从2021 Microsoft Exchange零日攻击中学习的课程


由丹5月,商业总监拉姆萨克

软件并非没有其漏洞。即使这些缺陷无意中存在,网络犯罪分子也可以有利地利用任何后门或未授权的访问点,这就是为什么程序员分析和“补丁”,这些漏洞。需要紧密地监控软件,并经常监控,以便在违反违约之前管理IT风险。

零日攻击描述在已解决之前对软件问题的开发。这些零天漏洞可能是您业务的弱点,而是犯罪的机会。零日威胁并不罕见。反而,数据表明这种网络犯罪是在2019年占现有恶意软件攻击的一半。然而,最近,家喻户晓的名字微软 成为一个有病毒黑客活动的最新受害者,不仅剥削了一个,但是微软 Exchange Server中的零天漏洞。 

从最近的反对微软攻击中学习,零天漏洞可以教我们关于IT安全风险吗?

了解零日威胁

最终,如果您的公司没有正确的方法或资源,则可以提高您对风险的风险。这研究网络犯罪 很清楚:威胁品种越来越多种多样,复杂,因为记录的案件峰值。

对Microsoft Exchange的攻击是广泛的。截至9. March 2021年,据估计,250k服务器对该袭击的侵害下降,包括属于大约30,000个组织的服务器,英国7,000名服务员 as well as the 欧洲银行权威, 这 挪威议会和智利’S金融市场委员会。 

风险的范围和规模,这增加了类似于昂贵威胁的东西,不能低估。 Microsoft在3月发布了关键安全补丁,但即使使用这些补丁,服务器遭到损害的组织仍然有风险,如果他们未能修复任何对漏洞的开发。 

对Microsoft Exchange的攻击的抵押品损坏不仅仅是捕获Tabloid头条新闻,但已经成为一个剧烈的提醒,并非所有风险都很容易预测或准备。您甚至可能将您的业务视为对黑客没有吸引力的,但所有类型的数据都将具有对糟糕的演员的价值。您的公司是否受到Microsoft Exchange的漏洞的影响,现在是反思您对威胁漏洞管理的理想时刻。

1.预防仍然很重要

虽然零天漏洞很难减轻,所以正是因为它们无法准备好,并且存在快速修复,预防仍然应该激发你的公司如何管理风险和威胁品种。无论威胁类型如何,风险都更有可能发生在没有预防框架的情况下,并且这种缺乏准备甚至更加损害。

漏洞通常被利用以抵消数据。这意味着公司应该关注关键点,包括:

  • 数据在哪里存储?
  • 谁有授权访问(以及为什么)?
  • 数据是如何实现的移动在我的组织中,这连链中有任何较弱的点?

一个常见的虽然违规漏洞的不幸结果是数据被盗。通过了解每种威胁的目标,公司可以开始为更好的风险管理做好准备。提高数据管理和损失,包括违规结果的纠正控制,可以帮助您的公司制定对零漏洞的恢复力的衡量标准。但这需要分层融入每个公司如何计划预防和阻止数据盗窃或损失的风险。

例如,公司可以限制数据的运动,更紧密地引导其流动以避免该链中的弱点。这意味着评估数据在服务器和第三方提供商之间移动的任何点。

2.补丁仍然相关

网络犯罪正在不断发展,其范围包括从间谍到数据被盗的一切。当交换首次被剥削时,称为vlexity的第三方公司首先注意到1月6日的入侵TH. 。三月由微软插上这四种漏洞。尽管在识别违规和响应它之间存在滞后,但该分辨率是常规修补,其中关闭未经授权的访问。

在换货遭到泄露之后,紧急指令调用了两个选项:脱机或更新软件的服务器。修补软件漏洞没有什么新颖的,这已成为IT安全问题的标准实践。一旦这些可用,继续常规修补您的系统并确保它们是最新的。替代方案,例如关闭服务器,可以影响您的操作。不要犯错误,因为网络犯罪变得更加复杂,修补程序感到无关紧要。

3.排练响应计划

如果来自Microsoft Exchange攻击的关键外卖,那么公司应该如何投资安全可靠的风险管理领域– 预防, 检测,回复。微软对软件问题的管理显示的是一种新的方法,而是传统的方法。预防和检测相同,这些领域同样优先考虑风险管理,应告知预期风险。

然而,对您的安全同样至关重要,是您的回应方式。应测量,精确和故意的每个响应。 Microsoft可能在Exchange中具有修补的漏洞,在检测和响应之间滞后后提供。但这些补丁只能纠正未来的入侵,而不是管理来自受感染的Exchange服务器的任何受损数据。在某种程度上,可以外包安全性,但您应该在紧急情况下进行可靠的响应计划。

如果无法预期违规行为,那么您的答复计划应在化合物之前管理威胁,并且数据被泄露或妥协。可能是公司目前缺乏对零日攻击事件的任何准备,或违反其安全性的新威胁。在没有立即修复的情况下,您的业务在面临问题时如何做出反应?它是否脱机需要系统(即使是以牺牲业务为代价)?

尽可能多地排练,准备,并防止威胁,事件会发生。利用现实事件的灵感和计划安全控制围绕实际漏洞而不是想象的人来说更有利于。


丹可能是商业总监拉姆萨克,提供安全的24小时安全外包它支持和IT战略在伦敦和东南部的发展。


Follow 华晨安全杂志on 推特, Facebook, 和linkedin确保您收到最新安全和网络安全新闻和信息的警报。