日前,專業(yè)網(wǎng)絡(luò)安全廠商Comcast Business發(fā)布了《2023年網(wǎng)絡(luò)威脅態(tài)勢(shì)報(bào)告》,旨在幫助企業(yè)及其他機(jī)構(gòu)的技術(shù)和安全領(lǐng)導(dǎo)者們更深入地了解網(wǎng)絡(luò)安全威脅的趨勢(shì),并采取正確措施應(yīng)對(duì)威脅。報(bào)告研究認(rèn)為,雖然攻擊者的工具和手法發(fā)生了變化,但其攻擊的底層邏輯并沒有變化,仍然是建立在情感操縱和社會(huì)工程的基礎(chǔ)上。因此,網(wǎng)絡(luò)安全攻防的本質(zhì)并未改變。但是游戲的規(guī)則在不斷變化,非專業(yè)的攻擊者也能快速獲取到大量的漏洞信息、攻擊工具甚至攻擊服務(wù),在一個(gè)“變化即現(xiàn)實(shí)”的網(wǎng)絡(luò)安全環(huán)境中,保持對(duì)各種攻擊信息的及時(shí)獲取和更新,將成為開展網(wǎng)絡(luò)安全防護(hù)建設(shè)時(shí)的最基礎(chǔ)要求。
內(nèi)部漏洞威脅不斷加劇
每個(gè)企業(yè),無論規(guī)模大小,都可能因一次點(diǎn)擊而遭受損失巨大的網(wǎng)絡(luò)攻擊。更糟糕的是,今天的黑客比以往更容易找到可利用的潛在漏洞。過去,大多數(shù)攻擊都是從利用暴露的外部網(wǎng)絡(luò)資產(chǎn)漏洞開始的,而如今,很多被攻擊者利用的漏洞源于企業(yè)內(nèi)部員工或第三方合作伙伴。
對(duì)企業(yè)組織而言,攻擊者的攻擊企圖是不可避免的,且可能超出了企業(yè)的控制。但企業(yè)組織能控制的是,選擇在攻擊實(shí)際發(fā)生前做好防護(hù)計(jì)劃和準(zhǔn)備,還是在攻擊發(fā)生后再去善后。為了應(yīng)對(duì)不斷加劇的潛在漏洞威脅,報(bào)告研究人員給出了以下建議:
01、做好網(wǎng)絡(luò)邊界防護(hù)仍然重要
并不是所有的攻擊都發(fā)生在企業(yè)的網(wǎng)絡(luò)內(nèi)部,但是大多數(shù)攻擊者都會(huì)將進(jìn)入到企業(yè)的內(nèi)部網(wǎng)絡(luò)作為一個(gè)重要目標(biāo),因?yàn)檫@是企業(yè)的“皇冠上的珠寶”所在。一旦進(jìn)入企業(yè)的內(nèi)部網(wǎng)絡(luò),用于傳播和破壞的攻擊策略就會(huì)迅速升級(jí),破壞的程度也會(huì)大幅提升。
02、識(shí)別常見的入侵策略
攻擊者會(huì)使用一個(gè)策略完整的工具箱來攻擊企業(yè)的網(wǎng)絡(luò),但最常使用的仍然是一些最流行的方法和策略,因?yàn)檫@些策略的適用范圍更廣,對(duì)攻擊者的專業(yè)要求也較低。在此次調(diào)查結(jié)果中,10次入侵嘗試就有9次是從網(wǎng)絡(luò)釣魚開始的,這與行業(yè)統(tǒng)計(jì)數(shù)據(jù)基本一致。此外,濫用憑據(jù)、遠(yuǎn)程終端利用、弱口令等也是黑客們經(jīng)常使用的入侵策略。
03、體系化縱深防御
對(duì)于企業(yè)組織而言,要想有效地檢測(cè)、阻止和緩解大數(shù)據(jù)量級(jí)別的攻擊活動(dòng),不僅需要專業(yè)的安全團(tuán)隊(duì)和知識(shí)積累,還需要覆蓋一定的規(guī)模,同時(shí)要申請(qǐng)配備足夠的資源來進(jìn)行保障。報(bào)告數(shù)據(jù)顯示,在2022年期間,Comcast Business威脅實(shí)驗(yàn)室共檢測(cè)到235億次網(wǎng)絡(luò)攻擊企圖,按ATT&CK戰(zhàn)術(shù)具體細(xì)分,可分解為:2.428億次偵察嘗試;2470萬次資源獲取嘗試;20.3億次初始訪問嘗試;32億次策略執(zhí)行嘗試;4930萬次持久化嘗試;2.228億次提權(quán)嘗試;8.317億次防御繞過嘗試;1.767億次憑據(jù)獲取嘗試;40萬次資產(chǎn)發(fā)現(xiàn)嘗試;1.553億次橫向移動(dòng)嘗試;62.5億次非法命令和控制嘗試;1.439億次數(shù)據(jù)滲漏嘗試;101億次攻擊影響嘗試。
