我女儿刚从高中毕业. 在她毕业之后, 我们全家每年都要去缅因州的海边度假. 这是学年和假期周的结束.
这里总是很安静.
我一厢情愿的想法没有持续太久.
那些会伤害我们所有人的人正忙着利用每个人对夏天和7月4日假期的关注.
在我们的世界里,发生了三件事:
- 思科保护伞收到了一个不寻常的DNS请求,要求从德国的一个常规位置下载Tor浏览器. Tor通常是攻击的前兆.
- 一个主要的远程支持平台被黑客入侵,坏人实际上是在使用这个工具来感染,000个不同的网络要求7000万美元.
- 据宣布,一个活跃的本地和远程漏洞正在全球范围内进行,被称为PrintNightmare,微软没有补丁.
我的假期有了一个令人难以置信的开始.
鲍勃和我一直在讨论保护层不同的保护层从不同的角度试图找到, 报告, 块, 并纠正任何潜在的不良事件.
然而, 好消息是,我的假期周的事件是层做他们想做的事情的例子.
思科保护伞阻止了这个请求,所以除了提高我们的威胁级别之外,可疑活动没有任何进展. 我们管理的防火墙服务显示,威胁是孤立的,而不是在有问题的网络“内部”. 举起盾牌,我们检查了尽职调查清单. 微软补丁状态. 第三方补丁状态, EDR有源扫描, AV扫描, 隔离可疑的盒子, 防火墙日志.
快速查看一下我们的圣骑士哨兵监控,就会发现我们有两个系统,其中一些客户端实际上有被入侵的软件. 打了很多电话. 在任何不好的事情发生之前,服务被停止以关闭漏洞. 对于我们的CyberSentinel端点检测和响应(CSEDR)客户端, 供应商宣布,目前部署的客户端可以看到恶意代码下载并阻止它-无需更新.
随着PrinterNightMare事件的展开, 我们能够利用我们的圣骑士哨兵监控和圣骑士哨兵补丁管理服务,开始在微软发布补丁时推出补丁. 这种情况仍然不稳定,微软和其他公司的建议在未来几天会发生变化.
最后,我将留给你三个“要做的事”,这是我在假期结束后首先想到的,你需要解决的问题:
对于坏人来说,一切都是关于获得一个持久的立足点,他们会从*任何*立足点开始,开始绘制你的网络并计划他们的攻击. 你得让他们失去立足之地.
首先,USB设备是对网络的威胁. 我们的CSEDR产品有一个很棒的USB和蓝牙阻止和批准的注册策略内置到它. 我们可以把这个攻击向量从地图上去掉. 对于那些不在我们的CSEDR服务中的人, 可以部署一些更健壮的组策略来至少阻止大部分这种访问.
其次,你应该屏蔽文档中的所有微软办公软件宏,除了极少数真正需要它们的人(如果有的话)。. 以及任何需要它的人, 应该有意识地向宏观提出要求,并接受你的培训,让他们知道对他们非常狭隘的工作要求之外的项目说“是”的风险.
最后,你绝对需要打开用户帐户控制(UAC). 当任何人或任何东西试图在您的服务器或端点上安装软件时,这是“妈妈可以”管理员凭据提示. 在《亚虎app官方下载》中,我看到了大量窗户。设备中那些关闭了这一功能的人的足迹. 作为APP客户端人员,我们讨厌它. 这很烦人. 然而, 最近的PrintNightMare事件再次证明了这一点,据称微软的补丁没有打补丁,仍然允许本地访问该漏洞, 微软回复说,这是因为网络关闭了UAC,允许“自己打印”的组策略.
UAC是保护您的网络的重要组成部分. 如果坏人触发了UAC,他们已经和你坐在一起了. 这是你们的最后一道防线,那些已经关闭了它的人, 会有坏事发生在你身上吗. 这也是一个简单的组策略更改.
我鼓励你尽可能多地完成我的三件事. 如果你需要帮助, 或者希望在您的网络基础设施中添加可见性和保护层, 给我们打电话. 我们很乐意帮忙.
新闻官斯科特Quimby |
最近的评论