“黑天鹅”事件被认为是无法预测的高影响和低概率事件。无论您是否认为SolarWinds攻击和Log4Shell漏洞属于黑天鹅网络事件，它们都强调了一些关键方法，以帮助组织做好准备并预防危机。

一种常见的误解是，我们几乎不可能保护环境免受严重的0day漏洞或供应链攻击，因为它们是高度隐蔽且无法预测的。好处是，这种误解会推动企业进一步增强检测和响应能力。但坏处是，它会使安全人员在处理此类事件时产生一种“无助感”。

不过，现实却与这种普遍认知刚好相反，这些事件并非“未知的未知数”。组织可以战略性地部署和调整自己的防御策略，使用他们现有的团队和安全堆栈，并保护自身免受此类攻击影响。例如，一个简单但功能强大的示例就是阻止来自服务器的出口Internet流量。尽管这听起来像是一种基础的安全实践，但事实证明，即便是相对成熟的组织也并未实施这种基础的防御策略。

阻止服务器访问Internet将能够阻止攻击（或显著降低攻击者的速度）。因为在这些攻击活动中，漏洞利用需要依赖服务器发起与攻击者的命令和控制（C2）基础设施的连接，无论是通过反向shell、第三方软件中的恶意代码（例如SolarWinds）或Log4Shell等漏洞。这也让我们意识到，即使是基本的安全控制也可以阻止SolarWinds供应链攻击——近年来最复杂的攻击之一——以及缓解Log4Shell漏洞——最近发现的最有效且普遍存在的漏洞之一。

此外，调查和学习常见的策略、技术和程序（TTP）以及 违规和漏洞利用的作案方式，都可以为企业组织提供宝贵的见解，帮助他们了解如何改进和优先部署防御策略，以 限度地减少潜在漏洞利用。

另一个误解是，这些新颖的漏洞利用将不可避免地允许攻击者做更多的事情，而不仅仅是渗透边界。

组织可以实施有针对性的安全加固计划，以使环境对横向移动和特权升级等技术更具弹性，使攻击者远离，或无法利用他们最初的立足点来访问核心资产。这种方法还将为防御者提供更多时间来检测和消除早期阶段的攻击。

“微分段”（Microsegmentation）能够显著减少恶意行为的攻击面，并限制攻击的横向移动，但不可否认，它是一项异常艰巨的任务。许多组织拖延实施此类项目，因为他们需要映射所有内部流量、创建详细的端口和主机允许列表、购买昂贵的解决方案以及在部署和维护此类环境中投入关键资源。然而，即便做不到如此详尽，微分段的许多优点也可以发挥出来。

通过在服务器和工作站上使用基于主机的防火墙策略，限制交互式（例如，RDP、SSH）和非交互式（例如，SMB、WinRM、RPC）管理协议的入口流量，然后将管理流量限制到特定的专用段或跳转盒子（jumpbox），也可以帮助实现微分段提供的核心价值。

虽然有时出于操作或应用目的，需要通过非交互式管理协议向服务器传输流量，但在许多情况下，不同工作站之间或DMZ中的服务器之间并不需要如此。采用集中的拒绝列表方法将能够立即降低风险，以至于在网络内横向移动将逐渐变得非常具有挑战性。

再来说说“特权升级”。降低网络中具体化攻击风险的主要挑战之一是凭据卫生和防止特权升级。然而，与上述方法类似，