今天小編分享的互聯網經驗:剖析組織中六大關鍵攻擊面相關的威脅趨勢和挑戰,歡迎閱讀。
随着世界變得更加互聯和數字化,網絡安全形勢也愈發復雜和嚴峻。企業正在将更多的基礎設施、數據和應用程式遷移至雲端,支持遠程工作,并與第三方生态系統合作。因此,安全團隊現在必須防御的是一個更廣泛、更動态的環境和一組擴展的攻擊面。
威脅行為者正在利用這種復雜性,通過組織防護機制中的漏洞執行殘酷的大規模攻擊。攻擊通常是多方面的,跨越組織運營和基礎設施的多個元素。攻擊者在日益增長的 " 網絡犯罪即服務 " 領網域也變得更加協調。
跟上當今的威脅意味着要保護每個主要攻擊面,包括電子郵件、身份、端點、物聯網(IoT)、雲和外部。從安全的角度來看,組織的真正實力往往取決于最薄弱的環節,而攻擊者也越來越善于發現這些環節。好消息是,大多數威脅可以通過實施基礎的安全措施來阻止。事實上,研究發現,基礎的安全衛生舉措仍然可以抵御 98% 的網絡攻擊。
對威脅的端到端可見性是良好安全習慣的基礎。正确的威脅情報使安全團隊能夠全面了解威脅情況,使他們能夠領先于新出現的威脅,并不斷完善防御措施。當威脅行為者侵入時,全面的威脅情報對于了解發生了什麼并防止再次發生至關重要。
下面我們将讨論與組織中 6 大主要攻擊面——電子郵件、身份、端點、物聯網、雲和外部——相關的威脅趨勢和挑戰。
1. 電子郵件仍是頭号威脅載體以及防御的重點領網域
對于大多數組織來說,電子郵件是日常業務操作的重要組成部分。不幸的是,電子郵件仍然是頭号威脅載體。2022 年,35% 的勒索軟體事件涉及使用電子郵件。攻擊者進行的電子郵件攻擊比以往任何時候都多:2022 年,網絡釣魚攻擊的發生率比 2021 年增加了 61%。
攻擊者現在通常還利用合法資源進行網絡釣魚攻擊。這使得用戶更加難以區分真實和惡意電子郵件,增加了威脅成功的可能性。例如,威脅行為者正在濫用合法的雲服務提供商,來欺騙用戶授予訪問機密數據的權限。
如果無法将電子郵件信号與更廣泛的事件相關聯以可視化攻擊,則可能需要很長時間才能檢測到通過電子郵件進入的威脅行為者。到那時,想要阻止破壞可能為時已晚。攻擊者訪問一個組織的私有數據所需的平均時間僅為 72 分鍾。這可能會導致企業層面的嚴重損失。據估計,商業郵件洩露(BEC)在 2021 年造成了 24 億美元的經濟損失。
除了 URL 檢查和禁用宏等保護措施外,員工教育對于防止威脅產生影響至關重要。模拟的網絡釣魚電子郵件和關于如何識别惡意内容(即使它看起來是合法的)的指導材料是關鍵的預防性安全措施。我們預計,威脅行為者将繼續提高其執行電子郵件攻擊的社會工程手段,利用人工智能和其他工具來提高惡意電子郵件的說服力和個性化。這只是一個例子,相信随着組織在解決當今的電子郵件威脅方面做得越來越好,威脅将繼續演變。
2. 擴展的身份格局也為威脅行為者提供了更多機會
在當今支持雲計算的世界中,安全訪問變得比以往任何時候都更加重要。因此,深入了解整個組織的身份(包括用戶帳戶權限、工作負載身份及其潛在漏洞)至關重要,特别是在攻擊的頻率和創造性不斷增加的情況下。
2022 年,密碼攻擊次數估計上升到每秒 921 次,比 2021 年增長了 74%。此外,研究人員還看到威脅參與者在規避多因素身份驗證(MFA)方面變得更有創意,他們使用諸如 Adversary-in-the-Middle(AiTM)網絡釣魚攻擊和令牌濫用等技術來訪問組織的數據。網絡釣魚工具使威脅行為者更容易竊取憑證。研究觀察到,在過去的一年裡,網絡釣魚工具的復雜性有所增加,而且進入門檻非常低——一個賣家提供的網絡釣魚工具每天只需 6 美元。
