本文來自微信公眾號“嘶吼專業(yè)版”,作者/小二郎。
隨著世界變得更加互聯(lián)和數(shù)字化,網(wǎng)絡(luò)安全形勢也愈發(fā)復(fù)雜和嚴(yán)峻。企業(yè)正在將更多的基礎(chǔ)設(shè)施、數(shù)據(jù)和應(yīng)用程序遷移至云端,支持遠程工作,并與第三方生態(tài)系統(tǒng)合作。因此,安全團隊現(xiàn)在必須防御的是一個更廣泛、更動態(tài)的環(huán)境和一組擴展的攻擊面。
威脅行為者正在利用這種復(fù)雜性,通過組織防護機制中的漏洞執(zhí)行殘酷的大規(guī)模攻擊。攻擊通常是多方面的,跨越組織運營和基礎(chǔ)設(shè)施的多個元素。攻擊者在日益增長的“網(wǎng)絡(luò)犯罪即服務(wù)”領(lǐng)域也變得更加協(xié)調(diào)。
跟上當(dāng)今的威脅意味著要保護每個主要攻擊面,包括電子郵件、身份、端點、物聯(lián)網(wǎng)(IoT)、云和外部。從安全的角度來看,組織的真正實力往往取決于最薄弱的環(huán)節(jié),而攻擊者也越來越善于發(fā)現(xiàn)這些環(huán)節(jié)。好消息是,大多數(shù)威脅可以通過實施基礎(chǔ)的安全措施來阻止。事實上,研究發(fā)現(xiàn),基礎(chǔ)的安全衛(wèi)生舉措仍然可以抵御98%的網(wǎng)絡(luò)攻擊。
對威脅的端到端可見性是良好安全習(xí)慣的基礎(chǔ)。正確的威脅情報使安全團隊能夠全面了解威脅情況,使他們能夠領(lǐng)先于新出現(xiàn)的威脅,并不斷完善防御措施。當(dāng)威脅行為者侵入時,全面的威脅情報對于了解發(fā)生了什么并防止再次發(fā)生至關(guān)重要。
下面我們將討論與組織中6大主要攻擊面——電子郵件、身份、端點、物聯(lián)網(wǎng)、云和外部——相關(guān)的威脅趨勢和挑戰(zhàn)。
1.電子郵件仍是頭號威脅載體以及防御的重點領(lǐng)域
對于大多數(shù)組織來說,電子郵件是日常業(yè)務(wù)操作的重要組成部分。不幸的是,電子郵件仍然是頭號威脅載體。2022年,35%的勒索軟件事件涉及使用電子郵件。攻擊者進行的電子郵件攻擊比以往任何時候都多:2022年,網(wǎng)絡(luò)釣魚攻擊的發(fā)生率比2021年增加了61%。
攻擊者現(xiàn)在通常還利用合法資源進行網(wǎng)絡(luò)釣魚攻擊。這使得用戶更加難以區(qū)分真實和惡意電子郵件,增加了威脅成功的可能性。例如,威脅行為者正在濫用合法的云服務(wù)提供商,來欺騙用戶授予訪問機密數(shù)據(jù)的權(quán)限。
如果無法將電子郵件信號與更廣泛的事件相關(guān)聯(lián)以可視化攻擊,則可能需要很長時間才能檢測到通過電子郵件進入的威脅行為者。到那時,想要阻止破壞可能為時已晚。攻擊者訪問一個組織的私有數(shù)據(jù)所需的平均時間僅為72分鐘。這可能會導(dǎo)致企業(yè)層面的嚴(yán)重?fù)p失。據(jù)估計,商業(yè)郵件泄露(BEC)在2021年造成了24億美元的經(jīng)濟損失。
除了URL檢查和禁用宏等保護措施外,員工教育對于防止威脅產(chǎn)生影響至關(guān)重要。模擬的網(wǎng)絡(luò)釣魚電子郵件和關(guān)于如何識別惡意內(nèi)容(即使它看起來是合法的)的指導(dǎo)材料是關(guān)鍵的預(yù)防性安全措施。我們預(yù)計,威脅行為者將繼續(xù)提高其執(zhí)行電子郵件攻擊的社會工程手段,利用人工智能和其他工具來提高惡意電子郵件的說服力和個性化。這只是一個例子,相信隨著組織在解決當(dāng)今的電子郵件威脅方面做得越來越好,威脅將繼續(xù)演變。
