分析自 2019 年上半年由 Lares 专门与 Infosecurity 共享的 50 多项项目,发现前五项渗透测试发现是:
- 使用弱密码和可猜测的密码强制帐户
- Kerberoasting
- 文件系统权限过多
- WannaCry / EternalBlue
- Windows Management Instrumentation(WMI)横向移动
Lares 的创始人克里斯·尼克森(Chris Nickerson)表示,这些前五项调查结果在“95%的测试”中很常见。
具体来说,Lares 证实,在五个最常见的调查结果中有三个,包括密码,权限和补丁管理在内的安全基础可以解决问题,并且“通过更好的网络安全卫生实践可以避免或消除每个漏洞。”
对于暴力破解帐户,可以使用多因素身份验证或帐户锁定策略来解决此问题,而“kerberoasting”可以使用强密码进行管理,无论是长度还是复杂性。
同时,可以使用检测文件权限滥用的工具来缓解“过多的文件系统权限”,从而为所有用户启用安装程序检测并限制用户帐户和组的权限。
此外,虽然他们在 2017 年公开披露,但可以通过应用 Microsoft 补丁,禁用 SMBv1 并阻止外围的入站 SMB 来缓解 EternalBlue 漏洞。
标准“基础”未解决的前五名中唯一一个是 WMI 横向移动,Lares 表示可以通过禁用 WMI 或 RPCS 来限制,限制非管理员用户远程连接到 WMI,以及防止跨系统的凭据重叠管理员和特权帐户
在发送给 Infosecurity 的电子邮件中,Nickerson 表示 WMI 很少受到保护或限制,因此它往往是一种广泛使用的访问 / 执行向量。“例如:我们在 RDP 中绕过 2FA 登录的最常见方式是直接使用 WMI,”他解释道。
当被问及是否认为这表明缺乏网络可见性,或者是否因为横向移动是一个常见问题而无法实现这一点时,他同意说“有办法将主机上使用 WMI 的日志与检测喷涂相关联多次 / 多对一次执行,因此有机会在主机上获取其执行的使用和人工制品。“
他还表示,在许多环境中缺乏东 / 西流量分析,“最佳解决方案是”链接“检测技术,以关联 UBA,网络流量分析和基于主机的执行。”
Infosecurity 问 Nickerson 他是否觉得用常用技术修复前五个最常见的调查结果中的四个是积极的,或者是否令人沮丧,基本的安全性证明是如此困难?
尼克森说:“在我看来,这些技术不仅仅是基础知识,而且多年来一直是企业妥协的常用方法。这向我表明,我们仍然坚持“买一件让我们安全的心态”而不是“调整我们必须更好地工作的事情”。
“很好的部分是这些技术可通过相当简单的配置来解决。我认为业界开始意识到他们需要不断调整环境,而不仅仅是购买 'x' 新产品。“
尼克森赞扬了“紫色团队”类型的工作,专注于防御性改进,而不是“传统的黑客和报告”。
“许多团队仍在以'以漏洞为中心的角度'运作,将保护 / 检测战略中的技术转变为防御计划的下一步演变,并将成为衡量其控制效果的重大变化,”他说。
“测试漏洞和技术(比如根据 Mitre 的 ATT 和 CK 框架提供的描述整合测试和调优)将有助于计划保持领先地位,并开始跟踪他们的防御如何随着时间的推移而改进,与永无止境的漏洞追尾相反。”