近日,SANS发布《2022年顶级新攻击和威胁分析报告》,根据可靠漏洞和恶意软件数据来源的统计基线开始,总结了SANS在最近的RSA小组中专家提出的顶级攻击和威胁,其中详细介绍了2022年及以后需要注意的新兴威胁。

2021-2022年的入侵和威胁基线数据

今年的报告重点关注2022年第一季度以及2023年的预测情况。与以往一样,将以身份盗窃资源中心(ITRC)收集的数据为基线。ITRC多年来一直遵循一个原则,只使用来自美国公开披露的漏洞信息。这些数据不包括DDoS攻击等事件,但包括最近的勒索软件攻击。

表1显示了22年第1季度以及2021年和2020年全年的事件和个人身份影响比较。

表1. 全年的事件和个人身份影响比较(2020、2021)

重点内容

  • 违规事件的平均规模逐步下降。22年第一季度的平均违规规模不到2021年平均数的三分之一,而2021年的违规规模比2020年下降了5%。这主要是由于攻击者对小型企业(尤其是医疗垂直行业)以及州和地方政府机构的攻击;

  • 将22年第1季度推算到全年表明,2022年针对制造业、医疗保健和非营利/非政府组织可能会出现增长,而针对教育、政府和零售业的攻击可能会下降。大多数其他垂直行业在22年与2021年攻击数量基本一致。

小型机构违规事件的增加,意味着大型企业必须提升小型供应商的安全水平的关注度。美国注册会计师协会的供应链风险管理报告框架和美国国家标准和技术研究所更新的SP800-161供应链风险框架这两个框架将帮助企业核查供应商的合规性。

ITRC的数据表明,商业电子邮件入侵/网络钓鱼是最大的单一攻击媒介,是半数入侵事件的根源。许多大型企业已经开始对电子邮件登录采用某种形式的多因素认证(MFA),MFA被证实可以预防99.9%以上的网络钓鱼攻击。2022年6月,美国国土安全部(DHS)指示美国联邦机构对所有微软Exchange的使用转变为MFA。这将有助于推动大型政府供应商采用MFA,但小型企业和政府机构间可能会逐步推广。另一个数据来源是Verizon的2022年数据泄露调查报告(DBIR),DBIR基于对真实泄露事件的详细调查。今年的DBIR验证了向MFA转移并更改可重复使用的密码的必要性,报告表示60%的违规事件是由凭证盗窃或网络钓鱼攻击造成的(见图1)。

图1. 非错误、非误用漏洞的主要因素

2022年DBIR还凸显了供应链安全的重要性,60%的系统入侵是源于合作伙伴的失陷,大多数涉及合作伙伴或供应商使用重复性密码;商业软件和开源软件的软件更新被破坏(如SolarWinds事件)是另一个主要威胁因素(见图2);这两个问题再次凸显了改善供应链安全的必要性。

图2. 系统入侵事件中的主要行动媒介

当企业采用新技术时,往往会引入新威胁。软件即服务(SaaS)、基础设施即服务(IaaS)和移动应用的快速增长是近期最大的技术趋势,攻击者也紧跟这一趋势。

云安全联盟(CSA)的"云计算顶级威胁"报告以调查数据和工作组的意见为基础。今年,工作组发现了19种威胁载体,代表了与云相关的安全事件中最常见的攻击途径,CSA对700名安全专业人士进行了调查,并对这19种载体进行了排名。表2陈列的11种,涵盖了大多数攻击。身份认证再次被列为最关键的领域。IT企业在云管理和应用开发方面缺乏基本的安全卫生意识。

表2.最常见的攻击路径,2022年

(与2019年的排名有变化)

结论

通过报告的分析,可以看出三个主要问题:

  • 可重复使用的密码仍然是关键业务应用程序上的一个"被攻击"的标志,迁移到MFA并不能防止入侵,但提高了入侵标准;

  • 攻击者会寻找并追击公司供应链中的薄弱环节;

  • 3保障基本的安全卫生仍是第一要务。

专家观点

0云攻击&绕过MFA

云攻击

攻击者使用了开发者常用的基于云的工具ngrok(见图4)。该工具的供应商表示只需一个命令,就能通过任何NAT或防火墙获得即时、安全的URL到本地主机服务器。如果ngrok的使用没有足够的安全控制,开发者和攻击者都将获得这种优势。使用开发人员正在使用的同一云工具的攻击者也更容易躲避检测。

最近利用微软OneDrive让用户点击传递Qbot或Qakbot恶意软件的URL的攻击。OneDrive存储即服务包含在Microsoft365和Office365计划以及SharePoint计划中,并且通常在IT组织没有计划使用它的情况下被启用。

缓解措施

培训和分享经验教训都是重要的途径。安全专家和终端用户都必须学会识别危险活动,然后迅速准确地将其与正常商业活动区分开来。尽管在网络安全工具和产品中使用人工智能(AI)和机器学习(ML)被夸大,但ML对事件进行优先排序方面取得了进展,以便分析人员能够首先调查最有可能是恶意的事件。分享经验教训也尤为重要,云服务提供商需要知悉漏洞,以便能够加强防御并改进未来的发布版本;坚实的基本安全卫生基础是高效完成工作的保障。保持网络流量的可见性,拥有准确的漏洞和威胁数据,以及执行日志监控和分析,都是所需的关键能力。

