“黑天鹅”事件被认为是无法预测的高影响和低概率事件。无论您是否认为SolarWinds攻击和Log4Shell漏洞属于黑天鹅网络事件，它们都强调了一些关键方法，以帮助组织做好准备并预防危机。

一种常见的误解是，我们几乎不可能保护环境免受严重的0day漏洞或供应链攻击，因为它们是高度隐蔽且无法预测的。好处是，这种误解会推动企业进一步增强检测和响应能力。但坏处是，它会使安全人员在处理此类事件时产生一种“无助感”。

不过，现实却与这种普遍认知刚好相反，这些事件并非“未知的未知数”。组织可以战略性地部署和调整自己的防御策略，使用他们现有的团队和安全堆栈，并保护自身免受此类攻击影响。例如，一个简单但功能强大的示例就是阻止来自服务器的出口Internet流量。尽管这听起来像是一种基础的安全实践，但事实证明，即便是相对成熟的组织也并未实施这种基础的防御策略。

阻止服务器访问Internet将能够阻止攻击（或显著降低攻击者的速度）。因为在这些攻击活动中，漏洞利用需要依赖服务器发起与攻击者的命令和控制（C2）基础设施的连接，无论是通过反向shell、第三方软件中的恶意代码（例如SolarWinds）或Log4Shell等漏洞。这也让我们意识到，即使是基本的安全控制也可以阻止SolarWinds供应链攻击——近年来最复杂的攻击之一——以及缓解Log4Shell漏洞——最近发现的最有效且普遍存在的漏洞之一。

此外，调查和学习常见的策略、技术和程序（TTP）以及最新违规和漏洞利用的作案方式，都可以为企业组织提供宝贵的见解，帮助他们了解如何改进和优先部署防御策略，以最大限度地减少潜在漏洞利用。

另一个误解是，这些新颖的漏洞利用将不可避免地允许攻击者做更多的事情，而不仅仅是渗透边界。

组织可以实施有针对性的安全加固计划，以使环境对横向移动和特权升级等技术更具弹性，使攻击者远离，或无法利用他们最初的立足点来访问核心资产。这种方法还将为防御者提供更多时间来检测和消除早期阶段的攻击。

“微分段”（Microsegmentation）能够显著减少恶意行为的攻击面，并限制攻击的横向移动，但不可否认，它是一项异常艰巨的任务。许多组织拖延实施此类项目，因为他们需要映射所有内部流量、创建详细的端口和主机允许列表、购买昂贵的解决方案以及在部署和维护此类环境中投入关键资源。然而，即便做不到如此详尽，微分段的许多优点也可以发挥出来。

通过在服务器和工作站上使用基于主机的防火墙策略，限制交互式（例如，RDP、SSH）和非交互式（例如，SMB、WinRM、RPC）管理协议的入口流量，然后将管理流量限制到特定的专用段或跳转盒子（jump box），也可以帮助实现微分段提供的核心价值。

虽然有时出于操作或应用目的，需要通过非交互式管理协议向服务器传输流量，但在许多情况下，不同工作站之间或DMZ中的服务器之间并不需要如此。采用集中的拒绝列表方法将能够立即降低风险，以至于在网络内横向移动将逐渐变得非常具有挑战性。

再来说说“特权升级”。降低网络中具体化攻击风险的主要挑战之一是凭据卫生和防止特权升级。然而，与上述方法类似，关注从已知和常见TTP中得出的高价值措施可以为防御者提供重要价值。

为实现这一目标，请不断搜索公开的明文凭据，为服务帐户设置长而复杂的密码，避免在日常活动中使用域管理员帐户，并使用内置的Microsoft安全功能，例如受保护用户（Protected User）安全组、本地管理员密码解决方案（LAPS）、本地安全机构（LSA）保护和凭据卫士等。

凭据卫士问题几乎是过去几年每次攻击的主要促成因素。保护特权身份应该成为2022年任何安全路线图的重中之重。

通常，当新漏洞出现时，许多安全专家给出的主要（有时也是唯一的）建议就是打补丁，好像打补丁是组织可以控制风险的唯一解决方案。当然，打补丁固然重要，但大型企业可能需要大量的时间才能充分了解其暴露情况，并在生产环境中应用修补程序。偶尔，在打补丁几天后，由于系统或应用程序已经引起恶意行为者的关注，安全行业还会陆续发现新的针对此类系统或程序的漏洞。所以说，修补并不总能弥补（甚至减轻）所有缺陷。

了解漏洞利用的执行方式——以及漏洞利用执行的依赖项——对于响应此类事件至关重要。那些一开始被认为只是缓解漏洞的解决方法，可能恰是组织真正的“救星”。

总而言之，与普遍认知相反，组织可以防止或减轻Log4Shell等新漏洞或SolarWinds等高度复杂攻击的影响。

组织可以通过利用和优化其当前的安全堆栈、实施安全强化措施以及使用无需额外支出即可轻松启用的内置安全功能来实现这一目标。

参考及来源：https://www.darkreading.com/attacks-breaches/the-misconceptions-of-2021-s-black-swan-cyber-events