管理身份攻擊面不僅僅是保護用戶帳戶,它還跨越了雲訪問和工作負載身份。被破壞的憑據可能是威脅參與者用來對組織的雲基礎設施造成嚴重破壞的強大工具。
攻擊者經常通過獲取第三方帳戶或其他與組織相連的高度特權帳戶的訪問權限,然後使用這些憑據滲透到雲并竊取數據。盡管在權限審計中經常忽略工作負載身份(分配給軟體工作負載,如應用程式,以訪問其他服務和資源的身份),但隐藏在工作負載中的身份信息可以使威脅參與者訪問整個組織的數據。
随着身份領網域的不斷擴展,我們預計,針對身份的攻擊将在數量和種類上繼續增長。這意味着保持對身份和訪問的全面理解将繼續是至關重要的任務。
3. 混合環境和影子 IT 增加了端點盲點
考慮到當今混合環境中設備的絕對數量,保護端點變得更具挑戰性。但不變的是,保護端點(特别是未管理的設備)對于強大的安全态勢至關重要,因為即使是一次簡單的妥協也可能使威脅參與者侵入您的組織。
随着企業采用 BYOD(自帶設備)政策,非管理設備激增。因此,端點攻擊面現在變得更大,更暴露。平均而言,一個企業中有 3500 台連接的設備沒有受到端點檢測和響應代理的保護。
非托管設備(屬于 " 影子 IT" 領網域的一部分)對威脅參與者極具吸引力,因為安全團隊缺乏必要的可見性來保護它們。研究發現,用戶在非托管設備上被感染的可能性要高出 71%。由于非托管設備連接到公司網絡,因此也為攻擊者提供了對伺服器和其他基礎設施發動更廣泛攻擊的機會。
非托管伺服器也是端點攻擊的潛在載體。在 2021 年,研究人員觀察到一次攻擊,威脅行為者利用未打補丁的伺服器,在目錄中導航,并發現了一個提供帳戶憑據訪問的密碼檔案夾。
然後,攻擊者就能登錄到組織内的許多設備,以收集和洩露大量數據,包括知識產權。接下來,攻擊者就會威脅稱,如果不支付後續贖金,就會公布信息。這種做法被稱為 " 雙重勒索 ",這是研究人員在過去一年中看到的一個令人擔憂的場景。即使支付了贖金,也不能保證數據不會被加密,甚至不能保證數據會被歸還。
随着端點數量的持續增長,威脅參與者無疑會繼續将端點(尤其是未管理的端點)視為有吸引力的目标。因此,改進端點可見性和安全态勢可以為組織提供重要的價值。
4. 物聯網設備呈指數級增長,威脅也呈指數級增長
最容易被忽視的端點攻擊媒介之一是 IoT(物聯網)——其中包括數十億個大大小小的設備。物聯網安全涵蓋連接到網絡并與網絡交換數據的物理設備,如路由器、印表機、相機和其他類似設備。它還可以包括操作設備和傳感器(運營技術,或 "OT"),例如制造生產線上的智能設備。
随着物聯網設備數量的激增,漏洞的數量也在随之增加。IDC 預測,到 2025 年,将有 410 億個物聯網設備出現在企業和消費者環境中。由于許多組織正在強化路由器和網絡,使其更難以被威脅行為者攻破,物聯網設備正成為一個更容易、更有吸引力的目标。
我們經常看到威脅行為者利用漏洞将物聯網設備變成代理——使用暴露的設備作為進入網絡的立足點。一旦威脅行為者獲得了對物聯網設備的訪問權限,他們就可以監控其他未受保護資產的網絡流量,橫向移動以滲透目标基礎設施的其他部分,或者執行偵察以計劃對敏感設備和設備的大規模攻擊。在一項研究中,35% 的安全從業者報告稱,在過去兩年中,物聯網設備被用來對他們的組織進行更廣泛的攻擊。
