导致泄密的十大网络卫生问题：第一部分——威胁狩猎部主任ruinsMax Heinemeyer的周边环境。只要人们努力保护自己的资产不受入侵，他们就会在越来越强大的墙后保护这些资产，从石头砌成的城堡墙到密码组成的防火墙。然而，无论这样的防御工事显得多么难以穿透，有动机的攻击者将不可避免地找到绕过它们的方法。建一个50英尺高的栅栏，敌人就会带来一个50英尺高的梯子。在每个员工的电脑上安装最先进的端点安全系统，网络犯罪分子就会通过办公室的智能冰箱渗透进来厨房。不用了可以说，加强周边地区仍然是个好主意。正如废墟中的城堡成为国王的穷家一样，薄弱的端点防御也将知识产权和敏感数据置于危险之中。然而，现实情况是，数字环境比物理环境更难隔离，因为有大量的应用程序和用户，只要一个漏洞或疏忽就可以破坏整个网络。因此，改善公司的网络卫生是一项持续的责任，其性质随着业务的发展而不断变化进化。因为即使是完美的网络卫生也不能保证阻止外部攻击者（更不用说恶意的内部人员）攻破边界，领先的公司和政府已经转向网络人工智能技术。网络人工智能的工作原理是学习网络及其用户的特定行为，云服务器试用，大数据公司，允许它发现与已感染设备相关的微妙异常活动。这些技术为十大最常被利用的网络卫生问题带来了曙光，下面将对其中五个问题进行研究。而且，在确保企业在线安全方面没有什么灵丹妙药，但修补这些外围漏洞仍然是至关重要的第一步步骤.问题#1： 使用SMBv1-for anythingServer Message Block（SMB）是一种非常常见的应用层协议，它提供对文件、打印机和，以及连接到网络中设备的串行端口。最新版本SMBv3是在考虑安全性的情况下开发的，而原始版本SMBv1已经有30多年的历史了，用微软自己的话说，"是为一个不再存在的世界而设计的，一个没有恶意行为者的世界。"，微软长期以来一直在恳求用户尽可能地停止使用它条款。但是，其中许多用户仍然没有在Windows 8.1和Windows Server 2012 R2之前的操作系统上禁用该协议，这些操作系统不允许删除SMB1。2017年的WannaCry勒索软件攻击滥用了SMBv1中著名的漏洞EternalBlue来感染Windows机器并在Windows环境中横向移动，造成了数十亿美元的全球损失。此外，默认情况下，合肥大数据，SMBv1允许NTLM使用匿名凭据登录，而成功的匿名登录则允许攻击者枚举目标设备以获取更多信息信息。在考虑到SMBv1带来的严重安全风险，Darktrace将其用法标记为威胁以下内容模型：异常连接/不寻常的SMB版本1连接兼容性/SMB版本1用法问题2:SMB服务暴露在上面提到的Internet上，SMB允许网络中的设备出于各种目的相互通信-这些功能使其成为具有许多已知漏洞的复杂协议。因此，非常不鼓励用户允许通过任何版本的SMB（不仅仅是SMBv1）从互联网连接到内部设备。Darktrace在2019年初发现了这种不良的卫生习惯，云信息，当时它观察到使用外部IP地址连接到内部设备的SMB。这个设备恰好是一个域控制器（DC），一个管理网络安全并负责用户身份验证的服务器。由于这台服务器所执行的关键网络功能，它是网络犯罪分子的一个高价值目标，这意味着任何外部连接都应仅限于必要的管理活动。在这个事件中，看到外部设备通过SMBv1访问DC并执行匿名登录。幸运的是，Darktrace AI检测到了模型符合性/外部窗口的潜在危害通信.问题#3： RDP服务暴露在Internet上Microsoft专有的远程桌面协议（RDP）提供与网络连接的计算机的远程连接，为用户提供对另一个设备及其资源的重要控制。如此广泛的功能代表了攻击者的圣杯，无论他们是想在网络中获得最初的立足点，访问受限内容，还是直接在受控计算机上投放恶意软件。因此，将具有RDP服务的设备暴露到internet上会在网络外围造成严重的漏洞，因为密码和用户凭据很容易被恶意用户强行使用意图。最后月，Darktrace的网络人工智能检测到大量通过RDP协议进入客户面向互联网设备的连接，这可能是暴力攻击的迹象。虽然这种行为在不同的情况下可能是良性的，但人工智能对特定设备的"自我"与"非自我"的理解使其能够将连接标记为异常，因为它们违反了其合规性/来自罕见端点的传入RDP模型。依据用暗黑种族的装置进一步调查跟踪能力方面，我们可以看到计算机还违反了其他几个人工智能模型，包括合规性/加密货币挖掘活动、合规性/出站RDP以及向外部REAL妥协/信标活动。这些漏洞表明，攻击者可能试图利用这台计算机在连接的其他网络上植入加密挖掘模块设备.型号该设备在三天内就被破坏了sue 4:数据上传到未经批准的云服务没有任何创新已经比云计算更过时了只有外围设备的网络安全方法，因为云和混合基础设施充其量只是模糊的边界。尽管如此，仍有许多不良的网络卫生习惯使得绕过外围防御变得更加容易，包括那些将数据上传到不在组织批准名单上的关闭存储提供商的员工。不管是恶意的还是无意的，此决策阻止了组织对跨地球仪。黑暗种族网络人工智能通过以下方式检测此类未经授权的数据移动模型：异常连接/发送到新外部设备的数据异常活动/异常外部数据传输问题5：密码使用不足和存储最常见和最可避免的网络攻击是那些利用弱密码系统的攻击，这些密码可能会被暴力或字典攻击破坏。然而，更强大、更复杂的密码带来了另一个问题：因为它们更难被记住，用户倾向于将这些密码存储在有时不安全的位置。虽然密码管理器等加密介质中的密码相对安全，但许多用户将其保存在明文中。几种现代恶意软件能够在网络中搜索可能包含密码的文件，什么是大数据云计算，把它变成关键弱点。黑暗种族有一组模型可以识别这种密码尝试猜测：设备/SMB会话Bruteforce异常活动/大量Kerberos故障用户/Kerberos密码BruteforceSaaS/Login Bruteforce AttemptDarktrace还具有一组标记异常密码存储或访问：合规/不寻常的SMB连接中的敏感术语遵从性/可能的未加密密码存储SaaS/不寻常的SaaS敏感文件访问阅读第二部分：第二部分-便利的危险Max HeinemeyerMax是一位在该领域拥有超过九年经验的网络安全专家，专门从事网络监控和攻击性安全。在Darktrace，Max与战略客户合作，帮助他们调查和应对威胁，并监督剑桥英国总部的网络安全分析师团队。在担任现任职务之前，马克斯领导着惠普在中欧的威胁和脆弱性管理部门。在这个职位上，他是一个白帽黑客，领导渗透测试和红队的活动。当他还在德国生活时，他也是德国混沌电脑俱乐部的一员。Max拥有杜伊斯堡-埃森大学（University of Duisburg-Essen）的硕士学位和斯图加特合作州立大学（Cooperative State University Stuttgart）的国际商务信息理学学士学位系统。共享在LinkedIn上的FacebookTweetShare发送电子邮件