最近发布的网络安全公告警告称,攻击者正在利用错误配置和薄弱的安全控制来获得对企业网络的初始访问权限。
美国网络安全和基础设施安全局(CISA)与来自加拿大、新西兰、荷兰和英国的网络安全当局一起,详细介绍了在攻击开始阶段被利用最多的控制和做法。
该公告称:“网络攻击者经常利用糟糕的安全配置(配置错误或不安全)、控制薄弱和其他糟糕的网络做法来获得初始访问权限,或作为其他策略的一部分来破坏受害者的系统。”
该公告总共列出了五种技术:利用面向公众的应用程序、外部远程服务、网络钓鱼、受信任关系和有效帐户。受信任的关系是指一种危险的技术,攻击者破坏第二方或第三方以获取对目标受害者的访问权限。滥用远程服务(例如VPN和Microsoft的远程桌面协议)已成为攻击者越来越受欢迎的目标。
该公告称,配置错误的云服务是另一个受欢迎的目标。与本地网络相比,保护云可能更加复杂。该公告警告说,未受保护的云服务通常会在采用初始访问技术之前被攻击者利用,并可能导致可怕的后果。
该公告指出:“糟糕的配置可能会导致敏感数据被盗,甚至是加密劫持。”
最难防范的技术之一是利用较差的端点检测和响应。该公告警告称,攻击者使用“混淆的恶意脚本和PowerShell攻击”来访问目标端点设备。
TrendMicro发现AvosLocker勒索软件攻击者最近使用PowerShell脚本来禁用防病毒软件并逃避检测。AvosLocker团伙采用的相对较新的技术还扫描了易受攻击的端点,这是该公告中强调的另一个威胁。
该公告称,暴露的开放端口和错误配置的服务,是最常见的漏洞发现之一,这可以将攻击者直接引向易受攻击的组织。
该公告指出:“网络攻击者使用扫描工具来检测开放端口,并经常将它们用作初始攻击媒介。”
Shadowserver Foundation也在周二发表的一篇博文中进一步强调了这种风险。这个非营利性信息安全组织最近开始扫描可访问的Kubernetes API实例,发现在超过450,000个实例中,超过380,000个允许某种形式的访问。Shadowserver进一步细分它,指出暴露的API占所有实例的近84%。
该博客文章称:“虽然这并不意味着这些实例完全开放或容易受到攻击,但这种访问级别很可能不是故意的,这些实例是不必要的暴露攻击面。它们还允许有关版本和构建的信息泄漏。”
很多弱点归结为安全条件差,并突出了企业安全的持续问题,例如未修补的软件,同时该联合公告还提供了详细的缓解步骤。例如,采用零信任模型,通过网络分段来减少攻击范围。
很多缓解措施都集中在身份验证和保护第三方设备上,因为攻击者使用的最常见技术涉及暴露的应用程序和滥用凭据。在启用外部访问之前,该公告敦促企业安装防火墙,并与其他安全帐户和主机(如域控制器)隔离。
此外,该联合公告建议采取缓解措施来保护控制访问和强化登录凭据,例如部署多因素身份验证和限制管理员帐户的远程功能。其他重要做法包括漏洞扫描、更改第三方提供的默认登录凭据和建立集中式日志管理。最后一点对于取证调查和记录攻击技术至关重要。