剖析组织中六大关键攻击面相关的威胁趋势和挑战

小二郎
随着世界变得更加互联和数字化,网络安全形势也愈发复杂和严峻。企业正在将更多的基础设施、数据和应用程序迁移至云端,支持远程工作,并与第三方生态系统合作。因此,安全团队现在必须防御的是一个更广泛、更动态的环境和一组扩展的攻击面。

本文来自微信公众号“嘶吼专业版”,作者/小二郎。

随着世界变得更加互联和数字化,网络安全形势也愈发复杂和严峻。企业正在将更多的基础设施、数据和应用程序迁移至云端,支持远程工作,并与第三方生态系统合作。因此,安全团队现在必须防御的是一个更广泛、更动态的环境和一组扩展的攻击面。

威胁行为者正在利用这种复杂性,通过组织防护机制中的漏洞执行残酷的大规模攻击。攻击通常是多方面的,跨越组织运营和基础设施的多个元素。攻击者在日益增长的“网络犯罪即服务”领域也变得更加协调。

跟上当今的威胁意味着要保护每个主要攻击面,包括电子邮件、身份、端点、物联网(IoT)、云和外部。从安全的角度来看,组织的真正实力往往取决于最薄弱的环节,而攻击者也越来越善于发现这些环节。好消息是,大多数威胁可以通过实施基础的安全措施来阻止。事实上,研究发现,基础的安全卫生举措仍然可以抵御98%的网络攻击。

对威胁的端到端可见性是良好安全习惯的基础。正确的威胁情报使安全团队能够全面了解威胁情况,使他们能够领先于新出现的威胁,并不断完善防御措施。当威胁行为者侵入时,全面的威胁情报对于了解发生了什么并防止再次发生至关重要。

下面我们将讨论与组织中6大主要攻击面——电子邮件、身份、端点、物联网、云和外部——相关的威胁趋势和挑战。

1.电子邮件仍是头号威胁载体以及防御的重点领域

对于大多数组织来说,电子邮件是日常业务操作的重要组成部分。不幸的是,电子邮件仍然是头号威胁载体。2022年,35%的勒索软件事件涉及使用电子邮件。攻击者进行的电子邮件攻击比以往任何时候都多:2022年,网络钓鱼攻击的发生率比2021年增加了61%。

攻击者现在通常还利用合法资源进行网络钓鱼攻击。这使得用户更加难以区分真实和恶意电子邮件,增加了威胁成功的可能性。例如,威胁行为者正在滥用合法的云服务提供商,来欺骗用户授予访问机密数据的权限。

如果无法将电子邮件信号与更广泛的事件相关联以可视化攻击,则可能需要很长时间才能检测到通过电子邮件进入的威胁行为者。到那时,想要阻止破坏可能为时已晚。攻击者访问一个组织的私有数据所需的平均时间仅为72分钟。这可能会导致企业层面的严重损失。据估计,商业邮件泄露(BEC)在2021年造成了24亿美元的经济损失。

除了URL检查和禁用宏等保护措施外,员工教育对于防止威胁产生影响至关重要。模拟的网络钓鱼电子邮件和关于如何识别恶意内容(即使它看起来是合法的)的指导材料是关键的预防性安全措施。我们预计,威胁行为者将继续提高其执行电子邮件攻击的社会工程手段,利用人工智能和其他工具来提高恶意电子邮件的说服力和个性化。这只是一个例子,相信随着组织在解决当今的电子邮件威胁方面做得越来越好,威胁将继续演变。

2.扩展的身份格局也为威胁行为者提供了更多机会

在当今支持云计算的世界中,安全访问变得比以往任何时候都更加重要。因此,深入了解整个组织的身份(包括用户帐户权限、工作负载身份及其潜在漏洞)至关重要,特别是在攻击的频率和创造性不断增加的情况下。