網(wǎng)絡(luò)攻擊的本質(zhì)未變
報(bào)告研究發(fā)現(xiàn),網(wǎng)絡(luò)釣魚仍然是攻擊者當(dāng)前發(fā)起初始網(wǎng)絡(luò)攻擊的最流行手段,而獲取訪問憑證則是網(wǎng)絡(luò)釣魚攻擊者的最主要目標(biāo)。在2022年,研究人員共檢測(cè)到近20億次(1,830,533,465次)網(wǎng)絡(luò)釣魚嘗試,其中大多數(shù)可以直接識(shí)別為試圖獲得初始訪問權(quán)限。盡管很多網(wǎng)絡(luò)釣魚在直接獲取憑證方面不一定有效,然而,攻擊者擅長利用人性弱點(diǎn)來獲得入侵網(wǎng)絡(luò)的初始立足點(diǎn),這可以幫助他們后續(xù)訪問到大量產(chǎn)生憑據(jù)的域服務(wù)器和數(shù)據(jù)庫。
研究人員在網(wǎng)絡(luò)釣魚攻擊活動(dòng)中,檢測(cè)到大量的憑證盜竊惡意軟件,主要類型包括:
● 34%為財(cái)務(wù)信息和憑據(jù):包含假冒銀行網(wǎng)址的網(wǎng)絡(luò)釣魚活動(dòng),旨在竊取實(shí)施信用卡盜竊所需的信息;
● 60%為其他憑據(jù)盜竊:利用社交媒體頁面中的實(shí)際帖子進(jìn)行網(wǎng)絡(luò)釣魚活動(dòng)。這些帖子使用網(wǎng)址縮短器鏈接到釣魚網(wǎng)站,以避免被社交媒體平臺(tái)標(biāo)記和刪除;
● 6%涉及惡意文件的盜竊:使用需要用戶交互的惡意文檔進(jìn)行網(wǎng)絡(luò)釣魚活動(dòng)。
凡是能夠獲得“合法”憑據(jù)的攻擊者,都將是強(qiáng)大而危險(xiǎn)的敵人,因?yàn)樗麄兛梢詫?duì)應(yīng)用程序進(jìn)行身份驗(yàn)證、安全繞過、提升特權(quán)并隨意進(jìn)行惡意活動(dòng)。調(diào)查發(fā)現(xiàn)了超過5400萬次濫用初始訪問憑證的嘗試,包括暴力破解以及失敗的登錄嘗試。在暗網(wǎng)市場(chǎng)上,目前最搶手的是遠(yuǎn)程桌面協(xié)議(RDP)訪問的有效憑據(jù)。研究發(fā)現(xiàn),大約68%的暗網(wǎng)帖子與銷售RDP訪問憑據(jù)有關(guān)。
在新冠疫情大流行期間,許多組織急于為員工啟用遠(yuǎn)程訪問,這也導(dǎo)致了大量未使用的端口暴露。數(shù)據(jù)顯示,攻擊者利用易受攻擊的RDP配置,進(jìn)行了超過1.85億次嘗試,以獲得對(duì)目標(biāo)網(wǎng)絡(luò)的遠(yuǎn)程訪問。RDP漏洞也越來越多地被用于通過勒索軟件(如Maze、Venus和Ryuk)感染網(wǎng)絡(luò)。
不過,RDP漏洞并非唯一流行的選項(xiàng)。未經(jīng)身份驗(yàn)證的用戶也在利用傳輸控制協(xié)議(TCP)中的漏洞,并進(jìn)行了1.39億次嘗試來與目標(biāo)服務(wù)器建立TCP連接。研究數(shù)據(jù)顯示,網(wǎng)絡(luò)釣魚、RDP漏洞和憑據(jù)濫用媒介占所有初始訪問嘗試的95%。停放域名、MitM活動(dòng)和惡意url占剩余的5%。
利用率最高的10大安全漏洞
在報(bào)告中,研究人員總結(jié)了在2022年被攔截次數(shù)最多的10大漏洞利用企圖:
允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者連接到監(jiān)聽端口8888的“CloudMe Sync”客戶端應(yīng)用程序,并發(fā)送惡意負(fù)載,導(dǎo)致緩沖區(qū)溢出,存在顯著的信息披露風(fēng)險(xiǎn)。
