5

2022年攻击路径研究:94%的网络攻击仅需四步即可完成!

 2 years ago
source link: https://netsecurity.51cto.com/article/706311.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client
2022年攻击路径研究:94%的网络攻击仅需四步即可完成!-51CTO.COM
2022年攻击路径研究:94%的网络攻击仅需四步即可完成!
作者:安全牛 2022-04-12 11:56:14
通过调研,报告建议组织通过查看整个环境来了解攻击者如何实施攻击,重点不应仅仅聚焦在安全漏洞上,还有很多其他问题需要处理。

143e2aa94193c02adaf284e4864e899f9d93b6.png

日前,XM Cyber研究团队针对200万个本地、多云和混合环境中的端点、文件、文件夹和云资源进行分析,形成了《2022年攻击路径管理影响报告》(Attack Path Management Impact Report 2022,以下简称“报告”),揭示了在当前企业网络及云环境中危害企业关键资产的攻击技术、攻击路径和影响。

通过调研,报告建议组织通过查看整个环境来了解攻击者如何实施攻击,重点不应仅仅聚焦在安全漏洞上,还有很多其他问题需要处理。调查数据显示,新一代攻击者仅需4个“跃点(hop,即攻击者从入侵点到破坏关键资产所采取的步骤数量)”,就能从初始攻击点破坏94%的关键资产。孤立的安全工具只关注某些特定的安全工作,但多种攻击技术的组合才是组织面临的最大风险。安全团队需要仔细研究其环境中存在的混合云攻击、错误配置和身份问题。

报告认为,在应用更加广泛的云环境中,需要注意有许多看似合规的小问题,但当把它们累积时,会发现这是一个很大的风险,甚至会产生一种意想不到的后果。当企业将所有这些放在一起时,会发现本地和云以及它们之间的关系才是我们需要解决的关键领域。很多企业仍然不能清晰了解自身的安全状态,并了解所有可能危及在本地和云环境中业务的风险。为了更好了解攻击的变化,以及这些变化如何影响风险。对攻击路径进行建模来预测风险是一种值得尝试的方法。

报告的关键发现

  • 攻击者最多只需4个“跃点”即可完成94%的网络攻击;
  • 一个组织75%的关键资产在其当时的安全状态下可能已经受到损害;
  • 73%的主流攻击技术涉及管理不善或被盗的凭据,27%的主流技术涉及漏洞或配置错误;
  • 企业中95%的用户都拥有长期访问密钥,这可能会危及关键资产安全;
  • 面对新的RCE(远程代码执行)技术,78%的企业可能受到威胁;
  • 75%的企业拥有面向外部的EC2(AWS提供的一种计算服务,以EC2实例形式存在,一个EC2实例可以被认为是一个虚拟机)设备,对关键资产构成风险;
  • 知道从哪里中断攻击路径,需要修复的问题会减少80%。

Top 12攻击技术

报告显示,73%的主流攻击技术涉及管理不善或被盗的凭据;而27%的主流技术涉及漏洞或配置错误。

1. 域凭据(利用受损凭据、哈希传递攻击等),占比23.7%;

2. “投毒”共享内容(文件共享问题、权限),占比14.2%;

3. 组策略修改(域控制器妥协,滥用组策略),占比10.1%;

4. 本地凭据,占比9.5%;

5. PrintNightmare漏洞,占比8.1%;

6. 凭据中继攻击,占比7.2%;

7. Exe Share Hooking(可执行文件的权限),占比6%;

8. Microsoft SQL凭据,占比5.6%;

9. WPAD欺骗(中间人攻击技术),占比4.7%;

10. 可达性(网络分段问题),占比4.2%;

11. 凭据转储,占比3.9%;

12. 虚拟机上的Azure运行命令,占比2.8%。

安全建议:强大的补丁管理将减少攻击向量并防止漏洞被利用。此外,通过使用操作系统本身的安全功能(如用户身份验证),也可以防止大量滥用不同凭证问题的攻击向量。需要注意的是,我们还应摒弃“修补漏洞就可以解决所有问题并阻止横向移动”这种错误认知。研究表明,近30%的攻击技术滥用错误配置和凭据来入侵和破坏组织。

目前常见的新攻击技术

XM网络研究团队将2021年针对企业使用的所有新攻击技术分为三组:云技术、远程代码执行(REC)技术以及将云和REC结合起来(REC+云)的技术,以了解攻击面的范围以及高级持续威胁(APT,即结合多种技术来破坏目标)的使用情况。结果显示:

  • 在测试环境中发现87%的新型云技术;
  • 在测试环境中发现70%的新型REC技术;
  • 在测试环境中发现82% 的新型REC+云技术。

而这些技术对企业的影响结果为:

  • 32%的企业可能会受到新型云技术的威胁;
  • 78%的企业可能会受到新型RCE技术的影响;
  • 90%的企业可能会受到新型RCE+云技术的影响。

安全建议:这些是企业需要关注并积极努力在其环境中消除的技术。当一种新的RCE技术出现时,近80%的企业可能会受到威胁,而当它与云技术结合在攻击路径中,90%的企业可能会受到威胁。显然,如果有这么多漏洞可以很轻松地被利用,那么企业的补丁管理是低于标准且无效的。

跨本地和云的攻击路径

在混合网络架构中,攻击路径可能会变得非常复杂。该研究揭示了跨本地和云环境中存在的安全漏洞和攻击技术,以及对所有环境中的关键资产保持全面可视性的重要意义。

企业在迁移至混合云环境时可能并没有明确定义战略。对此,企业可以允许各个部门采用自己的迁移策略。有时,缺乏统一迁移战略的原因可能涉及更广泛的业务事件,例如收购了拥有一个云服务供应商的企业,或是与其他使用不同云供应商的企业合并。这种计划外的大规模云环境的复杂性和攻击面数量会影响整个企业IT资源的安全性,包括:资产、网络、平台和应用程序安全。

XM网络研究团队还深入研究了专用于混合云、AWS和Azure环境中的攻击技术:

在混合云中,41%的混合云组织(不止一个云供应商)在其环境中使用了“本地到云”(On-prem to Cloud)技术;38%的Azure组织在其环境中使用了“云到本地”(Cloud to On-prem)技术;95%的用户拥有长期访问密钥,这可能会增加关键资产面临的风险。

安全建议:研究表明,组织在云和本地网络之间存在脱节——在许多情况下,企业有管理X的devops 团队,以及管理Y的团队,但它们之间缺乏连接的上下文——这些攻击揭示了它们之间的隐藏联系。只有通过查看跨混合网络的攻击路径,团队才能实现协作并有效地缩小缺口。

原文链接:https://info.xmcyber.com/hubfs/Attack%20Path%20Management%20Impact%20Report%202022%20_XM%20Cyber.pdf


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK