Windows 事件响应：所谓的“史无前例的复杂性”

就在今天，我又看到了类似的说法。社交媒体上又出现了一个帖子，宣称IT团队/防御者正面临着“史无前例的复杂性”。在所有鼓吹防御方需要“智能体AI”的帖子中，这个帖子之所以突出，是因为它提及了这些智能体目前正如何被攻击方所使用。我们听到诸如“自主智能体”能够为攻击带来速度和规模之类的说法。以我的经验来看，防御者总是会面临复杂性，但就其本质而言，我非常不愿称其为“史无前例”。

原因是，网络安全通常是在事后附加考虑的东西，其存在的基础设施已经建立，而管理文化则完全反对任何形式的、旨在实现整体“控制”的协同努力。最常见的情况是，尤其是在网络安全方面，没有单一的指导政策或愿景声明。许多组织和/或部门甚至可能不完全了解他们的资产：哪些终端（包括物理和虚拟的）在他们的管辖范围内？这些终端上运行着哪些应用程序？在这些资产中，哪些暴露在公共互联网下，甚至是在基础设施内部可以访问，但实际上并不需要或不应该被访问？

例如，某些应用程序，如备份或会计解决方案，会在“后台”安装MSSQL。你的IT团队知道这一点吗？如果知道，他们是否已采取措施来保护这个安装？根据经验，大多数团队都没有……对这两个问题的回答都是一个响亮的“我不知道”。MSSQL的默认安装会将登录失败尝试发送到应用程序事件日志，但不会记录成功的登录。这只有在您以某种方式监控日志时才真正重要；很多人没有这样做，而且即使有SIEM解决方案，这些事件有时也不在监控范围内。我曾见过终端上有多达45,000次（是的，你没看错）MSSQL登录失败尝试记录在应用程序事件日志中，但这通常发生在那些应用程序不依赖MSSQL安装使用硬编码账户凭据的系统上。

关键在于，基本的IT卫生始于准确的资产清单，其次是攻击面缩减。 一旦你知道了自己拥有哪些系统，以及哪些应用程序应该/需要在这些系统上运行，你就可以开始着手处理诸如日志配置、监控（SIEM、EDR等）等事宜。攻击面缩减有助于提高控制措施的有效性，并减少误报产生的噪音。这不仅确保在发生安全事件时你能得到警报，还提供了上下文信息，并且进一步增强了您快速确定事件性质、范围和来源的能力。我见过一些组织在使用SIEM，但他们许多Windows终端上的安全事件日志既没有记录成功的登录，也没有记录失败的登录尝试。

对许多读者来说，这可能是一个颇具争议的观点：就目前而言，AI（特别是智能体AI）对防御者来说是一种干扰。是的，根据我们在社交媒体上看到的情况，智能体AI可能通过促进更快、更大规模的攻击来助长威胁行为者，但归根结底，这一切都与速度和数量有关；易受攻击系统的暴露情况并没有改变。变得更快的是发现和利用这些易受攻击的系统。

事实上，要让攻击成功，即使有速度和规模，易受攻击的系统也需要暴露在互联网上，并因此能够通过某种方式被访问。是的，即使是未直接暴露在互联网上的终端，也可能通过网络钓鱼、SEO投毒或某些其他诱使用户安装会向外连接的东西的手段而受到威胁，但即使是一些这样的攻击，也可以通过一些简单、免费的终端自身修改来加以抑制甚至避免。

发布时间：2025年11月26日，星期三，上午9:30