MFA绕过

从重复使用密码转向MFA是阻止现实世界攻击的最大安全改进。然而,MFA的实施并非易事,必须具备备份认证路径,以防用户无法使用首选的MFA方法登录。攻击者已经在探测MFA的配置和服务,并找到绕过新增安全级别的方法。2021年俄罗斯国家支持的攻击者通过猜测密码并获得控制权,强行进入一个账户。(见图5)。该账户是旧的,在允许深层访问的MFA服务中被禁用,但IT管理部门并未在活动目录中禁用。攻击者从活动目录中重启用了MFA服务,基本上绕过了MFA,并注册了一个攻击者控制的新设备。

缓解措施

从密码转移到MFA需要完整可行的计划,以避免业务中断。计划包括保持MFA的安全性,并决定在MFA解决方案不可用时的备份方法;企业必须确保当一个账户在MFA中被禁用的的同时,在AD中被禁用;安全专家需要能够识别正常和异常用户账户。

0针对备份攻击

企业往往有一套多样化的备份技术。随着IT的发展,从大型机到部门计算,到客户机/服务器,到以个人电脑为中心,最近又发展到云计算。几乎所有类型的备份方法都需要某种形式的软件代理被安装在用户的PC上。而且都存在漏洞(见图6)。

图6. 备份漏洞

备份:为独特的攻击做准备

针对备份解决方案发起的独特攻击将会逐步出现。设备和代理阵列不可避免带来的复杂性使备份管理成为一个严重问题。,IT运营(有时是安全)专业人员倾向于为某种类型的备份设置管理解决方案;按照供应商的默认值配置进行备份,包括内容、备份地点等,然后开始运行。这为攻击提供了便利条件。敏感数据基本上已经为攻击者提供了工具,攻击者将使用一个或多个被认证的备份系统来攻击数据。攻击者可以轻松地进入备份解决方案并配置第二个目标位置,而受害者正在向攻击者发送敏感文件,作为已经被指定为正常操作的备份过程的一部分。企业对云备份的依赖程度越高,云上云攻击的威胁性就越高。如果同一家云服务提供商被用于云备份和云服务,则更难分辨情况。

合法的备份,网络监控系统也是如此,因为其网络上发送大量的数据,有时使用代理,而且经常使用加密的代理。海量数据往往会造成数据泄漏预防(DLP)系统报告的假性结果和网络入侵检测系统(IDS)报告的误报。为了减少误报,DLP和IDS控制往往被调整为忽略备份,攻击者往往会利用这一点。

缓解措施

备份对于防止系统崩溃以及勒索软件和其他旨在使关键数据或可执行文件不可用的攻击至关重要。需要精准备份,尽量减少备份架构的攻击面;进行多层备份,并将其转移到不同的地点,确保拥有计划存储的所有备份地点的清单。

0旧技术,新尝试

攻击者持续采用久经考验的技术,因其成本低,易得切有效,并且可以以新型方式利用。

监控软件

监控软件低廉、易得,常用于监控某人的活动。监控软件需要访问设备,通常由父母安装在子女的手机上,但恶意监控软件,可轻松获取设备访问权。监控软件Pegasus就是一个很好的例子,该软件由以色列公司NSOGroup作为 "网络情报"工具出售给政府。Pegasus能够在部分安卓和iOS版本上实现零点击安装。在2016至2021年期间,全球有超过5万个电话号码被该软件泄露(见图8)。

图8. 用于iOS和Android的零点击漏洞

缓解措施

除非采取严厉的措施,如启用苹果公司正在推出的锁定模式(见边栏),否则在企业范围内减轻监控软件的风险,就意味着使用移动设备管理(MDM)。MDM流程和产品可以用来维持手机操作系统安全配置,降低已知恶意可执行文件安装风险,以及减少移动端加载有潜在风险应用的检测时间。定期进行企业和个人风险培训,可提高用户安全意识,降低相关风险。

0蠕虫病毒

蠕虫是一种能够利用系统漏洞通过网络进行自我传播的恶意程序就其本质而言,蠕虫通过扫描其他机器后在网络上进行自我复制,造成大量的网络流量。多年来,攻击者在减少噪音和规避安全解决方案方面已变得十分成熟。蠕虫仍然存在,而且破坏力仍未减弱。勒索软件WannaCry包含一个蠕虫组件,它在2017年造成了巨大的破坏,在2022年仍然影响着端点安全。

缓解措施

使用基本的安全卫生技术,可以避免大部分蠕虫攻击;对所有设备和应用进行适当备份,快速修复和更新关键软件,进行持续漏洞管理,通过转移到密码和MFA来消除密码漏洞。威胁搜索可以在早期阶段发现网络蠕虫,通过降低检测时间来减少整体影响。由于攻击者持续升级技术,保持对蠕虫和其他恶意软件的有效防御,也意味着不断升级安全技能,以应对不断演变的威胁环境。

