在网络安全领域,民族国家、网络罪犯、黑客活动分子和流氓员工是常见的嫌疑人。它们很适合外部攻击者或内部威胁等类别。但体育博彩平台推荐的主要供应商、合作伙伴和服务提供商怎么办?体育博彩平台推荐依赖他们,有时还邀请他们来帮助管理体育博彩平台推荐的网络和内部系统。很容易忽视它们作为网络攻击的可能途径。但去年12月发现的这起令人震惊的网络攻击,让供应链的漏洞暴露无遗。
信任可以被利用
随着网络安全和基础设施安全局(CISA)继续调查,他们在1月6日报告说,“这种活动的最初访问媒介之一是供应链妥协。”简而言之,攻击者破坏了一种流行的网络体育博彩平台,一种全球组织信任来管理和监控其基础设施的体育博彩平台。他们滥用其更新系统来伪装和传递恶意代码,影响了数千名客户,包括高价值的美国政府机构。
并不新鲜,但很容易被忽视
MITRE非常清楚供应链风险,而且他们并不孤单。早在2018年,他们就使用可信关系(T1199)和供应链危害(T1195)更新了企业攻击和控制矩阵,以提高对这些攻击技术的认识。后者,供应链妥协(T1195),侧重于在客户收到体育博彩平台之前对体育博彩平台的操纵。它还涵盖了软件开发环境和体育博彩平台更新/分发机制。听起来有点像去年12月的网络攻击,不是吗?后者,可信关系(T1199),也与该攻击有关。MITRE是这样定义的:“攻击者可能会入侵或利用那些可以访问目标受害者的组织。通过受信任的第三方关系进行访问,利用现有的连接,这些连接可能不受保护,或者比获得网络访问的标准机制受到的审查更少。”面对如此多的网络防御者,审查体育博彩平台更新系统可能不是他们的首要任务。这种攻击还有很多未知之处,但安全教训是明确的:可信关系必须建立在零信任的基础上。无论是体育博彩平台推荐自己的员工、供应商、合作伙伴还是服务提供商……体育博彩平台推荐就是不能相信任何人。
分割是零信任的魔法
在这个博客系列“缓解的魔力”中,体育博彩平台推荐强调了缓解是MITRE针对攻击者行为的建议。对于可信关系(T1199)技术,MITRE建议使用网络分段(M1030)作为两种缓解方法之一。另一个是用户帐户控制(M1052),这是一个Windows配置步骤,可以帮助阻止攻击者获得提升的进程访问权限。当然,两者都有魔力,但让体育博彩平台推荐专注于第一个。网络分段是一个简单的概念,其中网络只承载经过授权的流量。人们和设备只能在他们需要的时候访问他们需要的系统,并且他们被明确允许访问。它的神奇之处在于零信任,最低权限访问,可以包含网络漏洞,阻止恶意软件和感染的传播。逻辑分段可以防止受感染的网络管理系统与攻击者的命令和控制基础设施之间进行未经授权的通信,而无需依赖于昂贵的传统方法,如内部防火墙、vlan、气隙或专用管理网络。MITRE表示,除了减轻信任关系漏洞之外,分段还可以防御所有这些攻击技术:
- 帐目操纵(T1098)
- 创建帐户(T1136)
- 来自配置存储库的数据(T1602)
- 数据操作(T1565)
- 域信任恢复(T1482)
- 通过备选协议(T1048)进行泄漏
- 利用面向公众的应用程序(T1190)
- 远程服务的开发(T1210)
- 中间人(T1557)
- 网络服务扫描(T1046)
- 非应用层协议(T1095)
- 非标准端口(T1571)
- 远程服务会话劫持(T1563)
- 远程服务:远程桌面协议(T1021)
- 服务停止(T1489)
- 软件部署工具(T1072)
还有什么其他安全方法可以解决如此多的威胁向量?
魔术需要一点魔力
好吧,网络分割需要先撒点仙尘。它依赖于一条政策绳索:太松,你的组织就会处于危险之中。太紧的话,你可能会弄坏一些东西,影响服务。对于关键的基础设施部门,正常运行时间是首要任务,这是一个禁忌。直到最近,人们做了大量的工作来寻找正确的平衡。首先,你必须长期监控网络活动,建立基线,确定什么是正常的,什么是不正常的,什么是授权的,什么是不授权的。然后你定义细分策略,将其转化为体育博彩平台界面,并观察以确保它正在做你想要的。在那之后,你仍然没有完成。您需要不断调整它们以支持新的部署、系统退役和网络上无数的其他更改。监控、管理、重新配置、重复是一个永无止境的循环。
仙尘和魔法
在思科,体育博彩平台推荐做网络分段已经有很长时间了。不,我说的不是vlan。我说的是体育博彩平台推荐的魔法现代的,可扩展的,可管理的分割. 体育博彩平台推荐的仙尘是自动化。
体育博彩平台推荐提供深度可见性,以查看和分类网络上的所有内容。体育博彩平台推荐分析网络活动,根据您的流量和设备建议分段策略。体育博彩平台推荐知道微营销以及对应用程序和工作负载的粒度控制。体育博彩平台推荐使政策执行简单而一致,以便您可以迅速而有信心地采取行动。最好的部分是什么?体育博彩平台推荐的解决方案集成作为一个团队一起工作,利用威胁情报快速调整策略遏制新的威胁.
