据保险科技初创企业Corvus Insurance发布报告称,漏洞利用已经成为威胁行为者勒索软件攻击头号初始访问路径,该报告指出:“勒索软件攻击受害者现在越来越多地利用漏洞开展攻击,而不是使用网络钓鱼电子邮件。”报告还强调,这一数据可能被今年利用 MOVEit 和 GoAnywhere 文件传输软件的漏洞利用勒索攻击等重大活动所有关。
安全419在第三季度的勒索软件攻击趋势总结一文中就曾提及,2023年第一季度,数百家企业受到了VMware ESXi、GoAnywhere MFT产品相关的两起漏洞攻击利用事件影响,第二季度,又一起漏洞影响爆出MOVEIT软件漏洞(具体来说是三个漏洞,分别是CVE-2023-34362、CVE-2023-35036、CVE-2023-35708)可能影响了全球数百家政府机构和商业组织。
根据端点网络安全厂商Emsisoft最新统计数据显示,全球因MOVEIT漏洞受影响的企业数量已经上升至2662家,保守估计,单一漏洞造成的破坏力至少为企业带来直接和间接损失超过百亿美元。
最新数据显示,2023年全球共披露了26447个计算机漏洞,相比去年25050个漏洞多出5.2%,成为漏洞历年之最。在攻击利用方面,25%的漏洞在公布的当天就能被攻击者迅速利用,今年受到黑客广泛利用的漏洞数量有115个,在“战果”方面,LockBit及Clop勒索组织利用这些漏洞成功攻击了上千家企业。
漏洞不是勒索软件攻击的唯一利用路径,但企业如何对已知和未知漏洞进行有效防御,显见地,已经成为企业抵御勒索软件攻击的关键。带着这一问题,安全419近日与专注于提供漏洞发现与防御能力的安全公司赛博昆仑创始人兼CEO郑文彬(MJ)进行了相关交流,以下为交流整理内容:
漏洞是个“大问题”和“老问题”
MJ指出,漏洞并不是一个新的安全问题,而是一个一直没有解决好的老问题。其问题根源也是复杂的多向的,因为漏洞问题早已成为一个安全生态的大问题。
赛博昆仑创始人兼CEO郑文彬(MJ)
往问题的上游看,之所以漏洞问题一直没有很好地得以解决,是因为从漏洞发现,到厂商修复漏洞,这一链条本身存在着透明度问题。漏洞详细信息的披露不透明,以及软件厂商对漏洞危害的准确判断均有待优化等等,但这些问题又一时之间无法彻底解决。
比如当前的漏洞信息主要掌握在软件厂商自己手中,有一小部分分散在安全研究员手上,还有很多漏洞甚至秘密掌握在黑客手中。对于外界,特别是甲方企业而言,考虑到每年被披露的漏洞数量一直在上升,以及软件生态的庞大性与复杂性,如何第一时间全面捕获漏洞信息并修复漏洞确实是一项非常艰巨的挑战。
MJ观察到了软件厂商在披露漏洞危害上的标准上也存在问题,比如今年微软就为某漏洞打出了较低的CVSS评分(业界标准的漏洞评分机制),但微软在漏洞详情上又明确表示,限于CVSS的机制不得不给出了低分,但实际上这是高危漏洞,需要企业用户及时修复。如此标准不统一,也会一定程度上影响企业评估修复漏洞的优先等级。
往问题的下游看,关于企业一侧之所以一直没能做好漏洞修复工作,一方面因为对于漏洞管理的重视程度存在一定的问题,但最关键的其实是在于,企业当前还是没有一个完全可行的真正解决好漏洞问题的技术方案。
MJ认为,传统的漏扫工具通常根据厂商披露的开源漏洞情报信息去检测漏洞,比如通过已经公开的漏洞库去覆盖检测,其弊端是难以全面覆盖,且存在技术上无法有效发掘系统深层漏洞,不同软件厂商对于漏洞的影响判断无统一标准,漏扫工具无法准确根据漏洞危害程度确定修复优先级等等问题。
从全栈的安全防御产品来看,鲜有安全厂商专注于漏洞防御。漏洞作为攻击链路的初始源头,成功利用之后则属于攻击事中阶段。当前绝大多数安全产品检测和响应的部分都属于事中或事后阶段,比如通过流量分析捕获异常行为,通过用户行为分析判别是否为非法行为等。
“如果解决不了事前的这一部分,等黑客攻击进来之后就已经为时已晚了,数据已经被加密或被窃取了。”
