《2023年網(wǎng)絡威脅態(tài)勢報告》:攻防的本質(zhì)未變,但游戲的規(guī)則在不斷演變!
日前,專業(yè)網(wǎng)絡安全廠商Comcast Business發(fā)布了《2023年網(wǎng)絡威脅態(tài)勢報告》,旨在幫助企業(yè)及其他機構的技術和安全領導者們更深入地了解網(wǎng)絡安全威脅的趨勢,并采取正確措施應對威脅。報告研究認為,雖然攻擊者的工具和手法發(fā)生了變化,但其攻擊的底層邏輯并沒有變化,仍然是建立在情感操縱和社會工程的基礎上。因此,網(wǎng)絡安全攻防的本質(zhì)并未改變。但是游戲的規(guī)則在不斷變化,非專業(yè)的攻擊者也能快速獲取到大量的漏洞信息、攻擊工具甚至攻擊服務,在一個“變化即現(xiàn)實”的網(wǎng)絡安全環(huán)境中,保持對各種攻擊信息的及時獲取和更新,將成為開展網(wǎng)絡安全防護建設時的最基礎要求。
內(nèi)部漏洞威脅不斷加劇
每個企業(yè),無論規(guī)模大小,都可能因一次點擊而遭受損失巨大的網(wǎng)絡攻擊。更糟糕的是,今天的黑客比以往更容易找到可利用的潛在漏洞。過去,大多數(shù)攻擊都是從利用暴露的外部網(wǎng)絡資產(chǎn)漏洞開始的,而如今,很多被攻擊者利用的漏洞源于企業(yè)內(nèi)部員工或第三方合作伙伴。
對企業(yè)組織而言,攻擊者的攻擊企圖是不可避免的,且可能超出了企業(yè)的控制。但企業(yè)組織能控制的是,選擇在攻擊實際發(fā)生前做好防護計劃和準備,還是在攻擊發(fā)生后再去善后。為了應對不斷加劇的潛在漏洞威脅,報告研究人員給出了以下建議:
01、做好網(wǎng)絡邊界防護仍然重要
并不是所有的攻擊都發(fā)生在企業(yè)的網(wǎng)絡內(nèi)部,但是大多數(shù)攻擊者都會將進入到企業(yè)的內(nèi)部網(wǎng)絡作為一個重要目標,因為這是企業(yè)的“皇冠上的珠寶”所在。一旦進入企業(yè)的內(nèi)部網(wǎng)絡,用于傳播和破壞的攻擊策略就會迅速升級,破壞的程度也會大幅提升。
02、識別常見的入侵策略
攻擊者會使用一個策略完整的工具箱來攻擊企業(yè)的網(wǎng)絡,但最常使用的仍然是一些最流行的方法和策略,因為這些策略的適用范圍更廣,對攻擊者的專業(yè)要求也較低。在此次調(diào)查結果中,10次入侵嘗試就有9次是從網(wǎng)絡釣魚開始的,這與行業(yè)統(tǒng)計數(shù)據(jù)基本一致。此外,濫用憑據(jù)、遠程終端利用、弱口令等也是黑客們經(jīng)常使用的入侵策略。
03、體系化縱深防御
對于企業(yè)組織而言,要想有效地檢測、阻止和緩解大數(shù)據(jù)量級別的攻擊活動,不僅需要專業(yè)的安全團隊和知識積累,還需要覆蓋一定的規(guī)模,同時要申請配備足夠的資源來進行保障。報告數(shù)據(jù)顯示,在2022年期間,Comcast Business威脅實驗室共檢測到235億次網(wǎng)絡攻擊企圖,按ATT&CK戰(zhàn)術具體細分,可分解為:2.428億次偵察嘗試;2470萬次資源獲取嘗試;20.3億次初始訪問嘗試;32億次策略執(zhí)行嘗試;4930萬次持久化嘗試;2.228億次提權嘗試;8.317億次防御繞過嘗試;1.767億次憑據(jù)獲取嘗試;40萬次資產(chǎn)發(fā)現(xiàn)嘗試;1.553億次橫向移動嘗試;62.5億次非法命令和控制嘗試;1.439億次數(shù)據(jù)滲漏嘗試;101億次攻擊影響嘗試。
網(wǎng)絡攻擊的本質(zhì)未變
報告研究發(fā)現(xiàn),網(wǎng)絡釣魚仍然是攻擊者當前發(fā)起初始網(wǎng)絡攻擊的最流行手段,而獲取訪問憑證則是網(wǎng)絡釣魚攻擊者的最主要目標。在2022年,研究人員共檢測到近20億次(1,830,533,465次)網(wǎng)絡釣魚嘗試,其中大多數(shù)可以直接識別為試圖獲得初始訪問權限。盡管很多網(wǎng)絡釣魚在直接獲取憑證方面不一定有效,然而,攻擊者擅長利用人性弱點來獲得入侵網(wǎng)絡的初始立足點,這可以幫助他們后續(xù)訪問到大量產(chǎn)生憑據(jù)的域服務器和數(shù)據(jù)庫。
研究人員在網(wǎng)絡釣魚攻擊活動中,檢測到大量的憑證盜竊惡意軟件,主要類型包括:
