這些數(shù)字來(lái)自于TetraDefense及其季度報(bào)告,該報(bào)告揭示了2022年1月至3月期間針對(duì)美國(guó)組織的網(wǎng)絡(luò)攻擊數(shù)量明顯上升。
該報(bào)告的發(fā)表并沒(méi)有讓員工的信息更加安全,或使得缺乏安全性的問(wèn)題得到解決。Tetra透露,企業(yè)缺乏多因素認(rèn)證(MFA)機(jī)制,以及憑證的泄露,仍然是攻擊組織進(jìn)行利用的主要因素。
外部風(fēng)險(xiǎn)—攻擊的主要途徑
該研究探討了攻擊中的根源點(diǎn)(RPOC)。RPOC是威脅者進(jìn)入受害組織的初始入口點(diǎn),被認(rèn)為是外部暴露的已知漏洞,或者是由用戶執(zhí)行的惡意行為或系統(tǒng)的錯(cuò)誤配置造成的。
根據(jù)該報(bào)告,由未打補(bǔ)丁的系統(tǒng)引起的攻擊事件給組織帶來(lái)的損失比由雇員失誤引起的事件多54%。
研究人員在"外部漏洞"和"危險(xiǎn)的外部暴露"之間劃出一條界限。
根據(jù)TetraDefense的定義,外部漏洞是指攻擊者利用公開(kāi)的漏洞來(lái)攻擊受害者的網(wǎng)絡(luò)的事件。另一方面,危險(xiǎn)的外部暴露包括IT設(shè)施配置的失誤,比如留下一個(gè)面向互聯(lián)網(wǎng)的端口,該端口可被對(duì)手用來(lái)攻擊系統(tǒng)。
TetraDefense在報(bào)告中說(shuō),這些行為被認(rèn)為是有風(fēng)險(xiǎn)的,因?yàn)檫@些問(wèn)題的緩解措施依賴于一個(gè)組織持續(xù)性的安全警惕和長(zhǎng)期執(zhí)行嚴(yán)格的安全標(biāo)準(zhǔn)。
研究發(fā)現(xiàn),風(fēng)險(xiǎn)性的外部暴露占組織損失的57%。
痛定思痛,吸取教訓(xùn)
根據(jù)TetraDefense的數(shù)據(jù),由于企業(yè)對(duì)Log4Shell漏洞的廣泛研究和防御,該漏洞利用的情況降到了最低,僅僅是第三大被利用的外部漏洞,占總事件響應(yīng)案例的22%。微軟Exchange漏洞ProxyShell超過(guò)了Log4Shell,處于領(lǐng)先地位。
TetraDefense透露,近18%的事件是由組織中的員工個(gè)人無(wú)意中的行為造成的。
TetraDefense指出,在RPOC事件中,超過(guò)一半(54%)是由員工打開(kāi)惡意文件造成的,研究人員分析說(shuō),這些大多數(shù)的事件包括隨機(jī)針對(duì)個(gè)人和組織的惡意電子郵件攻擊活動(dòng)。
另一個(gè)主要事件是威脅者濫用被破壞的憑證,這在涉及用戶行為的事件中占了23%。報(bào)告顯示,在多個(gè)網(wǎng)站上使用同一密碼是導(dǎo)致憑證泄露和賬戶被接管的主要因素之一。
TetraDefense說(shuō),如果其中一個(gè)網(wǎng)站出現(xiàn)了漏洞,憑證被泄露到暗網(wǎng)上,這些憑證可以被用來(lái)破壞其他使用同一對(duì)用戶名和密碼的系統(tǒng)。
在TetraDefense最近的調(diào)查結(jié)果中,醫(yī)療保健行業(yè)在2022年第一季度報(bào)告的事件總數(shù)中約占20%。除了醫(yī)療行業(yè)外,TetraDefense還收集了12個(gè)不同垂直行業(yè)的信息,包括金融、教育、制造和建筑。
打補(bǔ)丁的必要性
根據(jù)TetraDefense的報(bào)告,RPOC的事件中外部漏洞應(yīng)急響應(yīng)的成本的中位數(shù)要比"用戶行為"的RPOC事件高出54%左右。
TetraDefense指出,在這一點(diǎn)上,及時(shí)進(jìn)行打補(bǔ)丁的做法幾乎已經(jīng)成為一種非常重要的做法,因?yàn)楸娝苤诮档途W(wǎng)絡(luò)風(fēng)險(xiǎn)方面發(fā)揮著極其重要的作用。
TetraDefense補(bǔ)充說(shuō),為了更好的防止犯罪分子針對(duì)外部漏洞進(jìn)行利用,企業(yè)需要及時(shí)了解他們的攻擊面,并根據(jù)風(fēng)險(xiǎn)來(lái)確定軟件修補(bǔ)的優(yōu)先次序,同時(shí)確保他們擁有保護(hù)其系統(tǒng)的防御措施。
研究人員觀察到目前有多個(gè)網(wǎng)絡(luò)犯罪集團(tuán)活躍在暗網(wǎng)上。TetraDefense總結(jié)說(shuō),發(fā)現(xiàn)有如此多的黑客團(tuán)體,這也顯現(xiàn)了組織在保護(hù)自己方面的仍然面臨著很大的挑戰(zhàn),因?yàn)榧词挂粋€(gè)攻擊團(tuán)體變得不活躍或被執(zhí)法部門取締,那么仍然有幾十個(gè)其他團(tuán)體在積極的嘗試破壞他們。
本文翻譯自:https://threatpost.com/lead-causes-of-q1-attacks/180096/如若轉(zhuǎn)載,請(qǐng)注明原文地址。