2.擴展的身份格局也為威脅行為者提供了更多機會
在當(dāng)今支持云計算的世界中,安全訪問變得比以往任何時候都更加重要。因此,深入了解整個組織的身份(包括用戶帳戶權(quán)限、工作負(fù)載身份及其潛在漏洞)至關(guān)重要,特別是在攻擊的頻率和創(chuàng)造性不斷增加的情況下。
2022年,密碼攻擊次數(shù)估計上升到每秒921次,比2021年增長了74%。此外,研究人員還看到威脅參與者在規(guī)避多因素身份驗證(MFA)方面變得更有創(chuàng)意,他們使用諸如Adversary-in-the-Middle(AiTM)網(wǎng)絡(luò)釣魚攻擊和令牌濫用等技術(shù)來訪問組織的數(shù)據(jù)。網(wǎng)絡(luò)釣魚工具使威脅行為者更容易竊取憑證。研究觀察到,在過去的一年里,網(wǎng)絡(luò)釣魚工具的復(fù)雜性有所增加,而且進入門檻非常低——一個賣家提供的網(wǎng)絡(luò)釣魚工具每天只需6美元。
管理身份攻擊面不僅僅是保護用戶帳戶,它還跨越了云訪問和工作負(fù)載身份。被破壞的憑據(jù)可能是威脅參與者用來對組織的云基礎(chǔ)設(shè)施造成嚴(yán)重破壞的強大工具。
攻擊者經(jīng)常通過獲取第三方帳戶或其他與組織相連的高度特權(quán)帳戶的訪問權(quán)限,然后使用這些憑據(jù)滲透到云并竊取數(shù)據(jù)。盡管在權(quán)限審計中經(jīng)常忽略工作負(fù)載身份(分配給軟件工作負(fù)載,如應(yīng)用程序,以訪問其他服務(wù)和資源的身份),但隱藏在工作負(fù)載中的身份信息可以使威脅參與者訪問整個組織的數(shù)據(jù)。
隨著身份領(lǐng)域的不斷擴展,我們預(yù)計,針對身份的攻擊將在數(shù)量和種類上繼續(xù)增長。這意味著保持對身份和訪問的全面理解將繼續(xù)是至關(guān)重要的任務(wù)。
3.混合環(huán)境和影子IT增加了端點盲點
考慮到當(dāng)今混合環(huán)境中設(shè)備的絕對數(shù)量,保護端點變得更具挑戰(zhàn)性。但不變的是,保護端點(特別是未管理的設(shè)備)對于強大的安全態(tài)勢至關(guān)重要,因為即使是一次簡單的妥協(xié)也可能使威脅參與者侵入您的組織。
隨著企業(yè)采用BYOD(自帶設(shè)備)政策,非管理設(shè)備激增。因此,端點攻擊面現(xiàn)在變得更大,更暴露。平均而言,一個企業(yè)中有3500臺連接的設(shè)備沒有受到端點檢測和響應(yīng)代理的保護。
非托管設(shè)備(屬于“影子IT”領(lǐng)域的一部分)對威脅參與者極具吸引力,因為安全團隊缺乏必要的可見性來保護它們。研究發(fā)現(xiàn),用戶在非托管設(shè)備上被感染的可能性要高出71%。由于非托管設(shè)備連接到公司網(wǎng)絡(luò),因此也為攻擊者提供了對服務(wù)器和其他基礎(chǔ)設(shè)施發(fā)動更廣泛攻擊的機會。
非托管服務(wù)器也是端點攻擊的潛在載體。在2021年,研究人員觀察到一次攻擊,威脅行為者利用未打補丁的服務(wù)器,在目錄中導(dǎo)航,并發(fā)現(xiàn)了一個提供帳戶憑據(jù)訪問的密碼文件夾。
然后,攻擊者就能登錄到組織內(nèi)的許多設(shè)備,以收集和泄露大量數(shù)據(jù),包括知識產(chǎn)權(quán)。接下來,攻擊者就會威脅稱,如果不支付后續(xù)贖金,就會公布信息。這種做法被稱為“雙重勒索”,這是研究人員在過去一年中看到的一個令人擔(dān)憂的場景。即使支付了贖金,也不能保證數(shù)據(jù)不會被加密,甚至不能保證數(shù)據(jù)會被歸還。
