《2023年網(wǎng)絡(luò)威脅態(tài)勢(shì)報(bào)告》：攻防的本質(zhì)未變，但游戲的規(guī)則在不斷演變！

日前，專業(yè)網(wǎng)絡(luò)安全廠商Comcast Business發(fā)布了《2023年網(wǎng)絡(luò)威脅態(tài)勢(shì)報(bào)告》，旨在幫助企業(yè)及其他機(jī)構(gòu)的技術(shù)和安全領(lǐng)導(dǎo)者們更深入地了解網(wǎng)絡(luò)安全威脅的趨勢(shì)，并采取正確措施應(yīng)對(duì)威脅。報(bào)告研究認(rèn)為，雖然攻擊者的工具和手法發(fā)生了變化，但其攻擊的底層邏輯并沒有變化，仍然是建立在情感操縱和社會(huì)工程的基礎(chǔ)上。因此，網(wǎng)絡(luò)安全攻防的本質(zhì)并未改變。但是游戲的規(guī)則在不斷變化，非專業(yè)的攻擊者也能快速獲取到大量的漏洞信息、攻擊工具甚至攻擊服務(wù)，在一個(gè)“變化即現(xiàn)實(shí)”的網(wǎng)絡(luò)安全環(huán)境中，保持對(duì)各種攻擊信息的及時(shí)獲取和更新，將成為開展網(wǎng)絡(luò)安全防護(hù)建設(shè)時(shí)的最基礎(chǔ)要求。

內(nèi)部漏洞威脅不斷加劇

每個(gè)企業(yè)，無論規(guī)模大小，都可能因一次點(diǎn)擊而遭受損失巨大的網(wǎng)絡(luò)攻擊。更糟糕的是，今天的黑客比以往更容易找到可利用的潛在漏洞。過去，大多數(shù)攻擊都是從利用暴露的外部網(wǎng)絡(luò)資產(chǎn)漏洞開始的，而如今，很多被攻擊者利用的漏洞源于企業(yè)內(nèi)部員工或第三方合作伙伴。

對(duì)企業(yè)組織而言，攻擊者的攻擊企圖是不可避免的，且可能超出了企業(yè)的控制。但企業(yè)組織能控制的是，選擇在攻擊實(shí)際發(fā)生前做好防護(hù)計(jì)劃和準(zhǔn)備，還是在攻擊發(fā)生后再去善后。為了應(yīng)對(duì)不斷加劇的潛在漏洞威脅，報(bào)告研究人員給出了以下建議：

01、做好網(wǎng)絡(luò)邊界防護(hù)仍然重要

并不是所有的攻擊都發(fā)生在企業(yè)的網(wǎng)絡(luò)內(nèi)部，但是大多數(shù)攻擊者都會(huì)將進(jìn)入到企業(yè)的內(nèi)部網(wǎng)絡(luò)作為一個(gè)重要目標(biāo)，因?yàn)檫@是企業(yè)的“皇冠上的珠寶”所在。一旦進(jìn)入企業(yè)的內(nèi)部網(wǎng)絡(luò)，用于傳播和破壞的攻擊策略就會(huì)迅速升級(jí)，破壞的程度也會(huì)大幅提升。

02、識(shí)別常見的入侵策略

攻擊者會(huì)使用一個(gè)策略完整的工具箱來攻擊企業(yè)的網(wǎng)絡(luò)，但最常使用的仍然是一些最流行的方法和策略，因?yàn)檫@些策略的適用范圍更廣，對(duì)攻擊者的專業(yè)要求也較低。在此次調(diào)查結(jié)果中，10次入侵嘗試就有9次是從網(wǎng)絡(luò)釣魚開始的，這與行業(yè)統(tǒng)計(jì)數(shù)據(jù)基本一致。此外，濫用憑據(jù)、遠(yuǎn)程終端利用、弱口令等也是黑客們經(jīng)常使用的入侵策略。

03、體系化縱深防御

對(duì)于企業(yè)組織而言，要想有效地檢測(cè)、阻止和緩解大數(shù)據(jù)量級(jí)別的攻擊活動(dòng)，不僅需要專業(yè)的安全團(tuán)隊(duì)和知識(shí)積累，還需要覆蓋一定的規(guī)模，同時(shí)要申請(qǐng)配備足夠的資源來進(jìn)行保障。報(bào)告數(shù)據(jù)顯示，在2022年期間，Comcast Business威脅實(shí)驗(yàn)室共檢測(cè)到235億次網(wǎng)絡(luò)攻擊企圖，按ATT&CK戰(zhàn)術(shù)具體細(xì)分，可分解為：2.428億次偵察嘗試;2470萬次資源獲取嘗試;20.3億次初始訪問嘗試;32億次策略執(zhí)行嘗試;4930萬次持久化嘗試;2.228億次提權(quán)嘗試;8.317億次防御繞過嘗試;1.767億次憑據(jù)獲取嘗試;40萬次資產(chǎn)發(fā)現(xiàn)嘗試;1.553億次橫向移動(dòng)嘗試;62.5億次非法命令和控制嘗試;1.439億次數(shù)據(jù)滲漏嘗試;101億次攻擊影響嘗試。

