攻击者最爱的5大常见网络安全错误

攻击者不靠运气，而是靠模式。经过20多年的安全实践和数百次红队测试，我发现以下五个错误反复出现：

不当的密钥管理
过度的用户权限
缺乏适当的网络分段
过度依赖用户培训来阻止社会工程
薄弱或默认的安全检测

这些漏洞并非理论上的——它们基于真实世界的发现。事实上，大约90%的红队测试中至少存在其中一个漏洞。它们是常见且可避免的失误，使组织面临被攻陷的风险。

1. 不当的密钥管理

攻击者通常不需要零日漏洞就能获胜——有时他们只需要四处查看。明文凭证存储在SharePoint文件夹、内部Wiki甚至电子表格中，这种情况太常见了。这对攻击者来说是中大奖的时刻，使他们能够绕过身份验证，快速横向移动 across 系统，提升权限，或以最小努力深入访问敏感资源。

一次成功的入侵通常可以追溯到存储不当的密码。人们将凭证存储在根本不应该存放的地方。红队喜欢发现这些——有时这决定了测试的成败。

解决方案：使用安全的密钥管理工具存储用户凭证。锁定对敏感信息的访问，并定期审计环境中暴露的密钥。

2. 过度的用户权限

太多用户“拿着剪刀奔跑”。当拥有不必要管理员权限的人点击错误链接或运行错误脚本时，后果可能是灾难性的。攻击者可以利用这些提升的权限，在几天甚至几小时内获得完整的域控制或访问敏感数据，而不会触发任何警报。

解决方案：严格应用最小权限原则。确保用户只拥有所需的访问权限——不多不少。定期审查权限并移除不必要的管理员权利。

3. 缺乏适当的网络分段

扁平网络架构是将小规模入侵变成重大事件的最快方式之一。我们一再看到内部网络为用户便利性和可访问性而设计，而非安全性。

缺乏分段意味着一旦攻击者获得对环境某部分的访问权限，他们通常可以在整个网络中自由行动——包括服务器、操作技术（OT）或云基础设施等关键系统。

解决方案：分段您的网络。限制用户、服务器和OT环境之间的横向移动。强制执行访问控制列表并监控东西向流量。

4. 过度依赖用户培训来阻止社会工程

安全意识很重要，但它不是银弹。攻击者和红队继续通过社会工程取得成功——即使面对训练有素的员工。一位Bishop Fox客户部署了防钓鱼MFA——包括FastPass和YubiKey——但攻击者仍然说服员工插入他们的YubiKey并批准登录。那一次批准就打开了大门。即使防钓鱼MFA，当涉及人类信任时，也不是防弹的。

对钓鱼或社会工程的易感性永远不会达到零。总会有人点击恶意链接或下载附件，因此您需要提供一个适当的安全网，以防万一发生。组织必须假设用户会出错并相应计划。

解决方案：假设用户会出错。部署分层技术防御，如DNS沉洞、沙箱和URL过滤。这些控制措施有助于在用户点击后捕获和遏制威胁。

5. 薄弱或默认的安全检测

许多团队假设他们的安全工具会捕获一切，但对手在攻击您的网络之前很久就会针对现成的EDR工具测试他们的恶意软件。他们无法预测什么？您的自定义检测针对业务逻辑和异常行为进行调整，例如来自意外位置的登录。

攻击者可以访问像CrowdStrike这样的流行工具。他们可以在实验室中测试什么会被检测到，因此他们知道在真实目标环境中不该做什么。他们无法看到您内置在安全检测中的任何自定义逻辑。

解决方案：构建自定义检测规则。监控特定于您环境的可疑行为——例如来自不熟悉地理位置的权限登录或对敏感系统的未经授权访问。

将优势转移回防御者

这些错误可能看起来微不足道，但它们往往是攻击者跟随的面包屑。如果这些漏洞存在于您的环境中，攻击者——或红队——不仅会发现它们，还会利用它们。修复这五个领域不会使您对攻击免疫，但会使任何潜在入侵者的生活更加艰难。

而这正是重点：提高门槛，使攻击者必须更努力地工作，采取更嘈杂的步骤，并增加被检测的风险。

如果您想最大化红队测试的价值——并有机会对抗高级对手——请首先修复这五个常见错误。否则，您只是在测试开始前就交出了钥匙。