韌性在銜接處失效：微小的配置錯誤、被遺忘的默認設置和悄無聲息的偏差，這些雖未引起關注，但在出現(xiàn)問題時卻會擴大破壞范圍。

大多數(shù)安全漏洞并非始于罕見的零日漏洞。它們往往源于一些平凡的缺口：破壞取證的時間偏差、易遭劫持的過期DNS記錄，或是那臺無人記得購買過的打印機。

你已見過這種模式。攻擊者找到你遺忘存在的乏味漏洞，然后利用它來破壞你真正關心的一切。

系統(tǒng)性韌性要求全面填補身份管理、配置、遙測、云服務和恢復方面那些不引人注目的漏洞。這些并非能在會議演講中贏得掌聲的炫酷漏洞，而是會將事件演變成災難的隱形殺手。

今天，我們將討論橫跨六個不重疊領域的15個盲點。沒有重疊，沒有遺漏，只有一個清晰的清單，你可以在攻擊者搶先發(fā)現(xiàn)之前進行分配、測量和修復。

時間與遙測完整性

如果你無法信任時間和日志，你就無法信任檢測、取證或根本原因分析。

服務器時間同步(NTP偏差)

時鐘偏差為攻擊者提供了完美的掩護。當你的服務器對事件發(fā)生的時間存在分歧時，相關性就會消失，取證也就變成了虛構。然而，大多數(shù)組織對待NTP就像對待管道一樣：設置一次就再也不管了。

立即修復：建立一個安全的NTP層級結(jié)構，使用經(jīng)過認證的源。嚴格監(jiān)控時間偏差。在邊界阻止未經(jīng)授權的NTP流量。設置偏差超過100毫秒的警報。你的安全信息與事件管理系統(tǒng)(SIEM)會感謝你，當你的事件響應人員在凌晨3點不追查幽靈信號時，他們也會感謝你。

被忽視的日志記錄缺口

你淹沒在防火墻日志中，卻對真正重要的事情視而不見。沒有端點遙測。沒有云身份和訪問管理(IAM)審計跟蹤。沒有進程創(chuàng)建監(jiān)控。攻擊者喜歡這種不平衡;他們在你看不到的地方活動。

立即定義你的最低遙測基準。每個端點都需要端點檢測與響應(EDR)覆蓋。記錄每個身份操作。捕獲每個云控制平面的變更。集中這些信號，每周驗證其完整性，并實際測試你的檢測是否有效。大多數(shù)組織都沒有這樣做。

在鎖定了可信信號后，控制誰可以操作以及可以操作什么。

身份與邊緣

攻擊者偏愛治理最少的路徑：服務主體、BYOD和無人擁有的設備。

特權服務賬戶

那個擁有域管理員權限且密碼設置于2019年的服務賬戶怎么樣了?攻擊者知道它的存在。非人類身份的增長速度比你管理它們的速度還要快，每個身份都攜帶著靜態(tài)密鑰和過度權限。

明天就開始盤點。將每個服務賬戶映射到一個所有者。嚴格執(zhí)行最小權限原則。每季度輪換密鑰，或轉(zhuǎn)向使用托管身份。盡可能啟用多因素認證(MFA)，是的，即使對于服務賬戶也是如此。持續(xù)監(jiān)控異常行為。這些賬戶不會休假，異常活動意味著已被攻破。

移動設備管理(BYOD泛濫)

BYOD泛濫意味著企業(yè)數(shù)據(jù)存儲在你不控制的個人手機上。一臺被攻破的設備可能導致對電子郵件、文件和聊天的持續(xù)訪問。你的安全邊界現(xiàn)在包括了從亞馬遜或百思買購買的設備。

強制實施移動設備管理(MDM)或移動應用管理(MAM)，沒有例外。根據(jù)設備合規(guī)性配置條件訪問。將工作應用容器化以防止數(shù)據(jù)混合。啟用快速遠程擦除功能，并每季度測試其有效性。當有人離職時，他們的個人手機不應保留你的企業(yè)機密。

