正如Tenable的研究工程師SatnamNarang所說,雖然網絡安全軟件中的后門可能占據了頭條新聞,但攻擊者的戰術更具可預測性。威脅者是習慣的產物。他們喜歡做他們認為可行的事情,利用未修補的漏洞為他們提供了一個豐富的脈絡。
當您檢查數據時,令人不安的是,威脅參與者在其攻擊中依賴未修補的漏洞。這些“壞窗口”主要用于獲得對目標網絡的初始訪問。從那里,攻擊者可以利用諸如Zerologon之類的嚴重漏洞來提升權限,從而使自己能夠訪問網絡中的域控制器。
攻擊警告
去年,政府機構發布了幾條警告,警告攻擊者利用漏洞進行攻擊,這些漏洞有可用的補丁,但仍然沒有得到緩解。然而,并非所有的漏洞都是平等的。事實上,根據Tenable在2020年對高知名度漏洞的研究,并非所有關鍵漏洞都有一個名稱和/或標識。
相反,并不是每個指定了名稱和徽標的漏洞都被視為嚴重漏洞。相反,在權衡漏洞的嚴重性時,還需要考慮其他因素,包括概念驗證(PoC)攻擊代碼的存在和攻擊的易用性。
鑒于COVID-19大流行所帶來的巨大變化,這種不確定性對網絡犯罪分子來說是一個額外的好處。隨著各國政府在全球范圍內授權公民限制行動,企業向遠程工作、學校向遠程教育的轉變前所未有。
這帶來了一系列全新的安全挑戰,從依賴虛擬專用網和遠程桌面協議(RDP)等工具,到引入新的視頻會議應用程序。虛擬專用網解決方案中預先存在的漏洞很多最初是在2019年或更早的時候披露的,在2020年被證明是網絡犯罪分子和民族國家組織最喜歡的目標。
雖然攻擊者喜歡已知的漏洞,但在2020年有一些零天被利用。網絡瀏覽器尤其是GoogleChrome、MozillaFirefox、internetexplorer和microsoftedge是主要攻擊目標,占所有零日漏洞的35%以上。考慮到瀏覽器是互聯網的網關,修補這些資產對企業網絡的安全至關重要。
這教會了我們什么
隨著攻擊面的擴大,漏洞管理在現代網絡安全戰略中扮演著核心角色。未修補的漏洞使敏感數據和關鍵業務系統暴露在外,并為勒索軟件參與者帶來了豐厚的機會。
在部署到實時環境之前,需要使用基于風險的方法來處理補救,清楚地了解修補對業務運營的影響。對于任何規模的組織來說,這都是一項不小的任務,對于那些擁有大型和多樣化環境的組織來說,這可能尤其困難。現代漏洞管理可分為以下關鍵階段:
識別并刪除不必要的服務和軟件
限制對第三方庫的依賴
實現安全的軟件開發生命周期
在整個攻擊面上實施精確的資產檢測,包括信息技術、操作技術和物聯網,無論它們是駐留在云中還是本地。
查找并修復
在查看要查找和修復的漏洞時,有五個漏洞在2020年期間主要是針對這些漏洞的。其中包括Citrix、PulseSecure和Fortinet的虛擬專用網絡解決方案中自2019年以來的三個遺留漏洞:
(1)CVE-2020-1472–零登錄
(2)CVE-2019-19781–CitrixADC/網關/SDWAN-OP
CVE-2019-11510–PulseConnect安全SSL虛擬專用網
CVE-2018-13379–FortinetFortigateSSL虛擬專用網
(3)CVE-2020-5902–F5大IP
基于瀏覽器的漏洞很容易在修復過程中考慮優先級,因為它們易于修補,但是它們不一定會帶來最大的風險。防火墻、域控制器和虛擬專用網等設備如果受到危害,可能會產生更大的影響,在測試和應用修補程序或緩解措施時需要更加小心。
修補電子郵件服務器也應該是一個優先事項,以防止利用和保護機密信息。同時,對員工進行電子郵件最佳實踐方面的教育,并提高網絡釣魚等領域的安全意識,也應是當務之急。
基礎設施中的每一個設備、每一項資產都需要被視為有可能成為“流氓”。必須采取措施,盡量減少特權和他們可以訪問的攻擊面。雖然很少有組織會有必要的資金來防止像太陽風這樣復雜的破壞,但謝天謝地,很少有組織需要這樣做。如上所述,健全的網絡衛生做法有助于挫敗網絡犯罪分子實施的大多數攻擊。
