1. 安全态势

1.1. 远程办公、线上会议成为人们处理工作的主要方式

1.1.1. 时代的发展推动了组织加快数字化转型的速度，组织必须迅速采用更灵活的策略来支持远程工作

1.2. 近年来，网络犯罪分子活动猖獗，“殖民地管线”“太阳风”等事件引发人们对关键基础设施的高度关注，Log4j开源漏洞更如同一枚“核弹

1.3. 网络安全是多个支柱的组合，没有能解决所有问题的灵丹妙药

1.3.1. 现实中网络安全不仅仅是实施安全控制，更是对组织环境的持续监测和改善

1.4. 知攻方能善防，不知攻，焉能防？

1.4.1. 安全防御者在与威胁行为者对抗的过程中，谁更能认清自己，认识对方，了解环境，谁就更可能是最后的胜利者，正所谓“知己知彼，百战不殆”
1.4.2. 任何一场胜仗，均离不开对敌情、我情、战场环境的准确把握

1.5. 多年来，组织在安全方面的投资从明智性选择演变成必要性决定

1.5.1. 如果不能妥善保护其资产，则可能会导致无法弥补的损失，在某些情况下甚至可能会导致破产
1.5.2. 鉴于目前的威胁形势，仅重视保护还远不够，组织必须增强整体安全态势
- 1.5.2.1. 这意味着在保护、检测和响应方面的投资必须协调一致

2. 应将安全卫生列为首要任务

2.1. 威胁行为者积极监视当前的世界事件，这是他们开始策划下一次攻击的机会

2.2. Emotet背后的威胁行为者开始利用人们的好奇心和对新型冠状病毒相关信息的缺乏，发起了一场大规模的垃圾邮件运动

2.2.1. 威胁行为者利用人们对COVID-19的恐惧作为一种社会工程机制，来诱使用户做出一些开始危害系统的事情
2.2.2. 通过网络钓鱼邮件进行的社会工程对威胁行为者来说总有很好的投资回报

2.3. 始终需要确保有适当的安全控制措施来减少用户落入此陷阱并点击链接的情况

2.3.1. 安全控制措施是你需要采取的主动措施，以确保安全卫生状况正常，并且你已经尽了最大努力来提升所监控的所有资源的安全状态

2.4. 之所以大多数威胁行为者能够成功利用资源，是因为糟糕的安全卫生实践，包括资源的全面维护以及安全配置的缺乏

2.5. 没有适当的安全卫生措施，你就将一直追赶

2.5.1. 即使你有很强的威胁检测能力也并不重要，因为顾名思义，这是为了检测而不是预防或响应
2.5.2. 安全卫生意味着你需要做足功课，确保针对你管理的不同工作负载使用正确、安全的最佳实践，修补系统，强化资源，并不断重复这些过程
2.5.3. 底线是这件事没有终点，这是一个持续改进的过程
2.5.4. 如果你致力于不断更新和改进你的安全卫生，你将可以确保威胁行为者很难访问你的系统

3. 当前的威胁形势

3.1. 随着持续在线连接的普及和当今可用技术的进步，利用这些技术的不同方面的威胁正在迅速演变

3.2. 任何设备都容易受到攻击，随着物联网(Internet of Things，IoT)的发展，这成为现实

3.2.1. 利用物联网设备的攻击正呈指数级增长

3.3. VPNFilter恶意软件

3.3.1. 此恶意软件在物联网攻击期间被用来感染路由器并捕获和泄露数据

3.4. 世界各地有大量不安全的物联网设备

3.4.1. 虽然使用物联网发动大规模网络攻击还是新鲜事，但这些设备中的漏洞并不新奇

3.5. 远程访问

3.5.1. 虽然远程访问不是什么新鲜事，但需要远程办公的员工的数量正呈指数级增长
3.5.2. 正在使用自己的基础设施来访问公司的资源

3.6. 自带设备(Bring Your Own Device，BYOD)

3.6.1. 允许在工作场所使用BYOD的公司数量不断增加
3.6.2. 安全使用BYOD有多种方法，但BYOD方案中的大多数故障通常是由于规划和网络架构不佳，从而导致安全问题

3.7. 需要由用户操作，而用户仍然是最大的攻击目标

3.7.1. 人是安全链中最薄弱的一环，因此，钓鱼邮件等老式威胁仍在上升
3.7.2. 它们往往通过心理的弱点来引诱用户点击某些东西

3.8. 即使在所有安全控制措施到位的情况下，网络钓鱼活动依旧有效

3.8.1. 网络钓鱼活动通常被用作攻击者的入口点，并从那里通过其他威胁来利用系统中的漏洞
3.8.2. 利用网络钓鱼电子邮件作为攻击入口点的威胁的最典型例子是勒索软件，而且在日益增多

