最近發(fā)布的網(wǎng)絡安全公告警告稱，攻擊者正在利用錯誤配置和薄弱的安全控制來獲得對企業(yè)網(wǎng)絡的初始訪問權限。

美國網(wǎng)絡安全和基礎設施安全局(CISA)與來自加拿大、新西蘭、荷蘭和英國的網(wǎng)絡安全當局一起，詳細介紹了在攻擊開始階段被利用最多的控制和做法。

該公告稱：“網(wǎng)絡攻擊者經(jīng)常利用糟糕的安全配置(配置錯誤或不安全)、控制薄弱和其他糟糕的網(wǎng)絡做法來獲得初始訪問權限，或作為其他策略的一部分來破壞受害者的系統(tǒng)?！?

該公告總共列出了五種技術：利用面向公眾的應用程序、外部遠程服務、網(wǎng)絡釣魚、受信任關系和有效帳戶。受信任的關系是指一種危險的技術，攻擊者破壞第二方或第三方以獲取對目標受害者的訪問權限。濫用遠程服務(例如VPN和Microsoft的遠程桌面協(xié)議)已成為攻擊者越來越受歡迎的目標。

該公告稱，配置錯誤的云服務是另一個受歡迎的目標。與本地網(wǎng)絡相比，保護云可能更加復雜。該公告警告說，未受保護的云服務通常會在采用初始訪問技術之前被攻擊者利用，并可能導致可怕的后果。

該公告指出：“糟糕的配置可能會導致敏感數(shù)據(jù)被盜，甚至是加密劫持?！?

最難防范的技術之一是利用較差的端點檢測和響應。該公告警告稱，攻擊者使用“混淆的惡意腳本和PowerShell攻擊”來訪問目標端點設備。

TrendMicro發(fā)現(xiàn)AvosLocker勒索軟件攻擊者最近使用PowerShell腳本來禁用防病毒軟件并逃避檢測。AvosLocker團伙采用的相對較新的技術還掃描了易受攻擊的端點，這是該公告中強調(diào)的另一個威脅。

該公告稱，暴露的開放端口和錯誤配置的服務，是最常見的漏洞發(fā)現(xiàn)之一，這可以將攻擊者直接引向易受攻擊的組織。

該公告指出：“網(wǎng)絡攻擊者使用掃描工具來檢測開放端口，并經(jīng)常將它們用作初始攻擊媒介?！?

Shadowserver Foundation也在周二發(fā)表的一篇博文中進一步強調(diào)了這種風險。這個非營利性信息安全組織最近開始掃描可訪問的Kubernetes API實例，發(fā)現(xiàn)在超過450,000個實例中，超過380,000個允許某種形式的訪問。Shadowserver進一步細分它，指出暴露的API占所有實例的近84%。

該博客文章稱：“雖然這并不意味著這些實例完全開放或容易受到攻擊，但這種訪問級別很可能不是故意的，這些實例是不必要的暴露攻擊面。它們還允許有關版本和構建的信息泄漏?！?

很多弱點歸結為安全條件差，并突出了企業(yè)安全的持續(xù)問題，例如未修補的軟件，同時該聯(lián)合公告還提供了詳細的緩解步驟。例如，采用零信任模型，通過網(wǎng)絡分段來減少攻擊范圍。

很多緩解措施都集中在身份驗證和保護第三方設備上，因為攻擊者使用的最常見技術涉及暴露的應用程序和濫用憑據(jù)。在啟用外部訪問之前，該公告敦促企業(yè)安裝防火墻，并與其他安全帳戶和主機(如域控制器)隔離。

此外，該聯(lián)合公告建議采取緩解措施來保護控制訪問和強化登錄憑據(jù)，例如部署多因素身份驗證和限制管理員帳戶的遠程功能。其他重要做法包括漏洞掃描、更改第三方提供的默認登錄憑據(jù)和建立集中式日志管理。最后一點對于取證調(diào)查和記錄攻擊技術至關重要。