日前，XM Cyber研究團(tuán)隊(duì)針對(duì)200萬個(gè)本地、多云和混合環(huán)境中的端點(diǎn)、文件、文件夾和云資源進(jìn)行分析，形成了《2022年攻擊路徑管理影響報(bào)告》(Attack Path Management Impact Report 2022，以下簡(jiǎn)稱“報(bào)告”)，揭示了在當(dāng)前企業(yè)網(wǎng)絡(luò)及云環(huán)境中危害企業(yè)關(guān)鍵資產(chǎn)的攻擊技術(shù)、攻擊路徑和影響。

通過調(diào)研，報(bào)告建議組織通過查看整個(gè)環(huán)境來了解攻擊者如何實(shí)施攻擊，重點(diǎn)不應(yīng)僅僅聚焦在安全漏洞上，還有很多其他問題需要處理。調(diào)查數(shù)據(jù)顯示，新一代攻擊者僅需4個(gè)“躍點(diǎn)(hop，即攻擊者從入侵點(diǎn)到破壞關(guān)鍵資產(chǎn)所采取的步驟數(shù)量)”，就能從初始攻擊點(diǎn)破壞94%的關(guān)鍵資產(chǎn)。孤立的安全工具只關(guān)注某些特定的安全工作，但多種攻擊技術(shù)的組合才是組織面臨的最大風(fēng)險(xiǎn)。安全團(tuán)隊(duì)需要仔細(xì)研究其環(huán)境中存在的混合云攻擊、錯(cuò)誤配置和身份問題。

報(bào)告認(rèn)為，在應(yīng)用更加廣泛的云環(huán)境中，需要注意有許多看似合規(guī)的小問題，但當(dāng)把它們累積時(shí)，會(huì)發(fā)現(xiàn)這是一個(gè)很大的風(fēng)險(xiǎn)，甚至?xí)a(chǎn)生一種意想不到的后果。當(dāng)企業(yè)將所有這些放在一起時(shí)，會(huì)發(fā)現(xiàn)本地和云以及它們之間的關(guān)系才是我們需要解決的關(guān)鍵領(lǐng)域。很多企業(yè)仍然不能清晰了解自身的安全狀態(tài)，并了解所有可能危及在本地和云環(huán)境中業(yè)務(wù)的風(fēng)險(xiǎn)。為了更好了解攻擊的變化，以及這些變化如何影響風(fēng)險(xiǎn)。對(duì)攻擊路徑進(jìn)行建模來預(yù)測(cè)風(fēng)險(xiǎn)是一種值得嘗試的方法。

報(bào)告的關(guān)鍵發(fā)現(xiàn)

• 攻擊者最多只需4個(gè)“躍點(diǎn)”即可完成94%的網(wǎng)絡(luò)攻擊；
• 一個(gè)組織75%的關(guān)鍵資產(chǎn)在其當(dāng)時(shí)的安全狀態(tài)下可能已經(jīng)受到損害；
• 73%的主流攻擊技術(shù)涉及管理不善或被盜的憑據(jù)，27%的主流技術(shù)涉及漏洞或配置錯(cuò)誤；
• 企業(yè)中95%的用戶都擁有長(zhǎng)期訪問密鑰，這可能會(huì)危及關(guān)鍵資產(chǎn)安全；
• 面對(duì)新的RCE(遠(yuǎn)程代碼執(zhí)行)技術(shù)，78%的企業(yè)可能受到威脅；
• 75%的企業(yè)擁有面向外部的EC2(AWS提供的一種計(jì)算服務(wù)，以EC2實(shí)例形式存在，一個(gè)EC2實(shí)例可以被認(rèn)為是一個(gè)虛擬機(jī))設(shè)備，對(duì)關(guān)鍵資產(chǎn)構(gòu)成風(fēng)險(xiǎn)；
• 知道從哪里中斷攻擊路徑，需要修復(fù)的問題會(huì)減少80%。

Top 12攻擊技術(shù)

報(bào)告顯示，73%的主流攻擊技術(shù)涉及管理不善或被盜的憑據(jù);而27%的主流技術(shù)涉及漏洞或配置錯(cuò)誤。

1. 域憑據(jù)(利用受損憑據(jù)、哈希傳遞攻擊等)，占比23.7%;

2. “投毒”共享內(nèi)容(文件共享問題、權(quán)限)，占比14.2%;

3. 組策略修改(域控制器妥協(xié)，濫用組策略)，占比10.1%;

4. 本地憑據(jù)，占比9.5%;

5. PrintNightmare漏洞，占比8.1%;

6. 憑據(jù)中繼攻擊，占比7.2%;

7. Exe Share Hooking(可執(zhí)行文件的權(quán)限)，占比6%;

8. Microsoft SQL憑據(jù)，占比5.6%;

9. WPAD欺騙(中間人攻擊技術(shù))，占比4.7%;

10. 可達(dá)性(網(wǎng)絡(luò)分段問題)，占比4.2%;

11. 憑據(jù)轉(zhuǎn)儲(chǔ)，占比3.9%;