3.9. 所有场景中的公共元素通常都是网络犯罪分子的首选目标

3.9.1. 一个不断出现的重要元素，那就是云计算资源
3.9.2. 绝大多数公司从混合方案开始，其中基础架构即服务(Infrastructure as a Service，IaaS)是公司的主要云服务

3.10. 内部安全也至关重要，因为它是公司的核心，也是大多数用户访问资源的地方

3.11. 实施技术安全控制有助于减轻针对最终用户的某些威胁

3.11.1. 主要的保障是通过持续教育开展安全意识培训
3.11.2. 在意识培训中，需要牢记于心的两种常见攻击是供应链攻击和勒索软件

4. 供应链攻击

4.1. “供应链攻击威胁形势”(Threat Landscape for Supply Chain Attacks)

4.2. 这种技术被威胁行为者用来通过第三方关系锁定受害者

4.3. 常见的供应链攻击技术

4.3.1. 恶意软件
- 4.3.1.1. 从用户处窃取凭据
4.3.2. 社会工程
- 4.3.2.1. 诱使用户点击链接或下载受损文件
4.3.3. 暴力攻击
- 4.3.3.1. 通常用于运行 Windows(通过RDP)或 Linux(通过 SSH)的虚拟机
4.3.4. 软件漏洞
- 4.3.4.1. SOL注入和缓冲区溢出是常见的例子
4.3.5. 利用配置漏洞
- 4.3.5.1. 这通常是工作负载的安全卫生状况不佳造成的。
- 4.3.5.2. 在没有身份认证的情况下将云存储账户广泛共享到互联网
4.3.6. 开源情报(Open-Source Intelligence，OSINT）
- 4.3.6.1. 使用在线资源识别目标的相关信息，包括使用的系统、用户名、暴露的 API等

4.4. 另一种情况

4.4.1. 能够危害由多家公司使用的一家供应商
4.4.2. SolarWinds事件
- 4.4.2.1. 恶意代码被作为软件更新的一部分部署在SolarWinds自己的服务器上，并使用受损的证书签名
- 4.4.2.2. 使用该软件并收到该版本更新的每一个客户都将受到威胁

4.5. 最佳实践

4.5.1. 确定与组织打交道的所有供应商
4.5.2. 按照优先顺序列举这些供应商
4.5.3. 定义不同供应商的风险标准
4.5.4. 调查供应商如何为自己的业务执行供应链缓解措施
4.5.5. 监控供应链风险和威胁
4.5.6. 尽量减少对敏感数据的访问
4.5.7. 实施安全技术控制
4.5.8. 零信任构架
4.5.9. 增强工作负载的安全卫生

5. 勒索软件

5.1. 以勒索软件即服务(Ransomware-as-a-Service，RaaS)的方式运营的三个主要组织

5.1.1. Conti
5.1.2. Avaddon
5.1.3. Revil

5.2. 遭受勒索软件攻击的五大行业

5.2.1. 制造业
5.2.2. 金融服务
5.2.3. 交通
5.2.4. 技术
5.2.5. 法律和人力资源领域

5.3. 无论如何，管理端口不应该总是用于互联网访问

5.3.1. RDP暴力攻击

5.4. 应该进行威胁检测，以识别没有预测到的情况，因为现在有威胁行为者试图利用开放的管理端口

5.5. 勒索软件攻击的缓解控制措施

5.5.1. 对公司资源的远程访问
- 5.5.1.1. 强制实施零信任以验证用户和设备
- 5.5.1.2. 实施条件访问
- 5.5.1.3. 强制使用 VPN 访问内部资源
- 5.5.1.4. 利用基于云的堡垒主机实现特权访问
5.5.2. 端点
- 5.5.2.1. 实施端点检测和响应(EndpointDetection&Response，EDR)解决方案
- 5.5.2.2. 根据行业安全基准和业务需求强化终端
- 5.5.2.3. 确保使用基于主机的防火墙
- 5.5.2.4. 确保主机运行最新的补丁程序
- 5.5.2.5. 隔离和淘汰不安全的系统和协议
5.5.3. 用户账户
- 5.5.3.1. 确保使用的是多因子身份认证
- 5.5.3.2. 提高密码安全性
5.5.4. 电子邮件和协作
- 5.5.4.1. 确保电子邮件提供商具有内置的安全功能来阻止常见的电子邮件攻击

