Positive Technologies最新研究报告显示,外部攻击者可以突破93%被调查组织的网络边界并获得对本地网络资源的访问权限,且渗透到企业内部网络平均仅需两天时间。所有被调查的分析公司,内部人员都可以完全控制基础设施。
Positive Technologies的报告分析了企业在2020年下半年和2021年上半年承接的渗透测试项目的结果。接受测试的企业行业分布为:金融(29%)、燃料和能源(18%)、政府(16%)、工业(16%)、IT(13%) 等。
在针对外部攻击的防护评估期间,Positive Technologies专家在93%的测试案例中突破了网络边界。这证实犯罪分子几乎能够破坏绝大多数公司的基础设施。在20%的渗透测试项目中,企业认为与技术流中断和服务相关的事件,以及与资金和重要信息泄漏是对其影响最大的威胁。而且测试人员发现以上这些对企业组织影响巨大的威胁事件在测试过程中有71%的可行性。
尽管金融组织被认为是防御能力较强的企业之一,但在验证测试中,研究人员成功实施了可能让犯罪分子破坏银行业务流程并影响服务质量的渗透。例如,他们获得了ATM管理系统的访问权限,这可能使攻击者窃取资金。
报告指出,外部人员渗透到企业内部网络平均需要两天时间。凭据泄露是犯罪分子侵入企业网络(71% 被调查企业)的主要方式,主要是因为使用了简单的密码。拥有域管理员权限凭据的攻击者可以获得许多其他凭据,以便在公司网络中横向移动并访问关键计算机和服务器。管理、虚拟化、保护或监控工具通常可以帮助入侵者访问隔离的网段。
报告表明,大多数企业都没有按业务流程对网络进行隔离,这使得攻击者可能同时开发多个攻击向量,并触发多个严重安全威胁事件。为了建立有效的保护系统,企业有必要了解哪些严重安全威胁事件与特定公司相关。沿着这些事件到目标和关键系统的业务流程路径,可以跟踪它们的关系并确定使用保护措施的顺序。
为了使攻击者更难在企业网络内部向目标系统前进,企业还可以采取许多可互换和互补的措施,包括业务流程的分离、安全控制的配置、增强的监控和延长攻击链。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】