正如Tenable的研究工程師SatnamNarang所說,雖然網(wǎng)絡(luò)安全軟件中的后門可能占據(jù)了頭條新聞,但攻擊者的戰(zhàn)術(shù)更具可預(yù)測(cè)性。威脅者是習(xí)慣的產(chǎn)物。他們喜歡做他們認(rèn)為可行的事情,利用未修補(bǔ)的漏洞為他們提供了一個(gè)豐富的脈絡(luò)。
當(dāng)您檢查數(shù)據(jù)時(shí),令人不安的是,威脅參與者在其攻擊中依賴未修補(bǔ)的漏洞。這些“壞窗口”主要用于獲得對(duì)目標(biāo)網(wǎng)絡(luò)的初始訪問。從那里,攻擊者可以利用諸如Zerologon之類的嚴(yán)重漏洞來提升權(quán)限,從而使自己能夠訪問網(wǎng)絡(luò)中的域控制器。
攻擊警告
去年,政府機(jī)構(gòu)發(fā)布了幾條警告,警告攻擊者利用漏洞進(jìn)行攻擊,這些漏洞有可用的補(bǔ)丁,但仍然沒有得到緩解。然而,并非所有的漏洞都是平等的。事實(shí)上,根據(jù)Tenable在2020年對(duì)高知名度漏洞的研究,并非所有關(guān)鍵漏洞都有一個(gè)名稱和/或標(biāo)識(shí)。
相反,并不是每個(gè)指定了名稱和徽標(biāo)的漏洞都被視為嚴(yán)重漏洞。相反,在權(quán)衡漏洞的嚴(yán)重性時(shí),還需要考慮其他因素,包括概念驗(yàn)證(PoC)攻擊代碼的存在和攻擊的易用性。
鑒于COVID-19大流行所帶來的巨大變化,這種不確定性對(duì)網(wǎng)絡(luò)犯罪分子來說是一個(gè)額外的好處。隨著各國政府在全球范圍內(nèi)授權(quán)公民限制行動(dòng),企業(yè)向遠(yuǎn)程工作、學(xué)校向遠(yuǎn)程教育的轉(zhuǎn)變前所未有。
這帶來了一系列全新的安全挑戰(zhàn),從依賴虛擬專用網(wǎng)和遠(yuǎn)程桌面協(xié)議(RDP)等工具,到引入新的視頻會(huì)議應(yīng)用程序。虛擬專用網(wǎng)解決方案中預(yù)先存在的漏洞很多最初是在2019年或更早的時(shí)候披露的,在2020年被證明是網(wǎng)絡(luò)犯罪分子和民族國家組織最喜歡的目標(biāo)。
雖然攻擊者喜歡已知的漏洞,但在2020年有一些零天被利用。網(wǎng)絡(luò)瀏覽器尤其是GoogleChrome、MozillaFirefox、internetexplorer和microsoftedge是主要攻擊目標(biāo),占所有零日漏洞的35%以上。考慮到瀏覽器是互聯(lián)網(wǎng)的網(wǎng)關(guān),修補(bǔ)這些資產(chǎn)對(duì)企業(yè)網(wǎng)絡(luò)的安全至關(guān)重要。
這教會(huì)了我們什么
隨著攻擊面的擴(kuò)大,漏洞管理在現(xiàn)代網(wǎng)絡(luò)安全戰(zhàn)略中扮演著核心角色。未修補(bǔ)的漏洞使敏感數(shù)據(jù)和關(guān)鍵業(yè)務(wù)系統(tǒng)暴露在外,并為勒索軟件參與者帶來了豐厚的機(jī)會(huì)。
在部署到實(shí)時(shí)環(huán)境之前,需要使用基于風(fēng)險(xiǎn)的方法來處理補(bǔ)救,清楚地了解修補(bǔ)對(duì)業(yè)務(wù)運(yùn)營的影響。對(duì)于任何規(guī)模的組織來說,這都是一項(xiàng)不小的任務(wù),對(duì)于那些擁有大型和多樣化環(huán)境的組織來說,這可能尤其困難。現(xiàn)代漏洞管理可分為以下關(guān)鍵階段:
識(shí)別并刪除不必要的服務(wù)和軟件
限制對(duì)第三方庫的依賴
實(shí)現(xiàn)安全的軟件開發(fā)生命周期
在整個(gè)攻擊面上實(shí)施精確的資產(chǎn)檢測(cè),包括信息技術(shù)、操作技術(shù)和物聯(lián)網(wǎng),無論它們是駐留在云中還是本地。
查找并修復(fù)
在查看要查找和修復(fù)的漏洞時(shí),有五個(gè)漏洞在2020年期間主要是針對(duì)這些漏洞的。其中包括Citrix、PulseSecure和Fortinet的虛擬專用網(wǎng)絡(luò)解決方案中自2019年以來的三個(gè)遺留漏洞:
(1)CVE-2020-1472–零登錄
(2)CVE-2019-19781–CitrixADC/網(wǎng)關(guān)/SDWAN-OP
CVE-2019-11510–PulseConnect安全SSL虛擬專用網(wǎng)
CVE-2018-13379–FortinetFortigateSSL虛擬專用網(wǎng)
(3)CVE-2020-5902–F5大IP
基于瀏覽器的漏洞很容易在修復(fù)過程中考慮優(yōu)先級(jí),因?yàn)樗鼈円子谛扪a(bǔ),但是它們不一定會(huì)帶來最大的風(fēng)險(xiǎn)。防火墻、域控制器和虛擬專用網(wǎng)等設(shè)備如果受到危害,可能會(huì)產(chǎn)生更大的影響,在測(cè)試和應(yīng)用修補(bǔ)程序或緩解措施時(shí)需要更加小心。
修補(bǔ)電子郵件服務(wù)器也應(yīng)該是一個(gè)優(yōu)先事項(xiàng),以防止利用和保護(hù)機(jī)密信息。同時(shí),對(duì)員工進(jìn)行電子郵件最佳實(shí)踐方面的教育,并提高網(wǎng)絡(luò)釣魚等領(lǐng)域的安全意識(shí),也應(yīng)是當(dāng)務(wù)之急。
基礎(chǔ)設(shè)施中的每一個(gè)設(shè)備、每一項(xiàng)資產(chǎn)都需要被視為有可能成為“流氓”。必須采取措施,盡量減少特權(quán)和他們可以訪問的攻擊面。雖然很少有組織會(huì)有必要的資金來防止像太陽風(fēng)這樣復(fù)雜的破壞,但謝天謝地,很少有組織需要這樣做。如上所述,健全的網(wǎng)絡(luò)衛(wèi)生做法有助于挫敗網(wǎng)絡(luò)犯罪分子實(shí)施的大多數(shù)攻擊。