研究人員特別指出,早在2021年就已經(jīng)被發(fā)現(xiàn)的Log4j漏洞直至現(xiàn)在仍然流行。研究表明,到目前為止,五分之三的組織都經(jīng)歷過Log4j漏洞攻擊,并實(shí)際發(fā)生了后門惡意軟件安裝,系統(tǒng)憑據(jù)和數(shù)據(jù)盜竊,以及植入加密礦工惡意軟件等惡意結(jié)果。Log4j漏洞之所以流行,是因?yàn)樗粡V泛部署在數(shù)百萬個(gè)java應(yīng)用程序中,這使得72%的組織容易受到攻擊。而在2022年10月時(shí),只有28%的易受攻擊的組織已經(jīng)修復(fù)或修補(bǔ)了易受攻擊的應(yīng)用程序。即便是許多修復(fù)了該漏洞的組織,在將新系統(tǒng)引入其網(wǎng)絡(luò)環(huán)境時(shí)還會(huì)再次引入Log4j漏洞。
DDoS攻擊出現(xiàn)新變化
報(bào)告數(shù)據(jù)顯示,全球DDoS攻擊數(shù)量在2022年略有下降。然而,這并不意味著它們不再是企業(yè)的主要網(wǎng)絡(luò)威脅關(guān)注點(diǎn)。報(bào)告觀察到DDoS活動(dòng)的起伏和變化,在某些行業(yè)甚至發(fā)生了更大的集中。在2022年,研究人員共檢測(cè)到51915次DDoS攻擊。
【2022年Comcast Business每月檢測(cè)到的DDoS攻擊次數(shù)】
調(diào)查顯示,大部分DDoS攻擊的時(shí)間都在10分鐘以內(nèi)完成。自2022年以來,短爆發(fā)型DDoS攻擊的趨勢(shì)一直在持續(xù)。短-爆發(fā)攻擊更難被企業(yè)組織檢測(cè)到,特別是如果組織試圖使用防火墻速率限制策略,而非運(yùn)營商級(jí)服務(wù)來阻止它們時(shí)。多個(gè)短時(shí)間攻擊就能夠快速耗盡企業(yè)IT團(tuán)隊(duì)的資源,攻擊者可以將分散IT團(tuán)隊(duì)注意力作為煙幕,執(zhí)行更危險(xiǎn)的攻擊。
教育行業(yè)(46%)是DDoS攻擊的重要目標(biāo)領(lǐng)域,而IT和技術(shù)服務(wù)(25%)細(xì)分市場(chǎng)也出現(xiàn)了DDoS攻擊增長趨勢(shì),取代了政府部門,成為2022年遭受攻擊的前四大行業(yè)。最近另一個(gè)引人注目的DDoS攻擊目標(biāo)是醫(yī)療保健行業(yè)(13%),這也促使美國政府在2023年初發(fā)布了一份特別公告。
2022年期間,DDoS攻擊的戰(zhàn)術(shù)并沒有太大改變。大多數(shù)攻擊仍然使用低復(fù)雜性、高影響力的泛洪技術(shù)。總流量、UDP和TCP Sync是目前使用最多的三個(gè)攻擊向量。不過多向量攻擊將DDoS提升到一個(gè)新的水平,允許攻擊者創(chuàng)建更復(fù)雜的攻擊。它們的使用量正在上升。然而,它們需要專業(yè)知識(shí)才能實(shí)現(xiàn),這就是為什么研究人員認(rèn)為“行之有效”的技術(shù)仍然占主導(dǎo)地位。
降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的最佳實(shí)踐
了解過去的安全威脅和數(shù)據(jù)泄露趨勢(shì)只是成功的一半。沒有哪個(gè)組織是完美的,但每個(gè)企業(yè)都需要一個(gè)明確的網(wǎng)絡(luò)安全戰(zhàn)略和路線圖。許多組織仍然采用分散的安全控制措施,并留下了大量的缺口和殘留的風(fēng)險(xiǎn)。隨著攻擊者開始使用多種媒介來破壞安全控制,防御者也需要采取“縱深防御”的方法來降低風(fēng)險(xiǎn)。在本次報(bào)告中,研究人員也給出了一些指導(dǎo)性建議,以幫助企業(yè)組織改善當(dāng)前的安全態(tài)勢(shì)。
● 網(wǎng)絡(luò)釣魚:開展持續(xù)性的全員安全意識(shí)培訓(xùn),并部署新一代郵件安全網(wǎng)關(guān)服務(wù)來檢查每封郵件中的危險(xiǎn)附件和url。
● 憑據(jù)安全:企業(yè)應(yīng)該通過具有多因素身份驗(yàn)證的集中式身份代理對(duì)所有資源進(jìn)行身份驗(yàn)證;在整個(gè)組織中集中目錄管理,并創(chuàng)建將目錄列表與人力資源部門聯(lián)系起來的流程;要對(duì)域名和特權(quán)賬戶進(jìn)行安全審計(jì)。