2022年,密码攻击次数估计上升到每秒921次,比2021年增长了74%。此外,研究人员还看到威胁参与者在规避多因素身份验证(MFA)方面变得更有创意,他们使用诸如Adversary-in-the-Middle(AiTM)网络钓鱼攻击和令牌滥用等技术来访问组织的数据。网络钓鱼工具使威胁行为者更容易窃取凭证。研究观察到,在过去的一年里,网络钓鱼工具的复杂性有所增加,而且进入门槛非常低——一个卖家提供的网络钓鱼工具每天只需6美元。

管理身份攻击面不仅仅是保护用户帐户,它还跨越了云访问和工作负载身份。被破坏的凭据可能是威胁参与者用来对组织的云基础设施造成严重破坏的强大工具。

攻击者经常通过获取第三方帐户或其他与组织相连的高度特权帐户的访问权限,然后使用这些凭据渗透到云并窃取数据。尽管在权限审计中经常忽略工作负载身份(分配给软件工作负载,如应用程序,以访问其他服务和资源的身份),但隐藏在工作负载中的身份信息可以使威胁参与者访问整个组织的数据。

随着身份领域的不断扩展,我们预计,针对身份的攻击将在数量和种类上继续增长。这意味着保持对身份和访问的全面理解将继续是至关重要的任务。

3.混合环境和影子IT增加了端点盲点

考虑到当今混合环境中设备的绝对数量,保护端点变得更具挑战性。但不变的是,保护端点(特别是未管理的设备)对于强大的安全态势至关重要,因为即使是一次简单的妥协也可能使威胁参与者侵入您的组织。

随着企业采用BYOD(自带设备)政策,非管理设备激增。因此,端点攻击面现在变得更大,更暴露。平均而言,一个企业中有3500台连接的设备没有受到端点检测和响应代理的保护。

非托管设备(属于“影子IT”领域的一部分)对威胁参与者极具吸引力,因为安全团队缺乏必要的可见性来保护它们。研究发现,用户在非托管设备上被感染的可能性要高出71%。由于非托管设备连接到公司网络,因此也为攻击者提供了对服务器和其他基础设施发动更广泛攻击的机会。

非托管服务器也是端点攻击的潜在载体。在2021年,研究人员观察到一次攻击,威胁行为者利用未打补丁的服务器,在目录中导航,并发现了一个提供帐户凭据访问的密码文件夹。

然后,攻击者就能登录到组织内的许多设备,以收集和泄露大量数据,包括知识产权。接下来,攻击者就会威胁称,如果不支付后续赎金,就会公布信息。这种做法被称为“双重勒索”,这是研究人员在过去一年中看到的一个令人担忧的场景。即使支付了赎金,也不能保证数据不会被加密,甚至不能保证数据会被归还。

随着端点数量的持续增长,威胁参与者无疑会继续将端点(尤其是未管理的端点)视为有吸引力的目标。因此,改进端点可见性和安全态势可以为组织提供重要的价值。

4.物联网设备呈指数级增长,威胁也呈指数级增长

最容易被忽视的端点攻击媒介之一是IoT(物联网)——其中包括数十亿个大大小小的设备。物联网安全涵盖连接到网络并与网络交换数据的物理设备,如路由器、打印机、相机和其他类似设备。它还可以包括操作设备和传感器(运营技术,或“OT”),例如制造生产线上的智能设备。

随着物联网设备数量的激增,漏洞的数量也在随之增加。IDC预测,到2025年,将有410亿个物联网设备出现在企业和消费者环境中。由于许多组织正在强化路由器和网络,使其更难以被威胁行为者攻破,物联网设备正成为一个更容易、更有吸引力的目标。

我们经常看到威胁行为者利用漏洞将物联网设备变成代理——使用暴露的设备作为进入网络的立足点。一旦威胁行为者获得了对物联网设备的访问权限,他们就可以监控其他未受保护资产的网络流量,横向移动以渗透目标基础设施的其他部分,或者执行侦察以计划对敏感设备和设备的大规模攻击。在一项研究中,35%的安全从业者报告称,在过去两年中,物联网设备被用来对他们的组织进行更广泛的攻击。