網(wǎng)絡(luò)攻擊的本質(zhì)未變

報(bào)告研究發(fā)現(xiàn)，網(wǎng)絡(luò)釣魚仍然是攻擊者當(dāng)前發(fā)起初始網(wǎng)絡(luò)攻擊的最流行手段，而獲取訪問憑證則是網(wǎng)絡(luò)釣魚攻擊者的最主要目標(biāo)。在2022年，研究人員共檢測(cè)到近20億次(1,830,533,465次)網(wǎng)絡(luò)釣魚嘗試，其中大多數(shù)可以直接識(shí)別為試圖獲得初始訪問權(quán)限。盡管很多網(wǎng)絡(luò)釣魚在直接獲取憑證方面不一定有效，然而，攻擊者擅長利用人性弱點(diǎn)來獲得入侵網(wǎng)絡(luò)的初始立足點(diǎn)，這可以幫助他們后續(xù)訪問到大量產(chǎn)生憑據(jù)的域服務(wù)器和數(shù)據(jù)庫。

研究人員在網(wǎng)絡(luò)釣魚攻擊活動(dòng)中，檢測(cè)到大量的憑證盜竊惡意軟件，主要類型包括：

● 34%為財(cái)務(wù)信息和憑據(jù)：包含假冒銀行網(wǎng)址的網(wǎng)絡(luò)釣魚活動(dòng)，旨在竊取實(shí)施信用卡盜竊所需的信息;

● 60%為其他憑據(jù)盜竊：利用社交媒體頁面中的實(shí)際帖子進(jìn)行網(wǎng)絡(luò)釣魚活動(dòng)。這些帖子使用網(wǎng)址縮短器鏈接到釣魚網(wǎng)站，以避免被社交媒體平臺(tái)標(biāo)記和刪除;

● 6%涉及惡意文件的盜竊：使用需要用戶交互的惡意文檔進(jìn)行網(wǎng)絡(luò)釣魚活動(dòng)。

凡是能夠獲得“合法”憑據(jù)的攻擊者，都將是強(qiáng)大而危險(xiǎn)的敵人，因?yàn)樗麄兛梢詫?duì)應(yīng)用程序進(jìn)行身份驗(yàn)證、安全繞過、提升特權(quán)并隨意進(jìn)行惡意活動(dòng)。調(diào)查發(fā)現(xiàn)了超過5400萬次濫用初始訪問憑證的嘗試，包括暴力破解以及失敗的登錄嘗試。在暗網(wǎng)市場(chǎng)上，目前最搶手的是遠(yuǎn)程桌面協(xié)議(RDP)訪問的有效憑據(jù)。研究發(fā)現(xiàn)，大約68%的暗網(wǎng)帖子與銷售RDP訪問憑據(jù)有關(guān)。

在新冠疫情大流行期間，許多組織急于為員工啟用遠(yuǎn)程訪問，這也導(dǎo)致了大量未使用的端口暴露。數(shù)據(jù)顯示，攻擊者利用易受攻擊的RDP配置，進(jìn)行了超過1.85億次嘗試，以獲得對(duì)目標(biāo)網(wǎng)絡(luò)的遠(yuǎn)程訪問。RDP漏洞也越來越多地被用于通過勒索軟件(如Maze、Venus和Ryuk)感染網(wǎng)絡(luò)。

不過，RDP漏洞并非唯一流行的選項(xiàng)。未經(jīng)身份驗(yàn)證的用戶也在利用傳輸控制協(xié)議(TCP)中的漏洞，并進(jìn)行了1.39億次嘗試來與目標(biāo)服務(wù)器建立TCP連接。研究數(shù)據(jù)顯示，網(wǎng)絡(luò)釣魚、RDP漏洞和憑據(jù)濫用媒介占所有初始訪問嘗試的95%。停放域名、MitM活動(dòng)和惡意url占剩余的5%。

利用率最高的10大安全漏洞

在報(bào)告中，研究人員總結(jié)了在2022年被攔截次數(shù)最多的10大漏洞利用企圖：

允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者連接到監(jiān)聽端口8888的“CloudMe Sync”客戶端應(yīng)用程序，并發(fā)送惡意負(fù)載，導(dǎo)致緩沖區(qū)溢出，存在顯著的信息披露風(fēng)險(xiǎn)。

