在我們面對網(wǎng)絡安全時，遇到的單位多了，自然會發(fā)現(xiàn)很多人的安全意識存在高下之分，這些認知的偏執(zhí)最終形成一個個安全認知的誤區(qū)。然而，這些安全認知誤區(qū)，是世界性的通病。美國有，英國有，中國也有。這次我們借鑒英國安全企業(yè)總結，修改如下。希望我們的企事業(yè)單位的網(wǎng)絡安全負責者、運行者能夠查漏補缺，加強自身網(wǎng)絡安全防護。

[[442692]]

誤區(qū) 一：我們不是目標;我們太小和/或沒有有價值的資產(chǎn)

許多網(wǎng)絡攻擊受害者認為他們規(guī)模太小了，黑客對他們的領域沒有興趣或缺乏可以吸引黑客的豐厚的資產(chǎn)。

事實上規(guī)模大小并不重要：如果擁有數(shù)據(jù)處理能力和數(shù)據(jù)存在，那么你的組織就是目標。大多數(shù)攻擊不是先進的民族國家攻擊者實施的，而是由機會主義者發(fā)起的，他們尋找容易下手的獵物，就是那些存在黑客很容易利用的安全漏洞或配置錯誤的組織。

如果從安全意識上認為自己的組織不是黑客攻擊目標，更不能可能主動尋找網(wǎng)絡上的可疑活動，那么自然會錯過發(fā)現(xiàn)早期攻擊跡象的絕佳機會。例如 域控制器上是否存在 Mimikatz (一種允許用戶查看和保存身份驗證憑據(jù)的開源應用程序)。

誤區(qū) 二：我們不需要先進的安全技術

一些IT團隊仍然認為，端點安全軟件無法阻止各種威脅，他們不需要為服務器的安全，采取終端防護措施。黑客則樂意充分利用這些假設。 把服務器配置、修補或保護方面的任何錯誤作為主要目標。

試圖繞過或禁用端點軟件并避免被 IT 安全團隊檢測的攻擊技術與日俱增。包括利用社會工程學和多個脆弱點的攻擊;大量壓縮和混淆的惡意代碼直接注入內(nèi)存;“無文件”惡意軟件攻擊，例如反射 DLL(動態(tài)鏈接庫)加載;使用合法的遠程訪問代理(如 Cobalt Strike)以及利用日常 IT 管理工具和技術進行攻擊?；镜姆啦《炯夹g將難以檢測和阻止此類活動。

同樣單一的認為端點防護可以防止入侵者攻擊未受保護的服務器的假設也是錯誤的。服務器現(xiàn)在是第一攻擊目標，攻擊者可以使用被盜的訪問憑據(jù)輕松找到。大多數(shù)攻擊者也知道如何繞過 Linux 機器。事實上，攻擊者經(jīng)常侵入 Linux 機器并在其中安裝后門，將其用作避風港并保持對目標網(wǎng)絡的持續(xù)訪問。

如果組織僅依賴基本安全，沒有更先進的集成工具，例如基于行為和 AI 的檢測以及 24/7 以人為主導的安全運營中心，那么入侵者遲早會找到繞過防御的方法。

謹記：雖然預防是理想的，但檢測是必須的。

誤區(qū) 三：我們安全政策很健全

為應用程序和用戶制定安全策略至關重要。隨著新特性和功能添加連接到網(wǎng)絡的設備不斷增多，設備需要不斷檢查和更新。使用滲透測試、桌面演練和災難恢復計劃試運行等技術驗證和測試策略。

誤區(qū) 四：RDP協(xié)議服務器修改端口引入多因素身份驗證 (MFA) 可免受攻擊

RDP服務使用的標準端口是3389，所以大多數(shù)攻擊者會掃描這個端口來尋找開放的遠程訪問服務器。更改端口本身提供很少或根本沒有保護，掃描將能識別任何端口上開放的服務，無論它們在哪個端口上。