不幸的是,就可见性而言,物联网通常是组织的“黑箱”,许多组织缺乏适当的物联网安全措施。60%的安全从业者认为物联网和OT安全是其IT和OT基础设施中最不安全的方面之一。

物联网设备本身通常包含危险的漏洞。数据显示,在互联网上公开可见的100万台连接设备正在运行Boa web服务器,这是一种过时的、不受支持的软件,但仍广泛用于物联网设备和软件开发工具包(sdk)。

越来越多的国家正在注意到这些盲点,并要求改进物联网设备的网络安全。虽然物联网目前是人们关注的焦点,但网络安全法规也在其他领域扩展,这使得组织获得跨攻击面可见性变得更加紧迫。

5.保护云既关键又复杂

组织越来越多地将基础设施、应用程序开发、工作负载和大量数据转移到云上。保护云环境意味着保护分布在多个云上的一系列服务,包括SaaS、IaaS和PaaS。考虑到所涉及的服务的广度和分布,很难在每一层获得适当的可见性和保护级别。

许多组织都在努力获得跨云生态系统的端到端可见性,特别是随着数据越来越多地驻留在多个云和混合环境中。通常,缺乏可见性意味着存在安全漏洞。研究人员发现,84%遭受勒索软件攻击的组织没有将他们的多云资产与他们的安全工具集成,这是一个关键的疏忽。

向云的广泛迁移也增加了网络犯罪分子可以利用的新攻击媒介的数量,许多人通过权限安全漏洞获得访问权限。在云中开发的应用程序中存在未知的基于代码的漏洞,这极大地增加了被破坏的风险。因此,研究发现,跨组织的顶级云攻击媒介是“云应用程序开发”。

采用“左移”安全方法——在应用程序开发的早期阶段结合安全思想——可以帮助组织加强他们的安全态势,并预先避免引入这些漏洞。

“云存储”是另一个越来越常见的攻击媒介,因为不正确的权限可能会使用户数据处于危险之中。此外,云服务提供商本身也可能受到威胁。2021年,Midnight Blizzard(一个与俄罗斯有关的威胁行为者组织,原名NOBELIUM)对一家云服务提供商发起了网络钓鱼攻击,试图破坏和利用政府特权客户账户。这只是现代云威胁的一个例子,我们预计,未来会看到更多的跨云攻击。

6.保护外部攻击面是一个互联网规模的挑战

如今,一个组织的外部攻击面跨越多个云、复杂的数字供应链和庞大的第三方生态系统。互联网现在是网络的一部分,尽管它的规模几乎是不可估量的,安全团队必须保护他们的组织在整个互联网上的存在。随着越来越多的组织采用零信任原则,保护内部和外部攻击面已成为互联网规模的挑战。

外部攻击面远远超出了组织自身资产的范围。它通常包括供应商、合作伙伴、连接到公司网络或资产的非管理员工个人设备,以及新收购的组织。因此,为了减轻潜在的威胁,了解外部连接和暴露是至关重要的。2020年Ponemon的一份报告显示,53%的组织在过去两年中至少经历过一次由第三方造成的数据泄露,平均花费750万美元来修复。

随着网络攻击背后的基础设施不断增加,获取威胁基础设施的可见性和盘点暴露在互联网上的资产变得比以往任何时候都更加紧迫。研究发现,组织常常难以理解其外部暴露的范围,从而产生重大的盲点。这些盲点会带来毁灭性的后果。在2021年,61%的企业经历了勒索软件攻击,导致至少部分业务运营中断。

在评估安全状态时,从外到内查看组织非常重要。除了VAPT(漏洞评估和渗透测试)之外,深入了解外部攻击面非常重要,这样组织就可以在整个环境和扩展生态系统中识别漏洞。试想如果你是一个试图进入系统的攻击者,你可以利用什么?了解组织外部攻击面的全部范围是确保其安全的基础。

参考及来源:https://cloudsecurityalliance.org/blog/2023/06/02/anatomy-of-a-modern-attack-surface/

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论