在实践中，事件响应团队会反复遇到相同的弱点。它们是什么以及如何解决？

加密文件和包含赎金票据的文本文件清楚地表明公司已成为网络攻击的受害者。但这只是一长串攻击的结束。肇事者通常会在数周或数月内不受阻碍地在网络中移动，而不会被注意到。IT 取证分析还表明，使用基本和简单的安全措施，许多攻击可以在加密之前就被中断。这 10 个问题使威胁行为者更容易进行此类攻击。

1. 未修补的安全漏洞

问题：近年来，网络犯罪分子直接利用的应用程序或作系统中反复出现安全漏洞。特别是使用 Fortinet、Citrix 或 Microsoft 系统的公司，可以告诉您一两件事。许多公司甚至没有及时修补关键漏洞。所谓的零日漏洞利用特别危险。这些漏洞通常对制造商来说是未知的，因此一开始没有可用的补丁。但是，系统的漏洞本身并不会直接导致妥协。

解决方案：密切监控以及早发现异常是快速遏制更严重恶意活动的好方法。此外，负责人员应建立补丁流程并建立良好的资产管理。这为您提供了系统环境和相应补丁状态的概览。不可修补或过时的系统应单独运行。例如，由于技术原因，医院使用许多基于过时作系统的医疗设备。不得允许这些与网络的其余部分通信，当然也不允许从 Internet 访问。

2. 网关：弱口令

问题：弱密码反复使网络犯罪分子更容易访问公司网络。6 个字符的域管理员密码或仅 2 个字符的本地管理员密码对犯罪者来说没有障碍。很明显，这个问题在实践中经常被忽视，即使对安全密码的要求应该早已广为人知。

解决方案：需要严格的密码策略才能使威胁行为者更难获得访问权限。BSI 提供了有关安全密码的提示。所有也可以通过 Internet 访问的接入点都应该额外使用多因素身份验证进行保护。这尤其包括 VPN 访问。随着用户数量的增加，一个或多个人使用弱密码或重复使用密码的可能性也会增加。难以控制的用户组的一个很好的例子是大学和学院。

3. 无账户权限管理

问题：攻击者组通常不费吹灰之力就能成功地在网络中获得更高的访问权限。一种流行的方法是使用被盗用的本地管理员账户从工作内存中读取缓存的密码哈希值，因为每次用户登录时都会缓存密码哈希值。这适用于使用用户或管理员帐户以及服务帐户登录。通常，密码哈希可以直接使用，而无需知道实际密码以他人身份登录。专家将此称为“传递哈希”攻击。

当具有特定于域的管理员权限的管理员为方便起见登录到简单的 PC 时（通常情况是这样），此高权限登录名会在本地缓存，很容易落入网络团伙的手中。

解决方案：为了最大限度地降低此类风险，需要账户分离。Microsoft 在其分层模型中描述了一个很好的示例。这背后的想法是将系统划分为不同的级别（层），并为每个级别使用单独的管理员帐户。这种方法可以防止攻击者在入侵较低级别时获得对更高级别系统的访问权限。因此，他们不能简单地扩展其权限来访问基础设施的敏感部分。

4. 网络分段？没有的事！

问题：许多公司仍然使用大型扁平网络，或者忘记了网络分段只有在过渡受到监管的情况下才能提供安全优势。否则，如果网络犯罪分子可以在整个网络中迅速传播，责任人也不应该感到惊讶。

解决方案：通过精心设计的网络分段，可以为难以克服的威胁行为者设置重大障碍。公司应严格分离服务器和客户端网络，并且只允许明确必要的连接。同样重要的是运营技术 （OT） 和 IT 的分离。例如，生产和控制系统在纯粹的办公网络中没有立足之地。拥有关键基础设施的公司（如市政公用事业）必须确保无法访问。此外，还可以实施管理网络等快速致胜功能。在这里，仅授予管理帐户访问权限，每个帐户都通过具有第二个因素的 VPN 进行保护。这提供了高级别的安全性，而不会干扰普通用户的日常工作。

5. 备份不足

问题：当涉及到数据丢失时，有备份是不够的。它还必须是可恢复的。更重要的是，网络犯罪分子专门搜索备份以删除或加密它们。这增加了公司支付赎金的压力。

解决方案：备份应始终与网络和 Internet 断开连接。这意味着没有连接到 Active Directory 和单独隔离网段中的存储，因此它们在勒索软件攻击后可以使用。一次又一次，犯罪集团在找不到或无法访问备份服务器时放弃攻击。这意味着他们失去了执行其要求所需的杠杆。同时，他们搜索备份的时间越长，公司检测攻击的时间就越多。

因此，一个好的备份策略还包括安全存储的所有信息的离线副本。“3-2-1 原则”已被证明是数据备份的最佳实践。根据这个原则，创建了三个独立的备份副本，其中两个存储在不同的媒体上（例如，硬盘和LTO磁带），另一个存储在异地。此外，负责人应定期测试备份的功能和恢复情况。

