黑天鹅事件指的是一些发生频率低但是影响程度大，并且无法进行预测的事件。无论你是否认为它们是网络黑天鹅事件，SolarWinds 和 Log4Shell 攻击事件都强调了组织可以用来预防危机的一些方式。

以下是关于预防此类事件的三个常见的误解。

误解一：对于零日攻击，我们无能为力

最常见的误解之一就是：由于零日漏洞和供应链攻击过于隐秘并且无法预测，所以保护环境免受这两类攻击的危害是不可能的。在积极的方面，该误解可以促使人们在增强检测和响应能力方面投入更多的努力。而在消极方面，它会使人们在处理此类事件时产生一种无助感。

与这些普遍的看法相反，此类事件并非“未知的未知数”。组织可以通过战略性地部署和改进他们的防御并经常性地使用现有的团队和安全栈，在一定程度上抵御此类攻击。一些简单但具有代表性的例子就是：防止服务器的互联网流量流出。尽管这听上去像是一种基本的安全实践，但事实上，即使是相对成熟的组织也没有将其完全实现的。

阻止服务器接触到互联网，可以抵御那些基于服务端的，通过连接攻击者命令从而控制基础设施的攻击（或是大大减缓攻击者的速度）。此类攻击通常是通过反弹shell、以及SolarWinds这样的第三方供应链中的恶意代码、或者类似Log4Shell的漏洞来实现。

这让我们意识到：即使是最基础的安全控制也可以阻止SolarWinds供应链攻击（近年来最复杂的攻击之一）并缓解 Log4Shell漏洞（最近发现的最普遍且破坏最大的漏洞之一）

调查和学习最近发生的入侵和漏洞利用事件中常用的策略、技术和过程，可以为组织提供给有价值的见解，帮助组织了解关于如何改进防御和设置防御的优先级，以减少未来漏洞被利用的可能性。

误解2： 一旦攻击者渗透到环境中，他们就会将环境完全摧毁

另一个误解是这些新型的漏洞一定可以让攻击者进行更进一步的破坏，而不仅仅是渗透到外围。实施有针对性的安全优化，可以使环境对横向移动和特权升级技术更具弹性，从而抵御攻击者，使其无法利用最初的立足点来访问核心资产。该方法也使组织有更多的时间来在攻击的早期对其进行检测和消除。

• 横向移动：微分割是一项艰巨的任务。许多组织在实施此类项目时会显得拖沓，这是因为他们需要对所有的内部流量进行映射、创建端口和主机的细粒度允许列表、购买昂贵的解决方案，并在部署和维护此类环境中投资关键资源。然而微分割许多优点的实现可以不用那么繁琐。

通过在服务器和工作站上使用基于主机的防火墙策略来限制交互式（如RDP, SSH）和非交互式（如SMB, WinRM, RPC）管理协议上的进入流量，然后将管理流量限制到特定的专用网段或者jumpbox上，就可以帮助实现微分割提供的核心价值。

虽然有时出于操作或应用目的，需要通过非交互式管理协议向服务器传输流量。但在许多情况下，不同工作站之间或DMZ区的服务器之间并不需要这种流量。首先采用重点拒绝列表方法可以立即降低风险，直到在网络中横向移动变得非常困难。

• 特权升级: 凭证安全和防止特权升级是降低网络中实际攻击风险的主要挑战之一。然而，与上面采取的方法类似，侧重于从现实世界对已知和常见TTP的利用中得出高价值的措施可以为防卫者提供重要价值。

为了实现这一点，需要不断地搜索公开的明文凭证，为服务账户设置长且复杂的密码，避免在日常活动中使用域管理账户，并充分利用内置的微软安全功能，例如Protected Users、LAPS、 LSA Protection以及 Credential Guard.

凭证安全问题是Sygnia在近几年遭受的每一次攻击中的主要促成因素。2022年，所有的安全图谱都应该将特权身份安全放在最首要的位置。

误解3: 打补丁是解决新漏洞的唯一方法

通常情况下，每当发现一个新漏洞，大部分顾问的首要（有时是唯一的）建议就是打补丁。好像打补丁是组织控制风险的唯一办法一样。打补丁是重要的，但是大型企业需要花费时间来充分了解其暴露的缺陷，从而在生产环境中应用补丁。偶尔，由于重视或者系统和程序的辅助，打完补丁的随后几天，安全行业便会发现的新的漏洞。打补丁并非可以弥补所有的缺陷。响应此类事件时，了解攻击的执行方式及其依赖的条件是不可或缺的。这可能是缓解脆弱性的唯一变通方法，有时也会是组织的救命稻草。

充分利用并优化安全栈

与常见的看法不同，组织是可以预防或缓解诸如 Log4Shell等新漏洞或SolarWinds等高度复杂的攻击所带来的的影响的。这需要组织通过充分利用并优化他们现有的安全栈、实施精准强化措施并使用那些无需额外花销即可轻松开启的内置安全功能来实现。

来源:数世咨询