不安全的打印機和物聯(lián)網(wǎng)設備

扁平網(wǎng)絡上的默認憑據(jù)是攻擊者最喜歡的組合。那臺會議室里的智能電視自2018年以來就一直在運行Linux系統(tǒng)。打印機的管理員憑據(jù)是admin/admin。兩者都與你的域控制器在同一網(wǎng)絡上。

立即進行網(wǎng)絡分段。更改每個默認憑據(jù)。創(chuàng)建一個固件補丁周期，是的，即使對于打印機也是如此。禁用你不使用的服務(劇透：大部分都是不用的)。監(jiān)控這些設備與關鍵系統(tǒng)之間的東西向流量。當你的打印機開始與你的數(shù)據(jù)庫服務器通信時，你就有問題了。

身份和邊緣得到了控制;現(xiàn)在加固它們運行的基礎。

配置與加密

安靜的配置債務會增加攻擊路徑。加密滯后會招致降級和攔截。

固件與BIOS/UEFI更新

固件位于你的操作系統(tǒng)之下，是持久化的完美選擇。然而，大多數(shù)組織從未對其進行過補丁更新。你的服務器運行著自制造日期以來的BIOS版本，每個版本都攜帶著已知漏洞。

從下個月開始，將固件納入你的補丁服務水平協(xié)議(SLA)中。啟用證明機制以檢測篡改行為。在所有地方配置安全啟動。訂閱供應商的安全警報;固件漏洞在成為武器之前不會成為頭條新聞。

過時的加密協(xié)議

你仍然在為那個遺留應用運行TLS 1.0。SSL 3.0仍然“以防萬一”而啟用。弱密碼仍然存在，因為沒有人想破壞兼容性。攻擊者每天都在利用這種猶豫不決。

這個周末就關閉TLS 1.2以下的所有協(xié)議。僅強制使用現(xiàn)代密碼套件。每月審計證書衛(wèi)生情況;過期的證書和弱密鑰會增加風險。現(xiàn)在就破壞兼容性，否則攻擊者稍后會破壞機密性。

非生產(chǎn)環(huán)境中的不安全默認配置

“這只是開發(fā)環(huán)境”變成了“他們是怎么獲取到生產(chǎn)數(shù)據(jù)的?”弱的非生產(chǎn)設置會泄露到生產(chǎn)環(huán)境中，或在較低環(huán)境中暴露真實數(shù)據(jù)。

在所有環(huán)境中實施黃金鏡像。執(zhí)行策略即代碼以防止偏差。將密鑰存儲在保險庫中，而不是配置文件中。確保非生產(chǎn)環(huán)境的安全性與生產(chǎn)環(huán)境基準相當;攻擊者不會區(qū)分你的環(huán)境。

表面加固后，現(xiàn)在關閉你看不到的外部信任濫用。

DNS與Web信任邊界

信任始于名稱和鏈接。清理它們，否則攻擊者會。

舊的DNS記錄

孤立的子域為即時釣魚基礎設施提供了可能。那個被遺忘的指向已退役服務的CNAME記錄怎么樣了?攻擊者明天就可以聲稱擁有它，并繼承你域名的聲譽。

每月盤點你的整個區(qū)域。為每個記錄標記一個所有者。自動刪除90天內(nèi)未使用的記錄。要求DNS變更需要兩次批準：DNS中的拼寫錯誤會永遠存在。

第三方開放重定向

你的受信任域名通過重定向參數(shù)洗白了惡意鏈接。用戶看到你的URL，并自信地點擊，結(jié)果陷入了困境。

根據(jù)允許列表驗證每個重定向目標。對重定向令牌進行簽名并快速使其過期。監(jiān)控引用日志以查找濫用模式。你的域名聲譽需要數(shù)年時間來建立，但幾分鐘內(nèi)就可以毀掉。

名稱清理后，現(xiàn)在馴服為你的業(yè)務提供動力的云和軟件即服務(SaaS)泛濫。

云與SaaS泛濫

沒有護欄的云速度會滋生看不見的債務：未使用的資產(chǎn)、未知的應用、不安全的合作伙伴關系。

揭示影子SaaS

你以為你沒有影子SaaS?再想想。市場營銷剛剛注冊了一個“免費”的人工智能工具，該工具擁有你的整個客戶數(shù)據(jù)庫。銷售部門將合同上傳到了一個未經(jīng)審核的平臺。數(shù)據(jù)通過瀏覽器標簽離開了你的治理范圍。

