|
“链条的坚固程度取决于最薄弱的环节。”
——托马斯·里德论人类的智力" - 1786
太阳风猎户座黑客事件已经在新闻中出现了好几个月了. 现在有人声称,“实习生”放了一个很弱的, 在关键系统上容易破解的密码,然后将该密码复制到他们的私人共享,以便于访问. 这一切的全部含义可能永远不会被真正了解. 虽然这纯粹是我的猜测, 我想知道如果全球交易所崩溃(250,《亚虎app官方下载》(Wall Street Journal)报道的1000家组织), 这次攻击的第二部分是微软被黑,Exchange源代码被泄露吗?
我已经谈论僵尸服务器和工作站的问题很多年了——过时了, 应用补丁的, 不受支持的工作站和服务器由于不当退役而突然重新出现在您的网络上, “我只需要检查一件事。”, 或者“一台机器不重要”. 我们忙得不可开交,它们就会被留下来,为你的网络提供理想的攻击平台.
但是已死的登录id也可以. 25年前,威彻斯特的一所高中发生了一些不当行为. 我们一直在努力找出源头并消灭它. 一天下午,我在那里看了看,我追踪到一个用户ID,就在那个时候登录了. 我让学校查看他们的SIS系统找出这个孩子现在在哪里. 我听说这个学生六个月前离开了这个地区,永久地搬到了香港! 僵尸ID被其他人用来隐藏他们的活动.
25年后,这首歌依然如故. 以下是你需要做的:
检查你的关键在线系统,看看谁有权限, 他们能接触到什么, 以及他们是否需要访问权限. 向所有id添加多因素身份验证需求.
检查你的微软办公软件 365, 谷歌应用程序, 和微软活动目录的id. 至少将MFA添加到所有权限id和所有在线id中. 消除所有死亡/休眠用户id. 消除所有失效的计算机id. 审计您的组成员—特别是提供以“管理员类型”组开头的权限的组,并确保没有人出现在这些列表中.
当APP客户端人员和有权使用资源的用户离开学区时,是否有“离职”流程,并每次都实施该流程.
在你的日历上至少每季度回顾一次这些项目,这样它就会成为一个常规过程.
实施一个审计系统,以帮助跟踪和更清晰地了解网络上发生的事件.
实现一个有密码保护的屏幕保护程序,这样即使人们忘记使用可以更改系统的id进行登录, 系统将自动锁定工作站. (我的前国家安全局朋友一直告诉我,这个简单的步骤已经被证明可以阻止许多“路过”的黑客攻击,坏人确实通过了防御, 但是破解屏保锁定“太像工作了”, 所以黑客会去寻找其他目标. 可悲的是, 据报道,在1月6日的国会大厦入侵事件中,国会电脑没有密码保护的屏幕保护程序超时,暴徒可以访问机密数据.)
微软和联邦调查局表示,MFA可以关闭高达99%的漏洞.
在微软的世界里,也有一些优秀的工具可以让人们关注那些已经死亡或处于休眠状态的用户和计算机帐户.
在我今天所写的内容中,有很多东西需要消化和实现. CSI可以帮助你. 如果你需要帮助,给我们打电话.
新闻官斯科特Quimby |
最近的评论