● 零信任訪問:企業(yè)應(yīng)積極實(shí)施零信任策略,在沒有適當(dāng)身份驗(yàn)證的情況下阻止不安全用戶對(duì)網(wǎng)絡(luò)、主機(jī)和應(yīng)用程序資源的訪問,特別是對(duì)關(guān)鍵基礎(chǔ)設(shè)施和關(guān)鍵數(shù)據(jù)的訪問。
● 特權(quán)訪問管理:企業(yè)應(yīng)創(chuàng)建一個(gè)安全的保管庫,專門用于管理和存儲(chǔ)用于訪問跳轉(zhuǎn)服務(wù)器等關(guān)鍵系統(tǒng)的特權(quán)賬號(hào)憑據(jù);并在硬件安全模塊(HSM)中存儲(chǔ)證書私鑰。
● 遠(yuǎn)程訪問管理:企業(yè)應(yīng)該使用MFA為所有的外圍遠(yuǎn)程資產(chǎn)(如域控制器、VPN控制器、公開的遠(yuǎn)程桌面協(xié)議和遠(yuǎn)程桌面管理系統(tǒng))實(shí)現(xiàn)基于身份的憑據(jù)訪問。
● 數(shù)據(jù)安全:企業(yè)應(yīng)該使用即使管理員也無法修改的不可變數(shù)據(jù)備份計(jì)劃,并保護(hù)和加密備份解決方案。
● 漏洞管理:企業(yè)應(yīng)該定期進(jìn)行漏洞掃描;盡快為組織更新和修補(bǔ)所有軟件;將已知的高風(fēng)險(xiǎn)漏洞與利用嘗試相關(guān)聯(lián),以優(yōu)先考慮補(bǔ)丁管理;在補(bǔ)丁管理計(jì)劃中跟蹤開源和第三方軟件庫;定期進(jìn)行安全性滲透測(cè)試。
●?配置管理:用標(biāo)準(zhǔn)的“黃金映像(gold image)”配置鎖定服務(wù)器和桌面,以減少攻擊面;使用集中式配置和補(bǔ)丁管理推送更新,防止配置漂移情況發(fā)生。
● 端點(diǎn)安全:實(shí)現(xiàn)全面、一體化的端點(diǎn)威脅檢測(cè)和響應(yīng);將傳統(tǒng)的防病毒系統(tǒng)進(jìn)行優(yōu)化改進(jìn),加強(qiáng)對(duì)無文件惡意軟件的防護(hù)能力。
● 網(wǎng)絡(luò)分段:企業(yè)應(yīng)該對(duì)辦公網(wǎng)絡(luò)進(jìn)行分段,以最大限度地減少攻擊者可以達(dá)到的潛在攻擊半徑,例如,在前臺(tái)和后臺(tái)事務(wù)處理系統(tǒng)或機(jī)密數(shù)據(jù)庫之間劃分獨(dú)立的IP地址端。
● 網(wǎng)絡(luò)邊界安全:在網(wǎng)絡(luò)邊界和每個(gè)網(wǎng)段部署UTM防火墻檢查,以幫助阻止橫向移動(dòng);實(shí)施DNS安全措施,以幫助阻止DGA(域名生成算法),防止受損的用戶和主機(jī)被鏈接到惡意域和IP地址。
● 威脅監(jiān)控:企業(yè)要持續(xù)監(jiān)控整個(gè)數(shù)字化環(huán)境中的安全事件和危險(xiǎn)行為;考慮使用管理檢測(cè)和響應(yīng)(MDR)服務(wù)來外包安全事件檢測(cè)、事件響應(yīng)和威脅搜索;盤點(diǎn)安全日志源,并將其合并到一個(gè)中央位置進(jìn)行監(jiān)控。
● 事件響應(yīng):制定明確的事件響應(yīng)計(jì)劃,為數(shù)據(jù)泄露做好準(zhǔn)備,包括恢復(fù)系統(tǒng)、數(shù)據(jù)和業(yè)務(wù)流程的步驟;讓每個(gè)人都參與進(jìn)來,包括高級(jí)組織領(lǐng)導(dǎo)、法律顧問和關(guān)鍵業(yè)務(wù)職能部門,而不僅僅是IT團(tuán)隊(duì);要將響應(yīng)計(jì)劃詳細(xì)記錄在紙上,并定期舉行桌面演練和培訓(xùn)。
參考鏈接:
https://business.comcast.com/community/docs/default-source/default-document-library/ccb_threatreport_071723_v2.pdf?sfvrsn=c220ac01_2
來源:安全牛
版權(quán)所有:鄭州三中網(wǎng)安科技有限公司 豫ICP備2020036495號(hào)-1 ?? | 豫公網(wǎng)安備 41019702002241號(hào) | 站點(diǎn)地圖 | 人才招聘 | 聯(lián)系我們 |