94%的網絡攻擊僅需4步

2022-06-30 05:30:34李匯

計算機與網絡 2022年7期

李匯

日前，XM Cyber研究團隊針對200萬個本地、多云和混合環境中的端點、文件、文件夾和云資源進行分析，形成了《2022年攻擊路徑管理影響報告》（以下簡稱“報告”），揭示了在當前企業網絡及云環境中危害企業關鍵資產的攻擊技術、攻擊路徑和影響。通過調研，報告建議組織通過查看整個環境來了解攻擊者如何實施攻擊，重點不應僅聚焦在安全漏洞上，還有很多其他問題需要處理。調查數據顯示，新一代攻擊者僅需4個“躍點（hop）”，即攻擊者從入侵點到破壞關鍵資產所采取的步驟數量），就能從初始攻擊點破壞94 %的關鍵資產。孤立的安全工具只關注某些特定的安全工作，但多種攻擊技術的組合才是組織面臨的最大風險。安全團隊需要仔細研究其環境中存在的混合云攻擊、錯誤配置和身份問題。

為了更好了解攻擊的變化，以及這些變化如何影響風險。對攻擊路徑進行建模來預測風險是一種值得嘗試的方法。

報告的關鍵發現

攻擊者最多只需4個“躍點”即可完成94 %的網絡攻擊；

一個組織75 %的關鍵資產在當時的安全狀態下可能已經受到損害；

73 %的主流攻擊技術涉及管理不善或被盜的憑據，27 %的主流技術涉及漏洞或配置錯誤；

企業中95 %的用戶都擁有長期訪問密鑰，這可能會危及關鍵資產安全；

面對新的遠程代碼執行（RCE）技術，78 %的企業可能受到威脅；

75 %的企業擁有面向外部的EC2（AWS提供的一種計算服務，以EC2實例形式存在，一個EC2實例可以被認為是一個虛擬機）設備，對關鍵資產構成風險。

攻擊技術

域憑據（利用受損憑據、哈希傳遞攻擊等），占比23.7%；

“投毒”共享內容（文件共享問題、權限），占比14.2%；

組策略修改（域控制器妥協，濫用組策略），占比10.1%；

本地憑據，占比9.5%；

PrintNightmare漏洞，占比8.1%；

憑據中繼攻擊，占比7.2%；

Exe Share Hooking（可執行文件的權限），占比6%；

Microsoft SQL憑據，占比5.6%；

WPAD欺騙（中間人攻擊技術），占比4.7%；

可達性（網絡分段問題），占比4.2%；

憑據轉儲，占比3.9%；

虛擬機上的Azure運行命令，占比2.8%。

安全建議：強大的補丁管理將減少攻擊向量并防止漏洞被利用。此外，通過使用操作系統本身的安全功能（如用戶身份驗證），也可以防止大量濫用不同憑證問題的攻擊向量。需要注意的是，還應摒棄“修補漏洞就可以解決所有問題并阻止橫向移動”這種錯誤認知。研究表明，近30 %的攻擊技術利用錯誤配置和憑據來入侵和破壞組織。

常見的新攻擊技術

XM網絡研究團隊將2021年針對企業使用的所有新攻擊技術分為3組：云技術、遠程代碼執行（REC）技術以及將云和REC結合起來（REC+云）的技術，以了解攻擊面的范圍以及高級持續威脅（APT），即結合多種技術來破壞目標的使用情況。結果顯示：

在測試環境中發現87 %的新型云技術；

在測試環境中發現70 %的新型REC技術；

在測試環境中發現82 %的新型REC+云技術。

而這些技術對企業的影響結果為：

32 %的企業可能會受到新型云技術的威脅；

78 %的企業可能會受到新型RCE技術的影響；

90 %的企業可能會受到新型RCE+云技術的影響。

安全建議：這些是企業需要關注并積極努力在其環境中消除的技術。當一種新的RCE技術出現時，近80 %的企業可能會受到威脅，而當它與云技術結合在攻擊路徑中，90 %的企業可能會受到威脅。顯然，如果有這么多漏洞可以很輕松地被利用，那么企業的補丁管理是低于標準且無效的。

跨本地和云的攻擊路徑

在混合網絡架構中，攻擊路徑可能會變得非常復雜。該研究揭示了跨本地和云環境中存在的安全漏洞和攻擊技術，以及對所有環境中的關鍵資產保持全面可視性的重要意義。

企業在遷移至混合云環境時可能并沒有明確定義戰略。對此，企業可以允許各個部門采用自己的遷移策略。有時，缺乏統一遷移戰略的原因可能涉及更廣泛的業務事件，例如收購了擁有一個云服務供應商的企業，或是與其他使用不同云供應商的企業合并。這種計劃外的大規模云環境的復雜性和攻擊面數量會影響整個企業IT資源的安全性，包括：資產、網絡、平臺和應用程序安全。

XM網絡研究團隊還深入研究了專用于混合云、AWS和Azure環境中的攻擊技術。

在混合云中，41 %的混合云組織（不止一個云供應商）在其環境中使用了本地到云技術；38 %的Azure組織在其環境中使用了云到本地技術；95 %的用戶擁有長期訪問密鑰，這可能會增加關鍵資產面臨的風險。

安全建議：研究表明，組織在云和本地網絡之間存在脫節———在許多情況下，企業有管理X的devops團隊，以及管理Y的團隊，但它們之間缺乏連接的上下文，這些攻擊揭示了它們之間的隱藏聯系。只有通過查看跨混合網絡的攻擊路徑，團隊才能實現協作并有效地縮小缺口。