部署云訪問安全代理(CASB)或SaaS安全管理平臺(SSPM)進行發(fā)現(xiàn)，你會發(fā)現(xiàn)的應用數(shù)量比預期的多三倍。創(chuàng)建一個比違規(guī)行為更快的引入流程。對數(shù)據(jù)進行分類，并阻止上傳到未經(jīng)批準的應用。在人們找到自己的解決方案之前提供批準的替代方案。

孤立的云資產(chǎn)

包含客戶數(shù)據(jù)的被遺忘的S3存儲桶。具有生產(chǎn)訪問權限的測試實例。前員工的個人項目仍在企業(yè)賬戶上運行。云泛濫和孤立資產(chǎn)創(chuàng)建了一個看不見的攻擊面。

強制要求在創(chuàng)建時進行標記：無標記，無資源。執(zhí)行生命周期策略，在30天后刪除未標記的資源。每周運行攻擊面掃描。自動隔離沒有所有者的資產(chǎn)。你的云賬單和安全狀況都會得到改善。

組織間API信任

具有永久令牌和管理員范圍的合作伙伴API。自實施以來未經(jīng)審查的供應商集成。每個組織間連接都成為攻擊者跨越的橋梁。

在集成之前簽訂安全要求合同。實施相互傳輸層安全性(mTLS)和具有最小權限的OAuth。為每個客戶發(fā)放密鑰，從不共享憑據(jù)。每季度輪換令牌，并監(jiān)控異常模式。信任你的合作伙伴，但驗證他們的安全性。

在表面和提供商得到治理后，保護你的構建鏈和最后一道防線。

軟件供應鏈與恢復準備

上游被攻破或首先破壞備份;任何一條路徑都會造成最大損害。

代碼重用與被遺忘的依賴項

你的應用包含了奧巴馬總統(tǒng)在任時最后一次更新的庫。傳遞依賴隱藏了你從未聽說過的漏洞。每個組件都成為一個攻擊向量。

為你構建的所有內(nèi)容生成軟件物料清單(SBOM)。運行軟件成分分析(SCA)工具，在發(fā)現(xiàn)關鍵問題時中斷構建。固定版本并有意更新。驗證來源并要求簽名工件。你的供應鏈只與其最弱的依賴項一樣強大。

備份的假定安全性

在線、未加密、未測試的備份是勒索軟件的第一個目標。你以為它們能工作，直到你需要它們時才發(fā)現(xiàn)它們不能。

立即實施3-2-1備份策略。創(chuàng)建不可變、氣隙隔離的副本。每季度測試恢復，不僅要測試“已完成”的日志，還要測試實際的數(shù)據(jù)恢復。限制恢復權限，使其比備份權限更嚴格。到處加密所有內(nèi)容。你的備份是你的最后希望;相應地對待它們。

通過維護贏得韌性

韌性不是通過備忘錄贏得的。它是通過維護贏得的。

這15項內(nèi)容填補了信號、身份、配置、信任、云和恢復方面最常被濫用的銜接處。以下是你的90天行動計劃：

? 前30天：盤點和測量。檢查NTP偏差，評估日志覆蓋范圍，映射服務賬戶，審計DNS衛(wèi)生情況，發(fā)現(xiàn)影子SaaS并測試備份恢復。

? 接下來30天：執(zhí)行基準。修補固件，加強加密，實現(xiàn)非生產(chǎn)環(huán)境與生產(chǎn)環(huán)境的對等，到處部署MDM，實施云標記和生命周期策略。

? 最后30天：驗證韌性。運行恢復演練，測試檢測效果，審查API合同并建立SBOM治理。

今天就指定領域所有者。跟蹤合規(guī)資產(chǎn)的百分比、固件修補的平均時間、日志覆蓋率的比率、備份恢復的成功率以及具有最小權限范圍的API的百分比。

將這15項內(nèi)容納入你的審計計劃和季度關鍵風險指標(KRI)中。在對手打開它們之前關閉它們。

乏味的漏洞會慢慢置你于死地，然后突然發(fā)作，不要讓它們得逞。