顺便说一句，如果备份受密码保护，但密码存储在已由犯罪者加密的密码管理器中，则事情会变得困难。

6. IT 员工超负荷工作

问题：在许多公司中，“IT”必须处理所有任务是司空见惯的，从用户支持和安装打印机驱动程序到网络管理。而且还要维护和照顾服务器环境和 IT 安全。这通常与其他任务一起运行，在最坏的情况下，它也是一项法规要求。这使得缺乏技术专长和时间资源来执行基本和战略任务，例如设置设计良好的网络基础设施。

解决方案：经验表明，中型公司中大约 5% 的员工应该从事 IT 工作。此外，公司需要自己的 IT 安全人员;否则，IT 安全将在日常业务中被忽视，并带来致命的后果。重要的是要注意，有竞争力的薪酬是争夺技术工人的关键因素。

7. 糟糕的 IT 服务提供商

问题：许多公司将全部或部分 IT 外包，以弥补熟练工人的缺乏。然而，当涉及到服务提供商的技能和专业知识时，魔鬼就在细节中。

解决方案：一个好的 IT 服务提供商可以用您公司缺乏的专业知识来支持您自己的 IT 部门。但是，在选择 IT 安全服务提供商时，需要考虑一些事项。做出选择时的重要标准包括服务级别协议，包括服务提供商的响应时间。在紧急情况下，时间是一个关键因素。如果您已与您的服务提供商达成协议，全年每周 7 天提供 24 小时监控，例如，作为托管扩展检测和响应 （MXDR） 服务的一部分，您还应该在自己的公司指定全天候可用的联系人。如果服务提供商在晚上 10 点报告了安全事件，但没有人可以响应，这对任何人都没有帮助。

此外，应定期检查整个 IT 基础设施，例如进行渗透测试。此类测试还应包括 IT 服务提供商提供的 IT 基础设施。联合应急演习可以提供有关 IT 安全能力的信息。报告链和应急流程也可以通过这种方式进行实践和测试。

8. 缺乏安全监控

问题：大多数事件可以更早地被发现，从而停止。但是，来自所用安全解决方案的消息被忽视，迷失在不相关的消息洪流中，或者由于缺乏专业知识而被误解。因此，IT 取证分析师反复发现非常明确的警告信息，这些信息被忽略（有意识或无意识）或误解。

解决方案：如果您想避免这种情况，您需要为 IT 安全分配专门的人员。如果您不能或不想自己执行此作，则应考虑托管安全服务，例如安全运营中心。但是，这里有一个方面很重要：报告链。需要一个流畅的报告流程，以便托管安全解决方案能够完全有效。

9. 技术债务 – 过时的系统作为网关

问题：技术债务通常也是缺乏人员的结果。不幸的是，公共管理部门提供了一个典型的例子。在这里，我们反复发现明显过时的 IT 基础设施。但是，优先级设置不正确也会导致这种情况。

解决方案：负责者不应只关注新系统或安全产品作为解决方案，还应定期解决技术债务问题。当时间和资源稀缺时，这通常是首先被忽视的事情，但它也是对网络犯罪分子的邀请。

10. 紧急情况下的紧急模式

问题：在发现严重的网络攻击后，许多公司往往会感到恐慌。员工和管理层疯狂行动，但几乎没有采取任何有效的措施。重要的决定和工作被延迟，这增加了损害。这种现象被亲切地称为“无头鸡模式”。

解决方案：来自事件响应团队的经验丰富的专家提供冷静和结构化。只有这样，大家才能共同努力解决问题，让系统重新启动并运行。应急计划是必不可少的。这应该可以提前离线使用，并且在加密服务器上无法访问。该应急计划专门规定了紧急情况的责任和程序。谁做出哪些决定，谁通知员工、客户或利益相关者，以及谁与调查机构交谈？否则，公司将浪费宝贵的时间讨论责任。

另一点：系统优先级。换句话说，需要先检查哪个系统并重新启动的问题。我的基础设施需要哪些系统才能再次运行？哪些系统是业务关键型系统，以便支付工资或保持生产运行？

当然，它也有助于在您的快速拨号上节省一个好的内部响应服务提供商。如果您首先必须通过 BSI 的合格服务提供商名单致电，则需要更长的时间，而且您并不总是能找到最合格的服务提供商。理想情况下，负责人已经与专家建立了联系，甚至签订了事件响应聘用协议。这使公司可以确定他们的案件将立即得到处理。

任何公司都不应该依赖希望的原则。网络犯罪分子迟早会进入公司的网络。但是，如果您遵守并实施上述十点，您将拥有许多工具可供您使用，可以在早期阶段检测攻击企图并启动对策。理想情况下，这些措施将非常有效，以至于犯罪团伙会尽早放弃攻击，或者会迅速被发现。

阅读原文：原文链接