不幸的是,就可見性而言,物聯網通常是組織的 " 黑箱 ",許多組織缺乏适當的物聯網安全措施。60% 的安全從業者認為物聯網和 OT 安全是其 IT 和 OT 基礎設施中最不安全的方面之一。
物聯網設備本身通常包含危險的漏洞。數據顯示,在互聯網上公開可見的 100 萬台連接設備正在運行 Boa web 伺服器,這是一種過時的、不受支持的軟體,但仍廣泛用于物聯網設備和軟體開發工具包(sdk)。
越來越多的國家正在注意到這些盲點,并要求改進物聯網設備的網絡安全。雖然物聯網目前是人們關注的焦點,但網絡安全法規也在其他領網域擴展,這使得組織獲得跨攻擊面可見性變得更加緊迫。
5. 保護雲既關鍵又復雜
組織越來越多地将基礎設施、應用程式開發、工作負載和大量數據轉移到雲上。保護雲環境意味着保護分布在多個雲上的一系列服務,包括 SaaS、IaaS 和 PaaS。考慮到所涉及的服務的廣度和分布,很難在每一層獲得适當的可見性和保護級别。
許多組織都在努力獲得跨雲生态系統的端到端可見性,特别是随着數據越來越多地駐留在多個雲和混合環境中。通常,缺乏可見性意味着存在安全漏洞。研究人員發現,84% 遭受勒索軟體攻擊的組織沒有将他們的多雲資產與他們的安全工具集成,這是一個關鍵的疏忽。
向雲的廣泛遷移也增加了網絡犯罪分子可以利用的新攻擊媒介的數量,許多人通過權限安全漏洞獲得訪問權限。在雲中開發的應用程式中存在未知的基于代碼的漏洞,這極大地增加了被破壞的風險。因此,研究發現,跨組織的頂級雲攻擊媒介是 " 雲應用程式開發 "。
采用 " 左移 " 安全方法——在應用程式開發的早期階段結合安全思想——可以幫助組織加強他們的安全态勢,并預先避免引入這些漏洞。
" 雲存儲 " 是另一個越來越常見的攻擊媒介,因為不正确的權限可能會使用戶數據處于危險之中。此外,雲服務提供商本身也可能受到威脅。2021 年,Midnight Blizzard(一個與俄羅斯有關的威脅行為者組織,原名 NOBELIUM)對一家雲服務提供商發起了網絡釣魚攻擊,試圖破壞和利用政府特權客戶賬戶。這只是現代雲威脅的一個例子,我們預計,未來會看到更多的跨雲攻擊。
6. 保護外部攻擊面是一個互聯網規模的挑戰
如今,一個組織的外部攻擊面跨越多個雲、復雜的數字供應鏈和龐大的第三方生态系統。互聯網現在是網絡的一部分,盡管它的規模幾乎是不可估量的,安全團隊必須保護他們的組織在整個互聯網上的存在。随着越來越多的組織采用零信任原則,保護内部和外部攻擊面已成為互聯網規模的挑戰。
外部攻擊面遠遠超出了組織自身資產的範圍。它通常包括供應商、合作夥伴、連接到公司網絡或資產的非管理員工個人設備,以及新收購的組織。因此,為了減輕潛在的威脅,了解外部連接和暴露是至關重要的。2020 年 Ponemon 的一份報告顯示,53% 的組織在過去兩年中至少經歷過一次由第三方造成的數據洩露,平均花費 750 萬美元來修復。
随着網絡攻擊背後的基礎設施不斷增加,獲取威脅基礎設施的可見性和盤點暴露在互聯網上的資產變得比以往任何時候都更加緊迫。研究發現,組織常常難以理解其外部暴露的範圍,從而產生重大的盲點。這些盲點會帶來毀滅性的後果。在 2021 年,61% 的企業經歷了勒索軟體攻擊,導致至少部分業務運營中斷。
在評估安全狀态時,從外到内查看組織非常重要。除了 VAPT(漏洞評估和滲透測試)之外,深入了解外部攻擊面非常重要,這樣組織就可以在整個環境和擴展生态系統中識别漏洞。試想如果你是一個試圖進入系統的攻擊者,你可以利用什麼?了解組織外部攻擊面的全部範圍是确保其安全的基礎。