从正门进入——保护你的网络边界安全

本文探讨了如何保护外部可访问的网络服务,包括识别开放端口、评估漏洞利用后果、优化网络架构以及实施有效的审计日志策略,以增强组织的网络安全防护能力。

从正门进入——保护你的网络边界

Terry Reece

Terry是一位经验丰富的渗透测试员,拥有IT、网络安全和军事服务的多元化背景。在2022年加入Black Hills Information Security之前,他担任过多种角色,包括渗透测试、事件响应和取证分析。

虽然网络钓鱼等社会工程攻击是在目标环境中获得立足点的好方法,但针对外部可利用服务的直接攻击仍在持续成为头条新闻。在本博客中,我们将介绍一些你可以做的事情,以更好地保护外部暴露的网络资源。如果你有一段时间没有审查你的外部足迹,这是一篇很好的阅读材料,可以帮助你检查当前的配置,并为你提供一些更好地保护外部基础设施的想法。

最近一些最大的漏洞是由于暴露的应用程序存在远程可利用的漏洞。我们许多人可能熟悉Log4Shell、ProxyShell和MOVEit漏洞。虽然这些漏洞最初是0-day,但在供应商提供补丁后,继续 exploitation 仍然发生。我们能做些什么来保护自己?让我们看一些我们可以问的问题,以帮助确保我们的外部基础设施尽可能安全。

什么是可访问的以及为什么?

知道你有什么是能够保护它的第一步。对于网络来说,这意味着要问哪些服务可以从互联网访问,以及为什么它们可以访问。保持开放端口和使用中的软件的更新清单,确保你定期审查这些数据以保持其准确和最新。在我过去作为事件响应者的生活中,经常了解到漏洞是由于被遗忘的遗留防火墙规则造成的。其中一些情况允许对手在不再有合法业务需要的情况下获得对内部资源的远程访问。一些端口是为了测试目的而打开的,包含过于宽泛的范围并且从未关闭;其他端口是为了合法原因而打开的,但促进了访问具有已知远程可利用漏洞的应用程序。

彻底清点外部可访问的服务和使用的软件包将大大有助于你理解如何更好地保护你的环境。定期进行外部漏洞扫描和端口扫描检查所有端口是实现这一目标的有用方法。诸如商业漏洞扫描器、Nmap和masscan等工具是有用的。其他资源,如Shodan.io,也可以让你了解你的网络上开放了哪些端口和协议。这些工具可以帮助在部署新系统或停用旧系统后验证网络变化。检查供应商网站的安全公告和一般产品更新,以获取任何使用的软件包的信息。确保你的软件是最新的并正确打补丁将大大有助于防止成功的漏洞。一旦应用了补丁,使用漏洞扫描器或手动测试来验证补丁是否已应用以及漏洞是否已缓解总是一个好主意。

漏洞利用的后果

既然我们知道我们向世界开放了什么以及为什么,让我们问自己,“如果这些服务被利用会发生什么?”如果一个面向公众的服务被破坏,攻击者下一步可以移动到那里?他们是否能够从单个受感染的主机访问你的整个网络,或者他们将处于一个限制或延迟立即横向移动的网络中?回答这些问题需要一些关于你的网络架构的知识。例如,你是否配置了DMZ以将内部资源与面向公众的Web服务器分开?我遇到过许多网络具有NAT规则,允许直接访问内部网络上的服务器。这种配置风险使得进一步的漏洞利用更容易,而不是将攻击者限制在DMZ中,横向移动的选择更少或更困难。如果被利用的软件是通过0-day,这一点尤其重要。供应商补丁可能尚未可用,但在外部可访问的服务和内部网络之间具有适当的分隔可能是缓解更广泛影响的唯一方法,直到补丁可用。

员工远程访问也是在这个过程中需要审查的相关主题,特别是随着远程工作者的增加。检查你的用户如何外部访问网络资源是一个好主意。在可能的情况下,保持资源只能通过受强密码和多因素身份验证保护的VPN访问。如果用户需要外部访问内部网络服务,通过VPN促进这种访问是比通过防火墙打开端口更好的选择。

审计日志是你的朋友

既然你知道你有什么以及为什么它可以访问,并且你理解了如果这些服务被利用的影响,你还会想知道当其他人与这些服务交互时发生了什么。解决这个问题的最佳方法是确保审计策略到位,并捕获日志文件进行分析和一般日志保留。这是一个关键步骤,对于理解漏洞的全面影响至关重要。确保你的日志机制到位并正确配置是至关重要的。可悲的是,我参加过一些IR engagements,其中防火墙日志只写入内存,可用日志不超过几个小时,远远超过可疑漏洞的时间范围。如果你没有SIEM,至少将防火墙日志卸载到syslog服务器。其他常见情况是客户的Microsoft 365租户未启用审计日志记录。缺乏日志数据可能使在漏洞期间完全回答关键问题非常困难,在某些情况下甚至不可能。应始终启用审计日志记录,并捕获和存储生成的日志以供后续分析和保留。

总结

在本博客中,我们讨论了了解你的外部网络上可访问的内容以及为什么,网络架构的重要性,并解决了良好的审计和日志记录实践的需求。虽然这不是一个万能的过程,并且还有许多其他相关主题需要考虑,但这些是更好地理解你的环境以及如何防御它的良好起点。

准备好了解更多吗? 通过Antisyphon的实惠课程提升你的技能! Pay-Forward-What-You-Can Training 可用直播/虚拟和点播

无法停止,不会停止劫持(CSWSH)WebSockets 网络安全中的人为因素:理解信任和社会工程

返回顶部

Black Hills Information Security, Inc. 890 Lazelle Street, Sturgis, SD 57785-1611 | 701-484-BHIS (2447) © 2008 关于我们 | BHIS部落公司 | 隐私政策 | 联系

链接

搜索网站

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次