信息化觀察網(wǎng)

本文來自微信公眾號“嘶吼專業(yè)版”，作者/胡金魚。

CISA（網(wǎng)絡安全和基礎設施安全局）在暗網(wǎng)經(jīng)紀網(wǎng)站上發(fā)現(xiàn)包含政府組織用戶信息（包括元數(shù)據(jù)）的文件后，便發(fā)布了網(wǎng)絡安全建議。

而這些文件的出現(xiàn)是由于攻擊者利用該組織前雇員的帳戶設法破壞了網(wǎng)絡管理員憑據(jù)。攻擊者設法對內(nèi)部虛擬專用網(wǎng)絡(VPN)接入點進行身份驗證，進一步導航攻擊目標的本地環(huán)境，并對域控制器執(zhí)行各種輕量級目錄訪問協(xié)議(LDAP)查詢。

CISA懷疑帳戶詳細信息是通過數(shù)據(jù)泄露落入攻擊者手中的。如果員工離開時該帳戶已被禁用，就不會造成問題；目前該帳戶仍然可以通過管理權限訪問兩個虛擬化服務器，包括SharePoint和工作站。

在SharePoint服務器上，攻擊者獲取了存儲在服務器本地的全局域管理員憑據(jù)。此帳戶還為攻擊者提供了對本地Active Directory(AD)和Azure AD的訪問權限。攻擊者執(zhí)行LDAP查詢來收集用戶、主機和信任關系信息。

緩解建議

當員工離職時，應該盡快刪除他們的權限并更改密碼；

限制一名用戶使用多個管理員帳戶；

為本地和Azure環(huán)境創(chuàng)建單獨的管理員帳戶以分段訪問；

實施最小權限原則，僅授予必要的訪問權限，在完成所需的任務后撤銷特權；

使用防網(wǎng)絡釣魚的多重身份驗證(MFA)；

建立強大且持續(xù)的用戶管理流程，以確保離職員工的帳戶被刪除并且無法再訪問網(wǎng)絡；

通過全面的資產(chǎn)記錄、跟蹤當前版本信息以保持對過時軟件的認識以及將資產(chǎn)映射到業(yè)務和關鍵功能，維護強大的資產(chǎn)管理策略；

如果沒有漏洞和修補程序管理解決方案，請為所有操作系統(tǒng)、應用程序和軟件建立例行修補周期；

密切關注環(huán)境中發(fā)生的情況，及時了解非典型事件和日志。