隨著端點數(shù)量的持續(xù)增長,威脅參與者無疑會繼續(xù)將端點(尤其是未管理的端點)視為有吸引力的目標(biāo)。因此,改進端點可見性和安全態(tài)勢可以為組織提供重要的價值。
4.物聯(lián)網(wǎng)設(shè)備呈指數(shù)級增長,威脅也呈指數(shù)級增長
最容易被忽視的端點攻擊媒介之一是IoT(物聯(lián)網(wǎng))——其中包括數(shù)十億個大大小小的設(shè)備。物聯(lián)網(wǎng)安全涵蓋連接到網(wǎng)絡(luò)并與網(wǎng)絡(luò)交換數(shù)據(jù)的物理設(shè)備,如路由器、打印機、相機和其他類似設(shè)備。它還可以包括操作設(shè)備和傳感器(運營技術(shù),或“OT”),例如制造生產(chǎn)線上的智能設(shè)備。
隨著物聯(lián)網(wǎng)設(shè)備數(shù)量的激增,漏洞的數(shù)量也在隨之增加。IDC預(yù)測,到2025年,將有410億個物聯(lián)網(wǎng)設(shè)備出現(xiàn)在企業(yè)和消費者環(huán)境中。由于許多組織正在強化路由器和網(wǎng)絡(luò),使其更難以被威脅行為者攻破,物聯(lián)網(wǎng)設(shè)備正成為一個更容易、更有吸引力的目標(biāo)。
我們經(jīng)??吹酵{行為者利用漏洞將物聯(lián)網(wǎng)設(shè)備變成代理——使用暴露的設(shè)備作為進入網(wǎng)絡(luò)的立足點。一旦威脅行為者獲得了對物聯(lián)網(wǎng)設(shè)備的訪問權(quán)限,他們就可以監(jiān)控其他未受保護資產(chǎn)的網(wǎng)絡(luò)流量,橫向移動以滲透目標(biāo)基礎(chǔ)設(shè)施的其他部分,或者執(zhí)行偵察以計劃對敏感設(shè)備和設(shè)備的大規(guī)模攻擊。在一項研究中,35%的安全從業(yè)者報告稱,在過去兩年中,物聯(lián)網(wǎng)設(shè)備被用來對他們的組織進行更廣泛的攻擊。
不幸的是,就可見性而言,物聯(lián)網(wǎng)通常是組織的“黑箱”,許多組織缺乏適當(dāng)?shù)奈锫?lián)網(wǎng)安全措施。60%的安全從業(yè)者認(rèn)為物聯(lián)網(wǎng)和OT安全是其IT和OT基礎(chǔ)設(shè)施中最不安全的方面之一。
物聯(lián)網(wǎng)設(shè)備本身通常包含危險的漏洞。數(shù)據(jù)顯示,在互聯(lián)網(wǎng)上公開可見的100萬臺連接設(shè)備正在運行Boa web服務(wù)器,這是一種過時的、不受支持的軟件,但仍廣泛用于物聯(lián)網(wǎng)設(shè)備和軟件開發(fā)工具包(sdk)。
越來越多的國家正在注意到這些盲點,并要求改進物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全。雖然物聯(lián)網(wǎng)目前是人們關(guān)注的焦點,但網(wǎng)絡(luò)安全法規(guī)也在其他領(lǐng)域擴展,這使得組織獲得跨攻擊面可見性變得更加緊迫。
5.保護云既關(guān)鍵又復(fù)雜
組織越來越多地將基礎(chǔ)設(shè)施、應(yīng)用程序開發(fā)、工作負(fù)載和大量數(shù)據(jù)轉(zhuǎn)移到云上。保護云環(huán)境意味著保護分布在多個云上的一系列服務(wù),包括SaaS、IaaS和PaaS。考慮到所涉及的服務(wù)的廣度和分布,很難在每一層獲得適當(dāng)?shù)目梢娦院捅Wo級別。