研究人員特別指出，早在2021年就已經(jīng)被發(fā)現(xiàn)的Log4j漏洞直至現(xiàn)在仍然流行。研究表明，到目前為止，五分之三的組織都經(jīng)歷過Log4j漏洞攻擊，并實(shí)際發(fā)生了后門惡意軟件安裝，系統(tǒng)憑據(jù)和數(shù)據(jù)盜竊，以及植入加密礦工惡意軟件等惡意結(jié)果。Log4j漏洞之所以流行，是因?yàn)樗粡V泛部署在數(shù)百萬個(gè)java應(yīng)用程序中，這使得72%的組織容易受到攻擊。而在2022年10月時(shí)，只有28%的易受攻擊的組織已經(jīng)修復(fù)或修補(bǔ)了易受攻擊的應(yīng)用程序。即便是許多修復(fù)了該漏洞的組織，在將新系統(tǒng)引入其網(wǎng)絡(luò)環(huán)境時(shí)還會(huì)再次引入Log4j漏洞。

DDoS攻擊出現(xiàn)新變化

報(bào)告數(shù)據(jù)顯示，全球DDoS攻擊數(shù)量在2022年略有下降。然而，這并不意味著它們不再是企業(yè)的主要網(wǎng)絡(luò)威脅關(guān)注點(diǎn)。報(bào)告觀察到DDoS活動(dòng)的起伏和變化，在某些行業(yè)甚至發(fā)生了更大的集中。在2022年，研究人員共檢測(cè)到51915次DDoS攻擊。

【2022年Comcast Business每月檢測(cè)到的DDoS攻擊次數(shù)】

調(diào)查顯示，大部分DDoS攻擊的時(shí)間都在10分鐘以內(nèi)完成。自2022年以來，短爆發(fā)型DDoS攻擊的趨勢(shì)一直在持續(xù)。短-爆發(fā)攻擊更難被企業(yè)組織檢測(cè)到，特別是如果組織試圖使用防火墻速率限制策略，而非運(yùn)營商級(jí)服務(wù)來阻止它們時(shí)。多個(gè)短時(shí)間攻擊就能夠快速耗盡企業(yè)IT團(tuán)隊(duì)的資源，攻擊者可以將分散IT團(tuán)隊(duì)注意力作為煙幕，執(zhí)行更危險(xiǎn)的攻擊。

教育行業(yè)(46%)是DDoS攻擊的重要目標(biāo)領(lǐng)域，而IT和技術(shù)服務(wù)(25%)細(xì)分市場(chǎng)也出現(xiàn)了DDoS攻擊增長趨勢(shì)，取代了政府部門，成為2022年遭受攻擊的前四大行業(yè)。最近另一個(gè)引人注目的DDoS攻擊目標(biāo)是醫(yī)療保健行業(yè)(13%)，這也促使美國政府在2023年初發(fā)布了一份特別公告。

2022年期間，DDoS攻擊的戰(zhàn)術(shù)并沒有太大改變。大多數(shù)攻擊仍然使用低復(fù)雜性、高影響力的泛洪技術(shù)。總流量、UDP和TCP Sync是目前使用最多的三個(gè)攻擊向量。不過多向量攻擊將DDoS提升到一個(gè)新的水平，允許攻擊者創(chuàng)建更復(fù)雜的攻擊。它們的使用量正在上升。然而，它們需要專業(yè)知識(shí)才能實(shí)現(xiàn)，這就是為什么研究人員認(rèn)為“行之有效”的技術(shù)仍然占主導(dǎo)地位。

降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的最佳實(shí)踐

了解過去的安全威脅和數(shù)據(jù)泄露趨勢(shì)只是成功的一半。沒有哪個(gè)組織是完美的，但每個(gè)企業(yè)都需要一個(gè)明確的網(wǎng)絡(luò)安全戰(zhàn)略和路線圖。許多組織仍然采用分散的安全控制措施，并留下了大量的缺口和殘留的風(fēng)險(xiǎn)。隨著攻擊者開始使用多種媒介來破壞安全控制，防御者也需要采取“縱深防御”的方法來降低風(fēng)險(xiǎn)。在本次報(bào)告中，研究人員也給出了一些指導(dǎo)性建議，以幫助企業(yè)組織改善當(dāng)前的安全態(tài)勢(shì)。

● 網(wǎng)絡(luò)釣魚：開展持續(xù)性的全員安全意識(shí)培訓(xùn)，并部署新一代郵件安全網(wǎng)關(guān)服務(wù)來檢查每封郵件中的危險(xiǎn)附件和url。

● 憑據(jù)安全：企業(yè)應(yīng)該通過具有多因素身份驗(yàn)證的集中式身份代理對(duì)所有資源進(jìn)行身份驗(yàn)證;在整個(gè)組織中集中目錄管理，并創(chuàng)建將目錄列表與人力資源部門聯(lián)系起來的流程;要對(duì)域名和特權(quán)賬戶進(jìn)行安全審計(jì)。