● 34%為財務信息和憑據(jù):包含假冒銀行網(wǎng)址的網(wǎng)絡釣魚活動,旨在竊取實施信用卡盜竊所需的信息;
● 60%為其他憑據(jù)盜竊:利用社交媒體頁面中的實際帖子進行網(wǎng)絡釣魚活動。這些帖子使用網(wǎng)址縮短器鏈接到釣魚網(wǎng)站,以避免被社交媒體平臺標記和刪除;
● 6%涉及惡意文件的盜竊:使用需要用戶交互的惡意文檔進行網(wǎng)絡釣魚活動。
凡是能夠獲得“合法”憑據(jù)的攻擊者,都將是強大而危險的敵人,因為他們可以對應用程序進行身份驗證、安全繞過、提升特權并隨意進行惡意活動。調(diào)查發(fā)現(xiàn)了超過5400萬次濫用初始訪問憑證的嘗試,包括暴力破解以及失敗的登錄嘗試。在暗網(wǎng)市場上,目前最搶手的是遠程桌面協(xié)議(RDP)訪問的有效憑據(jù)。研究發(fā)現(xiàn),大約68%的暗網(wǎng)帖子與銷售RDP訪問憑據(jù)有關。
在新冠疫情大流行期間,許多組織急于為員工啟用遠程訪問,這也導致了大量未使用的端口暴露。數(shù)據(jù)顯示,攻擊者利用易受攻擊的RDP配置,進行了超過1.85億次嘗試,以獲得對目標網(wǎng)絡的遠程訪問。RDP漏洞也越來越多地被用于通過勒索軟件(如Maze、Venus和Ryuk)感染網(wǎng)絡。
不過,RDP漏洞并非唯一流行的選項。未經(jīng)身份驗證的用戶也在利用傳輸控制協(xié)議(TCP)中的漏洞,并進行了1.39億次嘗試來與目標服務器建立TCP連接。研究數(shù)據(jù)顯示,網(wǎng)絡釣魚、RDP漏洞和憑據(jù)濫用媒介占所有初始訪問嘗試的95%。停放域名、MitM活動和惡意url占剩余的5%。
利用率最高的10大安全漏洞
在報告中,研究人員總結了在2022年被攔截次數(shù)最多的10大漏洞利用企圖:
允許未經(jīng)身份驗證的遠程攻擊者連接到監(jiān)聽端口8888的“CloudMe Sync”客戶端應用程序,并發(fā)送惡意負載,導致緩沖區(qū)溢出,存在顯著的信息披露風險。
研究人員特別指出,早在2021年就已經(jīng)被發(fā)現(xiàn)的Log4j漏洞直至現(xiàn)在仍然流行。研究表明,到目前為止,五分之三的組織都經(jīng)歷過Log4j漏洞攻擊,并實際發(fā)生了后門惡意軟件安裝,系統(tǒng)憑據(jù)和數(shù)據(jù)盜竊,以及植入加密礦工惡意軟件等惡意結果。Log4j漏洞之所以流行,是因為它被廣泛部署在數(shù)百萬個java應用程序中,這使得72%的組織容易受到攻擊。而在2022年10月時,只有28%的易受攻擊的組織已經(jīng)修復或修補了易受攻擊的應用程序。即便是許多修復了該漏洞的組織,在將新系統(tǒng)引入其網(wǎng)絡環(huán)境時還會再次引入Log4j漏洞。
DDoS攻擊出現(xiàn)新變化
報告數(shù)據(jù)顯示,全球DDoS攻擊數(shù)量在2022年略有下降。然而,這并不意味著它們不再是企業(yè)的主要網(wǎng)絡威脅關注點。報告觀察到DDoS活動的起伏和變化,在某些行業(yè)甚至發(fā)生了更大的集中。在2022年,研究人員共檢測到51915次DDoS攻擊。
【2022年Comcast Business每月檢測到的DDoS攻擊次數(shù)】
調(diào)查顯示,大部分DDoS攻擊的時間都在10分鐘以內(nèi)完成。自2022年以來,短爆發(fā)型DDoS攻擊的趨勢一直在持續(xù)。短-爆發(fā)攻擊更難被企業(yè)組織檢測到,特別是如果組織試圖使用防火墻速率限制策略,而非運營商級服務來阻止它們時。多個短時間攻擊就能夠快速耗盡企業(yè)IT團隊的資源,攻擊者可以將分散IT團隊注意力作為煙幕,執(zhí)行更危險的攻擊。
教育行業(yè)(46%)是DDoS攻擊的重要目標領域,而IT和技術服務(25%)細分市場也出現(xiàn)了DDoS攻擊增長趨勢,取代了政府部門,成為2022年遭受攻擊的前四大行業(yè)。最近另一個引人注目的DDoS攻擊目標是醫(yī)療保健行業(yè)(13%),這也促使美國政府在2023年初發(fā)布了一份特別公告。