5.6. 防止威胁因素升级的场景和缓解措施

5.6.1. 特权访问
- 5.6.1.1. 保护身份系统并对其进行持续监控，以防止潜在的权限升级尝试
- 5.6.1.2. 根据在授予特权访问之前必须满足的一组条件，对管理访问实施安全控制
- 5.6.1.3. 限制对敏感数据和关键配置设置的访问
5.6.2. 检测和响应
- 5.6.2.1. 确保拥有适当的威胁检测控制措施，可快速识别可疑活动
- 5.6.2.2.            确保正在监控可疑活动
  
  5.6.2.2.1.             事件日志清除
  
  5.6.2.2.2.             禁用安全工具(如反恶意软件)
- 5.6.2.3. 积极监视针对凭据的暴力攻击

5.7. 使用假定入侵的思维模式，我们知道在你的组织受到威胁的情况下做好应对措施非常重要

5.7.1. 一个处于安全位置的良好备份，最好与生产环境隔离，并且你信任该备份，因为你会通过恢复一些数据来验证备份，从而对其进行常规测试
5.7.2. 访问此备份的保护已到位
- 5.7.2.1. 并非每个人都应该有权访问该备份，任何有权访问该备份的人都需要使用强大的身份验证机制，包括多因子认证(Multi-Factor Authentication，M FA)
5.7.3. 制定灾难恢复计划，准确了解在紧急情况下需要做什么
5.7.4. 对静态数据进行加密，以确保即使威胁行为者能够访问数据，也无法读取数据
5.7.5. 将大大降低威胁行为者进行违规行为时所带来的损失

6. 身份验证和授权

6.1. 用户将使用他们的凭据与应用程序进行交互，以便使用数据或将数据写入位于云中或本地的服务器

6.2. 针对凭据的攻击仍然是最常见的攻击之一

6.3. 业界已经达成共识，用户的身份就是新的边界

6.3.1. 需要专门设计的安全控制措施，以便根据个人的工作和对网络中特定数据的需求对其进行身份验证和授权
6.3.2. 凭据盗窃可能只是让网络罪犯能够访问你的系统的第一步
6.3.3. 在网络中拥有一个有效的用户账户将使他们能够横向移动（支点），并在某种程度上找到适当的机会将权限提升到域管理员账户

6.4. 基于旧的深度防御概念仍然是保护用户身份的好策略

6.5. 保护用户身份的另一个日益增长的趋势是强制执行M FA

6.6. 另一个重要的层是持续监控，因为到了最后，如果你不主动监控自己的身份以了解正常的行为并识别可疑的活动，那么拥有所有的安全控制层是没有任何意义的

7. 应用程序

7.1. 应用程序(APP)是用户消费数据，并将信息传输、处理或存储到系统中的入口点

7.2. 微软的SDL（Security Development Lifecycle，安全开发生命周期）

7.3. 应用程序面临的另一个安全挑战是如何在不同的应用程序之间处理公司的数据，即公司使用和批准的应用程序以及最终用户使用的应用程序（个人应用程序）

7.4. 支持应用程序的传统网络安全方法并非为保护SaaS应用程序中的数据而设计，更糟糕的是，它们不能让IT部门了解到员工的使用情况

8. 数据

8.1. 无论数据的当前状态如何（传输中或静止），保护数据都很重要

8.2. 不同数据状态的威胁和策略

8.2.1. 用户设备上的静态数据
- 8.2.1.1. 数据当前位于用户的设备上
- 8.2.1.2. 威胁：未经授权的或恶意的进程可能会读取或修改数据
- 8.2.1.3. 对策：静态数据加密可以是文件级加密或磁盘加密
- 8.2.1.4. 受影响的安全三要素：机密性和完整性
8.2.2. 传输中的数据
- 8.2.2.1. 数据当前正在从一台主机传输到另一台主机
- 8.2.2.2. 威胁：中间人攻击可以读取修改或劫持数据
- 8.2.2.3. 对策：SSL/TLS可用于加密传输中的数据
- 8.2.2.4. 受影响的安全三要素：机密性和完整性
8.2.3. 本地(服务器)或云中的静态数据
- 8.2.3.1. 数据位于本地服务器的硬盘驱动器或云(存储池)中
- 8.2.3.2. 威胁：未经授权或恶意的进程可能读取或修改数据
- 8.2.3.3. 对策：静态数据加密、可以是文件级加密或磁盘加密
- 8.2.3.4. 受影响的安全三要素：机密性和完整性