許多組織都在努力獲得跨云生態(tài)系統(tǒng)的端到端可見性,特別是隨著數(shù)據(jù)越來越多地駐留在多個云和混合環(huán)境中。通常,缺乏可見性意味著存在安全漏洞。研究人員發(fā)現(xiàn),84%遭受勒索軟件攻擊的組織沒有將他們的多云資產(chǎn)與他們的安全工具集成,這是一個關(guān)鍵的疏忽。
向云的廣泛遷移也增加了網(wǎng)絡(luò)犯罪分子可以利用的新攻擊媒介的數(shù)量,許多人通過權(quán)限安全漏洞獲得訪問權(quán)限。在云中開發(fā)的應(yīng)用程序中存在未知的基于代碼的漏洞,這極大地增加了被破壞的風(fēng)險。因此,研究發(fā)現(xiàn),跨組織的頂級云攻擊媒介是“云應(yīng)用程序開發(fā)”。
采用“左移”安全方法——在應(yīng)用程序開發(fā)的早期階段結(jié)合安全思想——可以幫助組織加強他們的安全態(tài)勢,并預(yù)先避免引入這些漏洞。
“云存儲”是另一個越來越常見的攻擊媒介,因為不正確的權(quán)限可能會使用戶數(shù)據(jù)處于危險之中。此外,云服務(wù)提供商本身也可能受到威脅。2021年,Midnight Blizzard(一個與俄羅斯有關(guān)的威脅行為者組織,原名NOBELIUM)對一家云服務(wù)提供商發(fā)起了網(wǎng)絡(luò)釣魚攻擊,試圖破壞和利用政府特權(quán)客戶賬戶。這只是現(xiàn)代云威脅的一個例子,我們預(yù)計,未來會看到更多的跨云攻擊。
6.保護外部攻擊面是一個互聯(lián)網(wǎng)規(guī)模的挑戰(zhàn)
如今,一個組織的外部攻擊面跨越多個云、復(fù)雜的數(shù)字供應(yīng)鏈和龐大的第三方生態(tài)系統(tǒng)?;ヂ?lián)網(wǎng)現(xiàn)在是網(wǎng)絡(luò)的一部分,盡管它的規(guī)模幾乎是不可估量的,安全團隊必須保護他們的組織在整個互聯(lián)網(wǎng)上的存在。隨著越來越多的組織采用零信任原則,保護內(nèi)部和外部攻擊面已成為互聯(lián)網(wǎng)規(guī)模的挑戰(zhàn)。
外部攻擊面遠遠超出了組織自身資產(chǎn)的范圍。它通常包括供應(yīng)商、合作伙伴、連接到公司網(wǎng)絡(luò)或資產(chǎn)的非管理員工個人設(shè)備,以及新收購的組織。因此,為了減輕潛在的威脅,了解外部連接和暴露是至關(guān)重要的。2020年P(guān)onemon的一份報告顯示,53%的組織在過去兩年中至少經(jīng)歷過一次由第三方造成的數(shù)據(jù)泄露,平均花費750萬美元來修復(fù)。
隨著網(wǎng)絡(luò)攻擊背后的基礎(chǔ)設(shè)施不斷增加,獲取威脅基礎(chǔ)設(shè)施的可見性和盤點暴露在互聯(lián)網(wǎng)上的資產(chǎn)變得比以往任何時候都更加緊迫。研究發(fā)現(xiàn),組織常常難以理解其外部暴露的范圍,從而產(chǎn)生重大的盲點。這些盲點會帶來毀滅性的后果。在2021年,61%的企業(yè)經(jīng)歷了勒索軟件攻擊,導(dǎo)致至少部分業(yè)務(wù)運營中斷。
在評估安全狀態(tài)時,從外到內(nèi)查看組織非常重要。除了VAPT(漏洞評估和滲透測試)之外,深入了解外部攻擊面非常重要,這樣組織就可以在整個環(huán)境和擴展生態(tài)系統(tǒng)中識別漏洞。試想如果你是一個試圖進入系統(tǒng)的攻擊者,你可以利用什么?了解組織外部攻擊面的全部范圍是確保其安全的基礎(chǔ)。
參考及來源:https://cloudsecurityalliance.org/blog/2023/06/02/anatomy-of-a-modern-attack-surface/