在过去的几年里，勒索软件一直是每个人都关心的问题，因为它对组织的影响增加了勒索和监管参与的压力。然而，问题总是出现在我们如何预防它。预防胜于治疗，事后诸葛亮是一种美德。这需要考虑的一点是，勒索软件已迅速转变为勒索软件即服务 (RaaS) 模型，向关联公司提供实现其目标所需的所有武器。鉴于这种方法的简单性，以及策略可重复的事实，可以采取许多预防措施。 [出自:jiwo.org]

ProxyShell

ProxyShell 是用于描述漏洞的统称，于 2021 年 4 月至 2021 年 7 月之间发布，影响 Microsoft Exchange。为简洁起见，可将其总结为：

• ACL 绕过 (CVE-2021-34473)
• 权限提升 (CVE-2021-34523)
• 远程代码执行 (CVE-2021-31207)

由于 Exchange 基础设施是面向外部的，附属公司将网络广泛扫描以寻找未能修补的受害者，从而使用 ProxyShell 作为他们的初始立足点开始攻击。

缓解措施

• KB5001779
• KB5003435

打补丁，微软于 2021 年 5 月发布了补丁，以 Windows 更新代码的形式缓解漏洞：

Microsoft Exchange Online 或 Office365（通常称为）不受影响。SaaS 是一个很好的替代方案，它为您的本地网络提供了障碍（具有适当的安全控制）。

面向外部的基础设施

如果 Exchange 在外，那么它是勒索软件组织的最爱（部分原因在于它的成功率）。在这个类别中，我们将介绍另一个最喜欢的，特别是指防火墙。

防火墙和其他外围安全解决方案变得越来越复杂，除了允许和拒绝外围网络流量（尤其是 VPN）之外，还提供各种服务。

一个典型的例子是在 FortiGate 设备中被利用的漏洞 CVE-2018-13379。该漏洞本身是目录遍历，但它确实提供了对包含明文密码的敏感文件的访问。反过来，您就有了灾难的秘诀和勒索软件攻击者的初始入口点。用户名和密码可用于通过 VPN 进行身份验证，并为威胁参与者提供在内部网络上的立足点。然而，这只是一个例子，我们已经多次观察到防火墙被成功地用作网络的入口点。

缓解措施

再次打补丁，考虑到边缘网络设备在网络中的位置，它们非常容易受到攻击，您用来阻止威胁参与者，实际上可能首先是目标。确保您拥有强大的修补策略，并且您的设备会经常更新。

其次，多因素身份验证 (MFA) 对于缓解标准的基于用户名/密码的攻击至关重要。尽管在这种情况下利用漏洞来获取对凭据的访问权限，但如果以 VPN 凭据为目标，网络钓鱼也会产生同样的影响。

暴露的远程桌面（其他 VDI 解决方案）

RDP 的 GUI 界面。虽然是连接远程设备的好方法，但它在互联网上并没有真正的位置。如果您看到无法轻易说出的失败登录计数命中数，则可能存在潜在问题，即主机将 RDP 暴露于 Internet。

当与弱安全控制、弱凭据（域或本地）、无锁定策略配合使用时，您实际上是在为附属公司提供免费机会，让他们进行赌博并获得对您网络的访问权限。这在开发环境中最为突出，默认设置设置，弱本地密码和公开可用以方便使用。这在云环境中尤其普遍，其中构建映像通过糟糕的配置继承了多个安全漏洞，但允许用户快速建立基础设施。

缓解措施

使用配置了 MFA 的企业 VPN 解决方案以从远程位置访问内部资源。

谨慎对待开发环境，并确保构建映像具有适当的安全控制和保护性监控。