日前,XM Cyber研究團隊針對200萬個本地、多雲和混合環境中的端點、檔案、資料夾和雲資源進行分析,形成了《2022年攻擊路徑管理影響報告》(Attack Path Management Impact Report 2022,以下簡稱“報告”),揭示了在當前企業網路及雲環境中危害企業關鍵資產的攻擊技術、攻擊路徑和影響。
透過調研,報告建議組織透過檢視整個環境來了解攻擊者如何實施攻擊,重點不應僅僅聚焦在安全漏洞上,還有很多其他問題需要處理。調查資料顯示,新一代攻擊者僅需4個“躍點(hop,即攻擊者從入侵點到破壞關鍵資產所採取的步驟數量)”,就能從初始攻擊點破壞94%的關鍵資產。孤立的安全工具只關注某些特定的安全工作,但多種攻擊技術的組合才是組織面臨的最大風險。安全團隊需要仔細研究其環境中存在的混合雲攻擊、錯誤配置和身份問題。
報告認為,在應用更加廣泛的雲環境中,需要注意有許多看似合規的小問題,但當把它們累積時,會發現這是一個很大的風險,甚至會產生一種意想不到的後果。當企業將所有這些放在一起時,會發現本地和雲以及它們之間的關係才是我們需要解決的關鍵領域。很多企業仍然不能清晰瞭解自身的安全狀態,並瞭解所有可能危及在本地和雲環境中業務的風險。為了更好了解攻擊的變化,以及這些變化如何影響風險。對攻擊路徑進行建模來預測風險是一種值得嘗試的方法。
報告的關鍵發現
攻擊者最多隻需4個“躍點”即可完成94%的網路攻擊;
一個組織75%的關鍵資產在其當時的安全狀態下可能已經受到損害;
73%的主流攻擊技術涉及管理不善或被盜的憑據,27%的主流技術涉及漏洞或配置錯誤;
企業中95%的使用者都擁有長期訪問金鑰,這可能會危及關鍵資產安全;
面對新的RCE(遠端程式碼執行)技術,78%的企業可能受到威脅;
75%的企業擁有面向外部的EC2(AWS提供的一種計算服務,以EC2例項形式存在,一個EC2例項可以被認為是一個虛擬機器)裝置,對關鍵資產構成風險;
知道從哪裡中斷攻擊路徑,需要修復的問題會減少80%。
Top 12攻擊技術
報告顯示,73%的主流攻擊技術涉及管理不善或被盜的憑據;而27%的主流技術涉及漏洞或配置錯誤。
1. 域憑據(利用受損憑據、雜湊傳遞攻擊等),佔比23.7%;
2. “投毒”共享內容(檔案共享問題、許可權),佔比14.2%;
3. 組策略修改(域控制器妥協,濫用組策略),佔比10.1%;
4. 本地憑據,佔比9.5%;
5. PrintNightmare漏洞,佔比8.1%;
6. 憑據中繼攻擊,佔比7.2%;
7. Exe Share Hooking(可執行檔案的許可權),佔比6%;
8. Microsoft SQL憑據,佔比5.6%;
9. WPAD欺騙(中間人攻擊技術),佔比4.7%;
10. 可達性(網路分段問題),佔比4.2%;
11. 憑據轉儲,佔比3.9%;
12. 虛擬機器上的Azure執行命令,佔比2.8%。
安全建議:強大的補丁管理將減少攻擊向量並防止漏洞被利用。此外,透過使用作業系統本身的安全功能(如使用者身份驗證),也可以防止大量濫用不同憑證問題的攻擊向量。需要注意的是,我們還應摒棄“修補漏洞就可以解決所有問題並阻止橫向移動”這種錯誤認知。研究表明,近30%的攻擊技術濫用錯誤配置和憑據來入侵和破壞組織。
目前常見的新攻擊技術
XM網路研究團隊將2021年針對企業使用的所有新攻擊技術分為三組:雲技術、遠端程式碼執行(REC)技術以及將雲和REC結合起來(REC+雲)的技術,以瞭解攻擊面的範圍以及高階持續威脅(APT,即結合多種技術來破壞目標)的使用情況。結果顯示:
在測試環境中發現87%的新型雲技術;
在測試環境中發現70%的新型REC技術;
在測試環境中發現82% 的新型REC+雲技術。
而這些技術對企業的影響結果為:
32%的企業可能會受到新型雲技術的威脅;
78%的企業可能會受到新型RCE技術的影響;
90%的企業可能會受到新型RCE+雲技術的影響。
安全建議:這些是企業需要關注並積極努力在其環境中消除的技術。當一種新的RCE技術出現時,近80%的企業可能會受到威脅,而當它與雲技術結合在攻擊路徑中,90%的企業可能會受到威脅。顯然,如果有這麼多漏洞可以很輕鬆地被利用,那麼企業的補丁管理是低於標準且無效的。
跨本地和雲的攻擊路徑
在混合網路架構中,攻擊路徑可能會變得非常複雜。該研究揭示了跨本地和雲環境中存在的安全漏洞和攻擊技術,以及對所有環境中的關鍵資產保持全面可視性的重要意義。
企業在遷移至混合雲環境時可能並沒有明確定義戰略。對此,企業可以允許各個部門採用自己的遷移策略。有時,缺乏統一遷移戰略的原因可能涉及更廣泛的業務事件,例如收購了擁有一個雲服務供應商的企業,或是與其他使用不同雲供應商的企業合併。這種計劃外的大規模雲環境的複雜性和攻擊面數量會影響整個企業IT資源的安全性,包括:資產、網路、平臺和應用程式安全。
XM網路研究團隊還深入研究了專用於混合雲、AWS和Azure環境中的攻擊技術:
在混合雲中,41%的混合雲組織(不止一個雲供應商)在其環境中使用了“本地到雲”(On-prem to Cloud)技術;38%的Azure組織在其環境中使用了“雲到本地”(Cloud to On-prem)技術;95%的使用者擁有長期訪問金鑰,這可能會增加關鍵資產面臨的風險。
安全建議:研究表明,組織在雲和本地網路之間存在脫節——在許多情況下,企業有管理X的devops 團隊,以及管理Y的團隊,但它們之間缺乏連線的上下文——這些攻擊揭示了它們之間的隱藏聯絡。只有透過檢視跨混合網路的攻擊路徑,團隊才能實現協作並有效地縮小缺口。