已知漏洞利用仍是主要威胁
Tetra Defense 安全团队称,在2022年第一季度,绝大多数网络安全事件(82%)是通过已知漏洞或远程桌面协议(RDP)的外部暴露而引起。攻击者利用技术漏洞破坏可公开访问的系统,这是攻击者突破企业网络的最简单方法,因此被广泛使用。深入研究这些外部暴露,它们分为两种方式:
1. “外部漏洞”可以通过公开可用的安全补丁和软件更新来缓解。在这些情况下,攻击者利用已知漏洞在内部组织能够修补系统之前获得对网络的访问权限。在第一季度,57% 的总事件是由利用外部漏洞引起。
2. “有风险的外部暴露”,即 IT 实践,例如将远程桌面协议(RDP)端口对公共互联网开放。这些行为被认为是“有风险的”,因为缓解依赖于组织的持续安全意识和长期执行一致标准的意愿。在第一季度,Tetra Defense 处理的所有事件中有 25% 是由外部风险暴露引起的。
在已知漏洞利用方面,尽管 2021 年末人们对 Log4J/Log4Shell 漏洞曾广泛关注,但在2022年第一季度,该漏洞利用仅占总事件响应案例的 22%。更大的已知漏洞威胁仍然是一系列名为 ProxyShell 的 Microsoft Exchange 漏洞,占据了33%的事件响应。
Tetra Defense 安全团队表示,尽管提倡对已知漏洞做更好的修补早已陈词滥调,但从现实实践情况来看,由于运营业务带来诸多复杂性,组织对实现完美修补多个系统漏洞仍欠缺工具和专业团队支撑。而众所周知的是,这些能力在降低网络风险方面则发挥着重要作用。
企业员工信息暴露不可忽视
与82%这一占比相对应的是,剩余的18%的安全事件则来自于组织内部的员工行为。这方面要分为两种,其中超过一半的是员工信息暴露遭到的网络钓鱼的恶意入侵,如邮箱暴露在互联网,从而被攻击者所利用发送钓鱼邮件,同时还有一部分是员工的登录凭证暴露,有时攻击者甚至利用了不同站点上暴露的用户名和密码,从而产生的密码重用威胁。
另一种安全事件则归因于员工的配置错误问题,具体表现为攻击者可以通过配置错误的系统(即无密码保护的门户网站)随意进入受害企业网络。但 Tetra Defense 安全团队表示这只占安全事件的很小一部分。
Tetra Defense 安全团队阐述了这样一个观点,针对商业企业而言,勒索攻击威胁更加直接,以LocKbit、BlackCat、Conti、Hive为代表的勒索组织的持续活跃,对于组织保护己方网络安全是一项持续的挑战。
企业应针对外部暴露开展主动防御
总的来说,随着当前IT环境愈加复杂,以及全球各行业网络安全事件频繁发生,企业的安全团队正面临前所未有的日常运营压力,以事件响应的网络安全机制不再适应现代企业的信息化发展,寻求技术手段开展主动防御策略已成为企业化解网络安全威胁的最优解。
针对主动防御策略,此前外部攻击面企业零零信安在接受安全419采访时曾表示,企业对未知威胁获知的越早,安全防御的功能率就越高,而他们的安全产品已经打通了这种获知能力,一款 SaaS 化的 0.Zone 外部攻击面管理(EASM)产品已经可以为企业提供高级别的主动防御。
安全419此前对 0.Zone 这款产品有过一定的了解,比如针对以上安全事件暴露出的威胁,系统可以检索出企业暴露在外部的信息系统,影子资产等,配合弱点与漏洞优先级技术(VPT),即可对企业暴露在外部信息系统已知漏洞做出提前修复。针对企业员工个人信息暴露问题,该系统也可以随时检索外部暴露情况,如邮箱密码是否存在泄露,从而系统性的收敛外部风险暴露面。