0军民两用技术攻击

今年2月,俄罗斯入侵乌克兰时除了使用卫星三角测量瞄准乌克兰阵地外,同时还使用名为"Acid Rain "的恶意软件来破坏乌克兰ViaSat卫星调制解调器的操作系统。AcidRain还破坏了欧洲其他地区的调制解调器和其他关键的基础设施。当军用技术受到攻击时,处于战区之外的私营企业,使用类似技术也会面临风险。当SpaceX和美国政府合作向乌克兰发送数以千计的Starlink商业卫星终端时,存在临时性解决方案,使乌军能够使用点对点的通信加密。尽管这一方案立即遭受了来自俄方的攻击,但截止目前,Starlink还未被破坏或摧毁,但另一方面Starlink的商业用户面临的威胁剧增,因为该技术是俄方攻击的目标。敌对国家行为者已经聚焦Starlink,甚至已经发布了针对性的恶意软件;有很多其他非军事功能完全依赖于卫星通信,如GPS,也符合双重用途的模式。当一项商业技术开始被军方使用时,商业用户必须了解风险情况,并制定安全计划。

缓解措施

对卫星网络和其他军民两用技术的安全威胁的影响是十分严重,它们将不可避免地影响政府、私营部门、企业和个人。私营企业无法保卫天基系统,但应为所有关键的卫星链路确定备份通信技术,作为对潜在中断的缓解措施,并且定期测试备份。同时监测威胁情报来源,以便尽早发现影响技术使用的潜在军事行动的迹象。

全面提高防卫能力的最佳实践

网络安全最佳实践将始终作为降低各种威胁风险的基础。

  • 基本安全卫生。正如互联网安全中心的《关键安全控制措施》所述,以及全球网络安全机构所推荐的:资产可见性和库存、配置管理、及时打补丁、持续的漏洞管理、日志事件监控、备份和恢复、权限最小化、网络分割和应用控制可以防止多数恶意可执行文件,即使被安装了任意可执行文件。CIS关键安全控制措施第1组的实施是诸如零信任等高级概念的最低起点。达到这一水平,就可以进入更高层次的保护,如应用安全、先进的端点检测和响应,以及可以有效抵御所述先进威胁的自动化;

  • 加速采用MFA:最新数据显示,大多数破坏性攻击仍通过捕捉特权用户凭证和密码的网络钓鱼攻击实现。双因素认证(2FA)并非牢不可破,但提高了攻击门槛,迫使攻击者使用比控制内部连接的PC时更容易发现的技术。

安全团队需要与IT运营进行有效合作,实现利益最大化,同时需要获得业务单位和上层管理部门的支持,以确保获得运营变革所需的资金和支持。尽管这两个安全领域的改进有助于抵御攻击,但先对手也在不断升级技术和攻击手段。企业必须继续发展安全流程和控制机制,提高安全团队的技能水平。

  • 威胁狩猎/紫色团队:网络安全防御从不完美。威胁搜索工具和技术使安全人员能够更早发现主动威胁和破坏,降低反应时间从而避免业务损害或中断;

  • 提高软件供应链的安全性:软件安全应是大型供应链安全、质量或弹性计划的组成部分。如果企业没有相关计划,至少要与IT部门和采购部门合作,确保软件和SaaS供应商可提供安全的开发生命周期;

  • 将安全流程扩展到可移动且基于云的应用:安全技能通常以Windows为中心,Windows PC和服务器是攻击的常见入口。然而,移动端威胁以安卓和iOS为目标,尽管云工作负载通常在Windows服务器镜像上运行,但也需要Linux和VMware知识;

  • 确保运营技术和物联网设备的安全:针对关键基础设施系统的威胁真实且存在,而针对物联网的威胁也持续增加;

  • 数据整合优化:准确和及时的威胁信息可以与持续和准确的配置/漏洞信息整合,以降低风险。大多数企业并不缺乏情报和漏洞数据的数量,但需要提升数据的质量、时效性以及整合方式。

在此基础上,可以部署先进的控制措施,以尽量减少不断变化的威胁对业务的影响:使用ML和持续监测和验证,更好的预防能力和技术,以减少检测和反应的时间。

总结

今年的SANS威胁小组会议有两个主要主题:

  • 迫切需要对复杂、先进的新兴威胁进行准备和开发防御措施;

  • 非新兴、常见攻击技术和攻击面仍存在高风险,基本的安全卫生程序和控制仍然重要;

复杂攻击事件往往会成为头条新闻,有时头条新闻可以帮助安全人士获得管理层的支持,以实现改善安全所需的企业变革。安全从业人员必须应用安全卫生的基本原则,定期更新技能,改变终端用户在面对诸如网络钓鱼等威胁时的行为。加强企业合作,平衡安全要求和运营需求。进行有效沟通,传达控制和缓解威胁工作的重要性,并分享经验教训。

声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。