2022年期間,DDoS攻擊的戰(zhàn)術并沒有太大改變。大多數(shù)攻擊仍然使用低復雜性、高影響力的泛洪技術。總流量、UDP和TCP Sync是目前使用最多的三個攻擊向量。不過多向量攻擊將DDoS提升到一個新的水平,允許攻擊者創(chuàng)建更復雜的攻擊。它們的使用量正在上升。然而,它們需要專業(yè)知識才能實現(xiàn),這就是為什么研究人員認為“行之有效”的技術仍然占主導地位。
降低網(wǎng)絡安全風險的最佳實踐
了解過去的安全威脅和數(shù)據(jù)泄露趨勢只是成功的一半。沒有哪個組織是完美的,但每個企業(yè)都需要一個明確的網(wǎng)絡安全戰(zhàn)略和路線圖。許多組織仍然采用分散的安全控制措施,并留下了大量的缺口和殘留的風險。隨著攻擊者開始使用多種媒介來破壞安全控制,防御者也需要采取“縱深防御”的方法來降低風險。在本次報告中,研究人員也給出了一些指導性建議,以幫助企業(yè)組織改善當前的安全態(tài)勢。
● 網(wǎng)絡釣魚:開展持續(xù)性的全員安全意識培訓,并部署新一代郵件安全網(wǎng)關服務來檢查每封郵件中的危險附件和url。
● 憑據(jù)安全:企業(yè)應該通過具有多因素身份驗證的集中式身份代理對所有資源進行身份驗證;在整個組織中集中目錄管理,并創(chuàng)建將目錄列表與人力資源部門聯(lián)系起來的流程;要對域名和特權賬戶進行安全審計。
● 零信任訪問:企業(yè)應積極實施零信任策略,在沒有適當身份驗證的情況下阻止不安全用戶對網(wǎng)絡、主機和應用程序資源的訪問,特別是對關鍵基礎設施和關鍵數(shù)據(jù)的訪問。
● 特權訪問管理:企業(yè)應創(chuàng)建一個安全的保管庫,專門用于管理和存儲用于訪問跳轉(zhuǎn)服務器等關鍵系統(tǒng)的特權賬號憑據(jù);并在硬件安全模塊(HSM)中存儲證書私鑰。
● 遠程訪問管理:企業(yè)應該使用MFA為所有的外圍遠程資產(chǎn)(如域控制器、VPN控制器、公開的遠程桌面協(xié)議和遠程桌面管理系統(tǒng))實現(xiàn)基于身份的憑據(jù)訪問。
● 數(shù)據(jù)安全:企業(yè)應該使用即使管理員也無法修改的不可變數(shù)據(jù)備份計劃,并保護和加密備份解決方案。
● 漏洞管理:企業(yè)應該定期進行漏洞掃描;盡快為組織更新和修補所有軟件;將已知的高風險漏洞與利用嘗試相關聯(lián),以優(yōu)先考慮補丁管理;在補丁管理計劃中跟蹤開源和第三方軟件庫;定期進行安全性滲透測試。
●?配置管理:用標準的“黃金映像(gold image)”配置鎖定服務器和桌面,以減少攻擊面;使用集中式配置和補丁管理推送更新,防止配置漂移情況發(fā)生。
● 端點安全:實現(xiàn)全面、一體化的端點威脅檢測和響應;將傳統(tǒng)的防病毒系統(tǒng)進行優(yōu)化改進,加強對無文件惡意軟件的防護能力。
● 網(wǎng)絡分段:企業(yè)應該對辦公網(wǎng)絡進行分段,以最大限度地減少攻擊者可以達到的潛在攻擊半徑,例如,在前臺和后臺事務處理系統(tǒng)或機密數(shù)據(jù)庫之間劃分獨立的IP地址端。
● 網(wǎng)絡邊界安全:在網(wǎng)絡邊界和每個網(wǎng)段部署UTM防火墻檢查,以幫助阻止橫向移動;實施DNS安全措施,以幫助阻止DGA(域名生成算法),防止受損的用戶和主機被鏈接到惡意域和IP地址。
● 威脅監(jiān)控:企業(yè)要持續(xù)監(jiān)控整個數(shù)字化環(huán)境中的安全事件和危險行為;考慮使用管理檢測和響應(MDR)服務來外包安全事件檢測、事件響應和威脅搜索;盤點安全日志源,并將其合并到一個中央位置進行監(jiān)控。
● 事件響應:制定明確的事件響應計劃,為數(shù)據(jù)泄露做好準備,包括恢復系統(tǒng)、數(shù)據(jù)和業(yè)務流程的步驟;讓每個人都參與進來,包括高級組織領導、法律顧問和關鍵業(yè)務職能部門,而不僅僅是IT團隊;要將響應計劃詳細記錄在紙上,并定期舉行桌面演練和培訓。
參考鏈接:
https://business.comcast.com/community/docs/default-source/default-document-library/ccb_threatreport_071723_v2.pdf?sfvrsn=c220ac01_2
來源:安全牛