仍以勒索软件攻击为例,VMware ESXi(CVE-2021-21974)漏洞对于2023年年初造成的大量企业被勒索,如果企业不能很好地解决类似问题,再次成为被勒索对象也只能是时间问题。关于CVE-2021-21974这一漏洞,MJ也对其出处进行了相关说明。
此前美国燃油管道公司Colonial Pipeline受勒索软件攻击事件利用的就是VMware相关漏洞,这一漏洞也是MJ团队早先就关注到可能被攻击利用的漏洞之一,在漏洞修复之后的Nday阶段,其影响力仍然十分广泛。
MJ强调称,CVE-2021-21974漏洞实际上就是源于此前VMware修复过的 “漏洞遗留”。
MJ进一步举例说明,谷歌安全团队今年的最新研究就发现,超过40%的新漏洞,都是过去老的漏洞没有彻底修好导致的。也就是说,把一个漏洞彻底修复好,就算是软件厂商自身,也很难办到。
总有一些漏洞不被轻易发现或被轻易发现,问题在于一旦发现漏洞,黑客就会立即武器化周期性地反复加以利用,0day漏洞威力惊人,哪怕软件厂商及时修复漏洞发布补丁,企业一侧通常动作缓慢,以至于在漏洞的1day、Nday阶段,仍然能够造成足够大的破坏力。
如何解决?赛博昆仑打造“漏洞前摄防御”解决方案
“发现—修复—验证,是漏洞最重要的三个环节,如何解决漏洞问题,以上三个环节缺一不可,这也是赛博昆仑团队一直在做的事情。”
MJ就指出,在发现环节,如何对漏洞进行深入研究首先就是对安全研究团队的重大挑战。赛博昆仑团队通过逆向漏洞分析,持续验证Nday漏洞当前攻击面,同时进行顶尖的0day漏洞挖掘,形成了自身独特体系的完整软硬件生态漏洞库,用于辅助企业检测和防御。
赛博昆仑提出了“漏洞前摄防御”解决方案,其核心就是在于其安全团队能够先于软件厂商发现更多的“漏洞遗留”,因此能够提供全面的零日漏洞“提前防御”能力,从而帮助企业将网络安全能力提升数个等级。
利用“漏洞前摄防御”解决方案,企业还能获得微补丁技术对关键业务带来持续不断的保护,从而解决企业漏洞修复成本过高,及一系列不确定性等遗留难题。
“当攻击者实施攻击,肯定不会准备一个漏洞,而是多个漏洞开展攻击。”MJ也延伸指出,能够对全面的漏洞进行发现和修复是一方面,如何对漏洞攻击进行有效防御也是重中之重。因此解决方案也必须建立深度防御能力,需要更为专业的分析和加固能力,从而拦截更多的、可能的漏洞攻击行为。
赛博昆仑是一家专注于漏洞攻防的信息安全团队,MJ也向安全419介绍了两起实战级防御案例,也是希望整个产业能够看到当前的漏洞防御薄弱环节的关键趋势。
其中某一案例是国产化IT环境下,处于内外网之间的某国产办公系统的服务器出现的漏洞攻击问题。该案例对于整个产业而言,需要注意的问题其一是未来国产的信息系统势必会暴露出更多的威胁点,需要产业整体跟进提前化解;其二是在一些特定场景下,传统安全解决方案无法有效解决,企业想要有效防御,势必需要创新的安全解决方案。
另外一个案例也是行业的普遍观察,即黑客当前的攻击集火对象主要瞄准各类集权IT基础设施。如国内某企业,也同样成为VMware ESXi(CVE-2021-21974)漏洞的受害者,该案例向下延伸有两点值得注意,其一是外网环境安全解决方案相较完善,但因为没有做好漏洞管理和漏洞防御最终沦陷;另外,企业不仅需要关注并建设外网安全,使其满足合规安全标准,并持续提升基于实战的安全防护等级,其内网虽采用隔离措施,但同样不能忽视必要的安全建设。
MJ总结而言,为什么国内乃至全球的勒索软件攻击不断发生,就是因为始终解决不好勒索组织利用漏洞作为源头的初始攻击问题,其中漏洞利用的有效性始终排名首位,修不好防不住一直存在,企业还是需要重视起来,引入有效的创新的安全解决方案。
MJ也强调,漏洞始终是一个大的生态问题,不是一家企业能够修复或防御得住就能解决的问题。以美国CISA过去几年对漏洞治理方面的经验来看,这项工作还是需要政府监管机构牵头,融合整个生态上的多方机构长效化的协同参与,并在协作的过程中不断优化应对策略和加强监管处罚才能解决。
京公网安备 11010802033237号
