是目标。大多数袭击并非由先进的国家黑客实施的，而是由机会主义者发起的，他们寻找容易的猎物和低垂的果实，例如存在网络犯罪分子很容易利用的安全漏洞或配置错误的组织。

如果企业认为自己不是目标，则往往不能主动检测寻找网络上的可疑活动，例如域控制器上出现Mimikatz（允许用户查看和保存身份验证凭据的开源应用程序），因此会错过发现攻击的早期迹象。

误区二：我们不需要每个地方都安装先进的安全技术

一些IT团队仍然认为端点安全软件足以阻止所有威胁或不需要服务器安全。攻击者则充分利用了安全团队的这种误解。配置、修补或保护方面的任何错误都会使服务器成为主要目标，而不是过去的次要目标。

能够绕过或禁用端点软件并逃避IT安全团队检测的攻击技术列表与日俱增。例如：利用社会工程和多个脆弱点进入的由人类操作的攻击；大量压缩和混淆的恶意代码直接注入内存；“无文件”恶意软件攻击，例如反射DLL（动态链接库）加载；使用合法的远程访问代理（例如Cobalt Strike）以及日常的IT管理工具和技术进行攻击。基本的防病毒技术将难以检测和阻止此类活动。

同样，认为受保护的端点可以阻止入侵者进入不受保护的服务器的假设也是一个错误。根据Sophos RapidResponse的安全事件调查，服务器现在是首要攻击目标，攻击者可以使用窃取的访问凭证轻松找到直接路由。大多数攻击者还知道利用Linux机器的方式。事实上，攻击者经常侵入Linux机器并在其中安装后门，以将其用作避风港并保持对目标网络的访问。

如果您的组织仅依赖基础安全措施，而没有更先进的集成工具，例如基于行为和AI的检测以及24×7以人为主导的安全运营中心，那么入侵者最终可能会找到绕过您的防御。

最后，始终记住，虽然预防是理想的，但检测是必须的。

误区三：企业自认为制定了可靠的安全策略

为应用程序和用户制定安全策略至关重要。但是，随着新特性和功能添加联网设备，它们需要不断的安全检查和更新。企业需要定期使用渗透测试、桌面练习和灾难恢复计划试运行等技术验证和测试策略。

误区四：远程桌面协议服务器可以通过更改所在的端口并引入多因素身份验证来保护它们免受攻击者的攻击

RDP服务使用的标准端口是3389，所以大多数攻击者会扫描这个端口来寻找开放的远程访问服务器。然而，扫描将识别任何开放的服务，无论它们在哪个端口上，因此更改端口本身并不能提供太多保护。

此外，虽然引入多因素身份验证很重要，但除非对所有员工和设备强制执行该策略，否则它不会增强安全性。RDP活动应该在虚拟专用网络 (VPN) 的保护边界内进行，但如果攻击者已经在网络中立足，VPN也无法完全保护组织。理想情况下，除非必要，否则IT安全应该限制或禁止在内部和外部使用RDP。

误区五：屏蔽来自俄罗斯和朝鲜等高风险地区的IP地址可以保护我们免受来自这些地区的攻击

阻止来自特定区域的IP不太可能造成任何伤害，但如果您仅依靠它来进行保护，则可能会产生虚假的安全感。攻击者在许多国家/地区托管其恶意基础设施，热点攻击源包括美国、荷兰和欧洲其他地区。

误区六：数据备份可以抵御勒索软件的威胁

保持文档的最新备份对业务至关重要。但是，如果您的备份连接到网络，那么它们也在攻击者的范围内，并且容易在勒索软件攻击中被加密、删除或禁用。

值得注意的是，限制可以访问您的备份的人数可能不会显著提高安全性，因为攻击者会花时间在您的网络中寻找这些人及其访问凭据。