12. 虛擬機(jī)上的Azure運(yùn)行命令，占比2.8%。

安全建議：強(qiáng)大的補(bǔ)丁管理將減少攻擊向量并防止漏洞被利用。此外，通過使用操作系統(tǒng)本身的安全功能(如用戶身份驗(yàn)證)，也可以防止大量濫用不同憑證問題的攻擊向量。需要注意的是，我們還應(yīng)摒棄“修補(bǔ)漏洞就可以解決所有問題并阻止橫向移動(dòng)”這種錯(cuò)誤認(rèn)知。研究表明，近30%的攻擊技術(shù)濫用錯(cuò)誤配置和憑據(jù)來入侵和破壞組織。

目前常見的新攻擊技術(shù)

XM網(wǎng)絡(luò)研究團(tuán)隊(duì)將2021年針對(duì)企業(yè)使用的所有新攻擊技術(shù)分為三組：云技術(shù)、遠(yuǎn)程代碼執(zhí)行(REC)技術(shù)以及將云和REC結(jié)合起來(REC+云)的技術(shù)，以了解攻擊面的范圍以及高級(jí)持續(xù)威脅(APT，即結(jié)合多種技術(shù)來破壞目標(biāo))的使用情況。結(jié)果顯示：

• 在測(cè)試環(huán)境中發(fā)現(xiàn)87%的新型云技術(shù);
• 在測(cè)試環(huán)境中發(fā)現(xiàn)70%的新型REC技術(shù);
• 在測(cè)試環(huán)境中發(fā)現(xiàn)82% 的新型REC+云技術(shù)。

而這些技術(shù)對(duì)企業(yè)的影響結(jié)果為：

• 32%的企業(yè)可能會(huì)受到新型云技術(shù)的威脅;
• 78%的企業(yè)可能會(huì)受到新型RCE技術(shù)的影響;
• 90%的企業(yè)可能會(huì)受到新型RCE+云技術(shù)的影響。

安全建議：這些是企業(yè)需要關(guān)注并積極努力在其環(huán)境中消除的技術(shù)。當(dāng)一種新的RCE技術(shù)出現(xiàn)時(shí)，近80%的企業(yè)可能會(huì)受到威脅，而當(dāng)它與云技術(shù)結(jié)合在攻擊路徑中，90%的企業(yè)可能會(huì)受到威脅。顯然，如果有這么多漏洞可以很輕松地被利用，那么企業(yè)的補(bǔ)丁管理是低于標(biāo)準(zhǔn)且無效的。

跨本地和云的攻擊路徑

在混合網(wǎng)絡(luò)架構(gòu)中，攻擊路徑可能會(huì)變得非常復(fù)雜。該研究揭示了跨本地和云環(huán)境中存在的安全漏洞和攻擊技術(shù)，以及對(duì)所有環(huán)境中的關(guān)鍵資產(chǎn)保持全面可視性的重要意義。

企業(yè)在遷移至混合云環(huán)境時(shí)可能并沒有明確定義戰(zhàn)略。對(duì)此，企業(yè)可以允許各個(gè)部門采用自己的遷移策略。有時(shí)，缺乏統(tǒng)一遷移戰(zhàn)略的原因可能涉及更廣泛的業(yè)務(wù)事件，例如收購了擁有一個(gè)云服務(wù)供應(yīng)商的企業(yè)，或是與其他使用不同云供應(yīng)商的企業(yè)合并。這種計(jì)劃外的大規(guī)模云環(huán)境的復(fù)雜性和攻擊面數(shù)量會(huì)影響整個(gè)企業(yè)IT資源的安全性，包括：資產(chǎn)、網(wǎng)絡(luò)、平臺(tái)和應(yīng)用程序安全。

XM網(wǎng)絡(luò)研究團(tuán)隊(duì)還深入研究了專用于混合云、AWS和Azure環(huán)境中的攻擊技術(shù)：

在混合云中，41%的混合云組織(不止一個(gè)云供應(yīng)商)在其環(huán)境中使用了“本地到云”(On-prem to Cloud)技術(shù);38%的Azure組織在其環(huán)境中使用了“云到本地”(Cloud to On-prem)技術(shù);95%的用戶擁有長(zhǎng)期訪問密鑰，這可能會(huì)增加關(guān)鍵資產(chǎn)面臨的風(fēng)險(xiǎn)。

安全建議：研究表明，組織在云和本地網(wǎng)絡(luò)之間存在脫節(jié)——在許多情況下，企業(yè)有管理X的devops 團(tuán)隊(duì)，以及管理Y的團(tuán)隊(duì)，但它們之間缺乏連接的上下文——這些攻擊揭示了它們之間的隱藏聯(lián)系。只有通過查看跨混合網(wǎng)絡(luò)的攻擊路徑，團(tuán)隊(duì)才能實(shí)現(xiàn)協(xié)作并有效地縮小缺口。

原文鏈接：https://info.xmcyber.com/hubfs/Attack%20Path%20Management%20Impact%20Report%202022%20_XM%20Cyber.pdf