在网络安全,国家,网络犯罪分子,黑客队员和流氓员工是通常的嫌疑人。它们很好地融入了外部攻击者或内幕威胁等类别。
但我们的基本供应商,合作伙伴和服务提供商呢?
我们依赖他们,有时还邀请他们来帮助管理我们的网络和内部系统。人们很容易忽视它们可能是网络攻击的途径。但是,令人震惊的网络攻击在12月发现了明亮的灯光供应链的脆弱性。
信任可以被利用
随着网络安全与基础设施安全局(CISA)调查仍在继续1月6日“这一活动的初始访问向量之一是供应链妥协。”
简而言之,攻击者突破了一个受欢迎的网络产品,一个组织在全球范围内的信任管理和监控他们的基础设施。他们滥用其更新系统来伪装和提供恶意代码,影响成千上万的客户,包括美国政府机构在内的高价值。
不是新的,但很容易被忽视
梅斯特对供应链风险有充分的认识吗不是一个人。
2018年,他们更新了企业ATT&CK矩阵与信任关系(T1199)和供应链妥协(T1195)提高对这些对抗技术的认识。后者,即供应链妥协(Supply Chain Compromise, T1195),侧重于在客户收到产品之前对产品的操作。乐动 赞助西甲它还涵盖了软件开发环境和产品更新/发布机制。听起来有点像去年12月的网络攻击,不是吗?
后者,可信赖的关系(T1199)也与该攻击相关。吉尔定义它:“对手可能会违反或以其他方式利用可以获得预期受害者的组织。通过信任的第三方关系访问利用现有的连接,这些连接可能不会受到保护或接收的审查,而不是获得对网络访问的标准机制。“在网络防守者的盘子上,仔细审查产品更新系统并不可能是最重要的。
这种攻击仍有很多未知数,但安全课是清楚:必须建立在零信任的受信任关系。无论是我们自己的员工,供应商,合作伙伴或服务提供商......我们根本无法相信任何人。
细分是零信任魔法
在本系列博客中神奇的缓解措施,我们强调了缓解措施作为针对攻击者行为的思考的建议。
对于信任关系(T1199)技术,MITRE推荐使用网络分割(M1030)作为两个缓解之一。另一个是用户帐户控制(M1052),这是一个Windows配置步骤,帮助阻止对手获得提升的进程访问权限。两者都有其神奇之处,但让我们先关注第一个。
网络分割是一个简单的概念网络只承载授权流量。人和设备只能在他们需要的时候到达他们需要的系统,而且他们被明确允许访问。
它的魔力零的信任,最小特权访问,可以控制网络入侵,阻止恶意软件和感染的传播。逻辑分割可以防止被感染的网络管理系统和攻击者的命令和控制基础设施之间的未经授权的通信——而不依赖内部防火墙、vlan、空气间隔或专用管理网络等昂贵的遗留方法。
除了减少信任关系的利用,MITRE说分割也可以防御所有这些对手的技术:
- 账户操作(T1098)
- 创建帐户(T1136)
- 来自配置存储库的数据(T1602)
- 数据操作(T1565)
- 域信任恢复(T1482)
- 基于替代协议的过滤(T1048)
- 开发面向公共的应用程序(T1190)
- 远程服务开发(T1210)
- 中间人(T1557)
- 网络服务扫描(T1046)
- 非应用层协议(T1095)
- 非标准端口(T1571)
- 远程服务会话劫持(T1563)
- 远程服务:远程桌面协议(T1021)
- 服务停止(T1489)
- 软件部署工具(T1072)
还有什么其他安全方法可以解决如此多的威胁载体?
魔法需要一点魔法
好吧,网络分割需要先撒点金粉。
它依赖于政策的钢丝:过于宽松,您的组织仍然处于风险之中。太紧的话,你可能会破坏一些东西,扰乱服务。为关键基础设施部门在美国,正常运行时间是首要任务,这是一个禁忌。
直到最近,很多工作都在寻找合适的平衡。首先,你必须在很长一段时间内监控网络活动,确定它的基线,确定什么是正常的,什么是不正常的,什么是经过授权的,什么是不正常的。然后你要定义细分政策,把它们转换成产品界面,并观察以确保它在做你想要的事情。
之后,你还没有完成。您正在不断调整它们以支持新部署,系统退休和网络上的无数其他更改。它可以是监视器,管理,重新配置的永无止境的循环,重复。
Pixie尘埃和魔法
在思科,我们一直在做网络分割很长一段时间。不,我不是在谈论vlans。我在谈论我们的魔力现代的、可扩展的、可管理的细分。我们的Pixie灰尘是自动化的。
我们提供了深入的可见性来查看和分类网络上的一切。我们分析网络活动,根据您的流量和设备提出细分政策。我们知道微营销以及对应用程序和工作负载的细粒度控制。我们使政策的执行简单而一致,以便您能迅速而有信心地采取行动。最好的部分是什么?我们的解决方案集成作为一个团队一起工作,利用威胁情报迅速调整政策包含新的威胁。
