文章摘要:网络安全负责人面临着越来越大的压力,需要在攻击发生前就将其阻止,而最佳防御措施或许取决于初始阶段所选择的设置。在本文中,尤里・齐贝雷(Yuriy Tsibere)探讨了 “默认拒绝”“强制多因素认证(MFA)”“应用程序围栏(Ringfencing™)” 等默认策略如何消除各类风险。从禁用 Office 宏到阻止服务器出站流量,这些简单却具有战略性的举措能构建一个攻击者难以渗透的坚固环境。无论你是负责终端安全防护,还是监督安全策略的推行,树立 “默认安全” 理念都能降低防护复杂度、缩小攻击面,并帮助你抵御不断演变的威胁。
自 2001 年 “爱虫”(Love Bug)病毒事件以来,网络安全领域已发生翻天覆地的变化。曾经只是令人困扰的安全问题,如今已演变为价值数十亿美元、以盈利为目的的犯罪活动。这种转变要求我们采取主动防御策略 —— 不仅要应对威胁,更要在威胁触及网络前就将其阻断。首席信息安全官(CISO)、IT 管理员和托管服务提供商(MSP)需要的是 “默认阻止攻击” 的解决方案,而非仅在事后检测威胁的工具。尽管 NIST(美国国家标准与技术研究院)、ISO(国际标准化组织)、CIS(互联网安全中心)、HIPAA(美国健康保险流通与责任法案)等行业框架提供了指导,但它们往往缺乏清晰、可操作的步骤来实施有效的安全防护。
对于任何刚担任安全领导职务的人来说,使命都很明确:尽可能阻止攻击、挫败威胁行为者,同时又不引起 IT 团队的抵触。这就需要树立 “默认安全” 理念 —— 通过配置系统,从一开始就阻断风险。正如我常说的,攻击者只需成功一次,而我们必须做到万无一失。
以下将介绍如何通过设置合理的默认配置,消除各类风险。
在所有远程服务中启用多因素认证是基础的安全默认配置,这些服务包括 Office 365、G Suite 等软件即服务(SaaS)平台,以及域名注册商和远程访问工具。即便密码泄露,多因素认证也能阻止未授权访问。需注意,尽量避免使用短信作为多因素认证方式,因为短信存在被拦截的风险。
虽然启用多因素认证可能会给用户操作带来些许不便,但相比数据被盗或财务损失的风险,其安全收益远大于这一点不便。
如今最有效的安全措施之一是应用程序白名单(或称 “允许列表”)。这种方式默认阻断所有程序运行,仅允许已知、已批准的软件启动。如此一来,勒索软件及其他恶意应用在执行前就会被拦截,同时还能阻断 AnyDesk 等 “合法但未授权” 的远程工具 —— 攻击者常通过社会工程学手段试图植入这类工具。
用户仍可通过预先批准的 “安全应用库” 获取所需应用,且可视化工具能轻松追踪所有运行中的程序(包括便携式应用)。
对 Windows 及其他平台的默认设置进行细微调整,就能填补重大安全漏洞:
- 禁用 Office 宏:只需五分钟操作,就能阻断勒索软件最常用的攻击向量之一。
- 使用带密码保护的屏幕保护程序:短暂离开后自动锁定屏幕,防止他人窥探设备内容。
- 禁用 SMBv1 协议:这一老旧协议已过时,且曾被用于 “永恒之蓝”(WannaCry)等重大攻击事件,如今大多数系统已不再需要该协议。
- 关闭 Windows 键盘记录器:该功能实用价值极低,若保持开启可能构成安全风险。
- 移除本地管理员权限:大多数恶意软件无需管理员权限即可运行,而移除该权限能防止用户篡改安全设置,甚至避免用户安装恶意软件。
- 关闭未使用端口并限制出站流量:
- 除非绝对必要,否则关闭 SMB(服务器消息块)和 RDP(远程桌面协议)端口,且仅允许可信来源访问这些端口。
- 禁止服务器连接互联网(除非有明确需求),这有助于防范 “太阳风”(SolarWinds)这类供应链攻击。
- 管控应用程序行为:ThreatLocker Ringfencing™等工具能阻止应用程序执行可疑操作 —— 例如阻止 Word 启动 PowerShell(此类攻击手段真实存在)。
- 加强虚拟专用网络(VPN)安全:若无需使用 VPN,就将其关闭;若必须使用,则限制仅特定 IP 地址可访问,并管控用户的访问范围。
- 默认阻断 USB 设备:USB 设备是恶意软件传播的常见途径,仅在必要时允许使用经过安全管理、加密的 USB 设备。
- 限制文件访问权限:应用程序不应随意访问用户文件,仅在确有必要时才授予访问权限。
- 过滤未批准工具:阻断未经审核的随机 SaaS 或云应用,用户若有需求可提交访问申请。
- 追踪文件操作:监控用户在设备及云端对文件的操作,这是发现可疑行为的关键。
完善的默认配置只是起点,持续的警惕至关重要:
- 定期补丁更新:大多数攻击利用的是已知漏洞,需确保所有程序(包括便携式应用)均保持最新版本。
- 自动化威胁检测:端点检测与响应(EDR)工具虽功能强大,但如果无人 24 小时监控警报,威胁仍可能溜走。托管检测与响应(MDR)服务能快速响应威胁,即便在非工作时间也不例外。
“默认安全” 不仅是明智之举,更是必不可少的要求。阻断未知应用、采用强认证方式、锁定网络与应用程序行为,能大幅降低风险。攻击者只需一次机会,但完善的默认配置能让防御始终处于戒备状态。最终的回报是什么?更少的安全漏洞、更低的维护成本,以及更强大、更具韧性的安全体系。
注:本文由 ThreatLocker 公司产品经理兼业务分析师尤里・齐贝雷(Yuriy Tsibere)专业撰写并供稿。
版权声明·<<<---红客联盟--->>>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
