2022年攻击路径研究:94%的网络攻击仅需四步即可完成!

安全
通过调研,报告建议组织通过查看整个环境来了解攻击者如何实施攻击,重点不应仅仅聚焦在安全漏洞上,还有很多其他问题需要处理。

日前,XM Cyber研究团队针对200万个本地、多云和混合环境中的端点、文件、文件夹和云资源进行分析,形成了《2022年攻击路径管理影响报告》(Attack Path Management Impact Report 2022,以下简称“报告”),揭示了在当前企业网络及云环境中危害企业关键资产的攻击技术、攻击路径和影响。

通过调研,报告建议组织通过查看整个环境来了解攻击者如何实施攻击,重点不应仅仅聚焦在安全漏洞上,还有很多其他问题需要处理。调查数据显示,新一代攻击者仅需4个“跃点(hop,即攻击者从入侵点到破坏关键资产所采取的步骤数量)”,就能从初始攻击点破坏94%的关键资产。孤立的安全工具只关注某些特定的安全工作,但多种攻击技术的组合才是组织面临的最大风险。安全团队需要仔细研究其环境中存在的混合云攻击、错误配置和身份问题。

报告认为,在应用更加广泛的云环境中,需要注意有许多看似合规的小问题,但当把它们累积时,会发现这是一个很大的风险,甚至会产生一种意想不到的后果。当企业将所有这些放在一起时,会发现本地和云以及它们之间的关系才是我们需要解决的关键领域。很多企业仍然不能清晰了解自身的安全状态,并了解所有可能危及在本地和云环境中业务的风险。为了更好了解攻击的变化,以及这些变化如何影响风险。对攻击路径进行建模来预测风险是一种值得尝试的方法。

报告的关键发现

  • 攻击者最多只需4个“跃点”即可完成94%的网络攻击;
  • 一个组织75%的关键资产在其当时的安全状态下可能已经受到损害;
  • 73%的主流攻击技术涉及管理不善或被盗的凭据,27%的主流技术涉及漏洞或配置错误;
  • 企业中95%的用户都拥有长期访问密钥,这可能会危及关键资产安全;
  • 面对新的RCE(远程代码执行)技术,78%的企业可能受到威胁;
  • 75%的企业拥有面向外部的EC2(AWS提供的一种计算服务,以EC2实例形式存在,一个EC2实例可以被认为是一个虚拟机)设备,对关键资产构成风险;
  • 知道从哪里中断攻击路径,需要修复的问题会减少80%。

Top 12攻击技术

报告显示,73%的主流攻击技术涉及管理不善或被盗的凭据;而27%的主流技术涉及漏洞或配置错误。

1. 域凭据(利用受损凭据、哈希传递攻击等),占比23.7%;

2. “投毒”共享内容(文件共享问题、权限),占比14.2%;

3. 组策略修改(域控制器妥协,滥用组策略),占比10.1%;

4. 本地凭据,占比9.5%;

5. PrintNightmare漏洞,占比8.1%;

6. 凭据中继攻击,占比7.2%;

7. Exe Share Hooking(可执行文件的权限),占比6%;

8. Microsoft SQL凭据,占比5.6%;

9. WPAD欺骗(中间人攻击技术),占比4.7%;

10. 可达性(网络分段问题),占比4.2%;

11. 凭据转储,占比3.9%;

12. 虚拟机上的Azure运行命令,占比2.8%。

安全建议:强大的补丁管理将减少攻击向量并防止漏洞被利用。此外,通过使用操作系统本身的安全功能(如用户身份验证),也可以防止大量滥用不同凭证问题的攻击向量。需要注意的是,我们还应摒弃“修补漏洞就可以解决所有问题并阻止横向移动”这种错误认知。研究表明,近30%的攻击技术滥用错误配置和凭据来入侵和破坏组织。

目前常见的新攻击技术

XM网络研究团队将2021年针对企业使用的所有新攻击技术分为三组:云技术、远程代码执行(REC)技术以及将云和REC结合起来(REC+云)的技术,以了解攻击面的范围以及高级持续威胁(APT,即结合多种技术来破坏目标)的使用情况。结果显示:

  • 在测试环境中发现87%的新型云技术;
  • 在测试环境中发现70%的新型REC技术;
  • 在测试环境中发现82% 的新型REC+云技术。

而这些技术对企业的影响结果为:

  • 32%的企业可能会受到新型云技术的威胁;
  • 78%的企业可能会受到新型RCE技术的影响;
  • 90%的企业可能会受到新型RCE+云技术的影响。

安全建议:这些是企业需要关注并积极努力在其环境中消除的技术。当一种新的RCE技术出现时,近80%的企业可能会受到威胁,而当它与云技术结合在攻击路径中,90%的企业可能会受到威胁。显然,如果有这么多漏洞可以很轻松地被利用,那么企业的补丁管理是低于标准且无效的。

跨本地和云的攻击路径

在混合网络架构中,攻击路径可能会变得非常复杂。该研究揭示了跨本地和云环境中存在的安全漏洞和攻击技术,以及对所有环境中的关键资产保持全面可视性的重要意义。

企业在迁移至混合云环境时可能并没有明确定义战略。对此,企业可以允许各个部门采用自己的迁移策略。有时,缺乏统一迁移战略的原因可能涉及更广泛的业务事件,例如收购了拥有一个云服务供应商的企业,或是与其他使用不同云供应商的企业合并。这种计划外的大规模云环境的复杂性和攻击面数量会影响整个企业IT资源的安全性,包括:资产、网络、平台和应用程序安全。

XM网络研究团队还深入研究了专用于混合云、AWS和Azure环境中的攻击技术:

在混合云中,41%的混合云组织(不止一个云供应商)在其环境中使用了“本地到云”(On-prem to Cloud)技术;38%的Azure组织在其环境中使用了“云到本地”(Cloud to On-prem)技术;95%的用户拥有长期访问密钥,这可能会增加关键资产面临的风险。

安全建议:研究表明,组织在云和本地网络之间存在脱节——在许多情况下,企业有管理X的devops 团队,以及管理Y的团队,但它们之间缺乏连接的上下文——这些攻击揭示了它们之间的隐藏联系。只有通过查看跨混合网络的攻击路径,团队才能实现协作并有效地缩小缺口。

原文链接:https://info.xmcyber.com/hubfs/Attack%20Path%20Management%20Impact%20Report%202022%20_XM%20Cyber.pdf

责任编辑:赵宁宁 来源: 安全牛
相关推荐

2010-09-14 17:35:52

2010-09-06 11:58:39

ppp拨号Linux

2011-06-29 10:45:24

360优化

2010-07-15 19:28:16

2020-02-05 08:47:31

数据科学编程数据库

2010-09-07 13:18:49

ROS构建PPPOE服

2010-01-18 13:57:38

VB.NET读写注册表

2021-07-26 09:35:26

SQL数据库优化

2014-09-10 11:32:48

2013-04-25 11:04:42

2018-11-16 05:00:35

网络攻击网络安全网络威胁

2019-12-12 10:12:16

网络攻击数据泄露黑客

2021-11-23 23:43:16

MySQL数据库Docker

2010-06-13 14:19:40

学习UML

2010-04-28 12:02:37

Forefront网络优化

2010-06-12 13:49:16

学习UML

2020-12-28 11:22:38

Maze攻击勒索软件

2023-01-31 17:05:36

2017-04-17 12:31:45

SDN网络虚拟化

2010-11-19 15:44:04

IT跳槽
点赞
收藏

51CTO技术栈公众号