● 零信任訪問：企業(yè)應(yīng)積極實(shí)施零信任策略，在沒有適當(dāng)身份驗(yàn)證的情況下阻止不安全用戶對(duì)網(wǎng)絡(luò)、主機(jī)和應(yīng)用程序資源的訪問，特別是對(duì)關(guān)鍵基礎(chǔ)設(shè)施和關(guān)鍵數(shù)據(jù)的訪問。

● 特權(quán)訪問管理：企業(yè)應(yīng)創(chuàng)建一個(gè)安全的保管庫，專門用于管理和存儲(chǔ)用于訪問跳轉(zhuǎn)服務(wù)器等關(guān)鍵系統(tǒng)的特權(quán)賬號(hào)憑據(jù);并在硬件安全模塊(HSM)中存儲(chǔ)證書私鑰。

● 遠(yuǎn)程訪問管理：企業(yè)應(yīng)該使用MFA為所有的外圍遠(yuǎn)程資產(chǎn)(如域控制器、VPN控制器、公開的遠(yuǎn)程桌面協(xié)議和遠(yuǎn)程桌面管理系統(tǒng))實(shí)現(xiàn)基于身份的憑據(jù)訪問。

● 數(shù)據(jù)安全：企業(yè)應(yīng)該使用即使管理員也無法修改的不可變數(shù)據(jù)備份計(jì)劃，并保護(hù)和加密備份解決方案。

● 漏洞管理：企業(yè)應(yīng)該定期進(jìn)行漏洞掃描;盡快為組織更新和修補(bǔ)所有軟件;將已知的高風(fēng)險(xiǎn)漏洞與利用嘗試相關(guān)聯(lián)，以優(yōu)先考慮補(bǔ)丁管理;在補(bǔ)丁管理計(jì)劃中跟蹤開源和第三方軟件庫;定期進(jìn)行安全性滲透測(cè)試。

●?配置管理：用標(biāo)準(zhǔn)的“黃金映像(gold image)”配置鎖定服務(wù)器和桌面，以減少攻擊面;使用集中式配置和補(bǔ)丁管理推送更新，防止配置漂移情況發(fā)生。

● 端點(diǎn)安全：實(shí)現(xiàn)全面、一體化的端點(diǎn)威脅檢測(cè)和響應(yīng);將傳統(tǒng)的防病毒系統(tǒng)進(jìn)行優(yōu)化改進(jìn)，加強(qiáng)對(duì)無文件惡意軟件的防護(hù)能力。

● 網(wǎng)絡(luò)分段：企業(yè)應(yīng)該對(duì)辦公網(wǎng)絡(luò)進(jìn)行分段，以最大限度地減少攻擊者可以達(dá)到的潛在攻擊半徑，例如，在前臺(tái)和后臺(tái)事務(wù)處理系統(tǒng)或機(jī)密數(shù)據(jù)庫之間劃分獨(dú)立的IP地址端。

● 網(wǎng)絡(luò)邊界安全：在網(wǎng)絡(luò)邊界和每個(gè)網(wǎng)段部署UTM防火墻檢查，以幫助阻止橫向移動(dòng);實(shí)施DNS安全措施，以幫助阻止DGA(域名生成算法)，防止受損的用戶和主機(jī)被鏈接到惡意域和IP地址。

● 威脅監(jiān)控：企業(yè)要持續(xù)監(jiān)控整個(gè)數(shù)字化環(huán)境中的安全事件和危險(xiǎn)行為;考慮使用管理檢測(cè)和響應(yīng)(MDR)服務(wù)來外包安全事件檢測(cè)、事件響應(yīng)和威脅搜索;盤點(diǎn)安全日志源，并將其合并到一個(gè)中央位置進(jìn)行監(jiān)控。

● 事件響應(yīng)：制定明確的事件響應(yīng)計(jì)劃，為數(shù)據(jù)泄露做好準(zhǔn)備，包括恢復(fù)系統(tǒng)、數(shù)據(jù)和業(yè)務(wù)流程的步驟;讓每個(gè)人都參與進(jìn)來，包括高級(jí)組織領(lǐng)導(dǎo)、法律顧問和關(guān)鍵業(yè)務(wù)職能部門，而不僅僅是IT團(tuán)隊(duì);要將響應(yīng)計(jì)劃詳細(xì)記錄在紙上，并定期舉行桌面演練和培訓(xùn)。

參考鏈接：

https://business.comcast.com/community/docs/default-source/default-document-library/ccb_threatreport_071723_v2.pdf?sfvrsn=c220ac01_2

來源：安全牛