雖然引入多因素身份驗證很重要，但除非對所有人員和設備強制執(zhí)行該策略，否則不會增強安全性。RDP 活動應該在虛擬專用網(wǎng)絡 (VPN) 的保護邊界內(nèi)進行，如果攻擊者已經(jīng)在網(wǎng)絡中立足，即使這樣也無法完全保護組織網(wǎng)絡安全。理想情況下，非必要情況下，應限制或禁止在內(nèi)部和外部使用 RDP 。

誤區(qū) 五：屏蔽來自高風險地區(qū)的 IP 地址可以免受來自這些地區(qū)的攻擊

阻止來自特定區(qū)域的IP感覺能夠避免造成任何傷害，這是可能是虛假的安全感。攻擊者可以在許多國家/地區(qū)托管其惡意基礎設施，包括被攻擊國家也可能也設置托管其惡意基礎設施。

誤區(qū) 六：備份可以抵御勒索軟件

保持文檔的最新備份對業(yè)務至關重要。但是，如果備份連接到網(wǎng)絡，那么也在攻擊者的范圍內(nèi)，也容易在勒索軟件攻擊中被加密、刪除或禁用。

限制可以訪問備份的人數(shù)，可能不會顯著提高安全性，因為攻擊者會花時間在網(wǎng)絡中尋找這些人及其訪問憑據(jù)。

在云中存儲備份也需要小心，美國安全廠商舉了一個例子：攻擊者通過被黑的IT管理員帳戶向云服務提供商發(fā)送電子郵件，要求他們刪除所有備份，供應商答應了。

勒索軟件攻擊后恢復數(shù)據(jù)和系統(tǒng)的安全備份的標準公式是 3:2:1：所有內(nèi)容保存三個副本，使用兩個不同的系統(tǒng)，其中一個處于離線狀態(tài)。

最后要注意的是：離線備份不會保護信息免受基于勒索軟件的攻擊，勒索軟件攻擊新發(fā)展是黑客會竊取并威脅要發(fā)布數(shù)據(jù)，而不僅僅是加密數(shù)據(jù)。

誤區(qū) 七：員工了解安全

網(wǎng)絡釣魚電子郵件等社會工程策略變得越來越難以發(fā)現(xiàn)。釣魚郵件信息通常是手工制作的、寫得準確、有說服力和針對性的。員工需要知道如何發(fā)現(xiàn)可疑郵件以及收到郵件后該怎么做。他們應能夠知道通知誰以便其他員工保持警惕。

誤區(qū) 八：應急響應團隊可以在勒索軟件攻擊后恢復數(shù)據(jù)

勒索加密技術和過程不斷改進，大多數(shù)現(xiàn)代勒索軟件也會刪除 Windows Volume Shadow Copies 等自動備份，并覆蓋存儲在磁盤上的原始數(shù)據(jù)，使除了支付贖金之外無法恢復，應急團隊也無能為力。

誤區(qū) 九：支付贖金將在勒索軟件攻擊后取回數(shù)據(jù)

根據(jù) 2021 年勒索軟件狀況調(diào)查，支付贖金的組織平均可以恢復約三分之二 (65%) 的數(shù)據(jù)，只有 8% 的人恢復了所有數(shù)據(jù)，29% 的人恢復了不到一半。支付贖金也不是最佳解決方案。

在大多數(shù)情況下恢復數(shù)據(jù)只是恢復過程的一部分，勒索軟件會完全禁用計算機，并且需要從頭開始重裝軟件和系統(tǒng)，然后才能恢復數(shù)據(jù)。2021 年的調(diào)查發(fā)現(xiàn)，回收成本平均是贖金需求的十倍。

誤區(qū) 十：勒索軟件的發(fā)布是一次性攻擊

在發(fā)布勒索軟件、探索、禁用或刪除備份、查找具有高價值信息的機器或應用程序以進行加密、刪除信息和安裝額外的有效載荷(例如后門)之前，攻擊者可能已經(jīng)在網(wǎng)絡中停留數(shù)天甚至數(shù)周，保持在受害者網(wǎng)絡中的存在允許攻擊者根據(jù)需要發(fā)起第二次攻擊。 本文根據(jù)英國安全公司Sophos文章整理，部分有刪減