每當(dāng)一個(gè)新的安全漏洞出現(xiàn)時(shí),,攻擊者就會(huì)瘋狂地掃描互聯(lián)網(wǎng)以識(shí)別易受攻擊的系統(tǒng),而防御者則爭(zhēng)分奪秒地打補(bǔ)丁和實(shí)施其他緩解措施以保護(hù)他們的網(wǎng)絡(luò),。
計(jì)算已經(jīng)變得非常廉價(jià),,潛在攻擊者只需花費(fèi)大約10美元租用云計(jì)算能力,就可以對(duì)整個(gè)互聯(lián)網(wǎng)進(jìn)行粗略掃描,,找出易受攻擊的系統(tǒng),。從激增的成功攻擊事件即可獲知,攻擊者經(jīng)常在修補(bǔ)新漏洞的競(jìng)賽中獲勝,。我們很難忽視越來(lái)越常見(jiàn)的擾亂我們數(shù)字生活的親身經(jīng)歷,,以及不斷涌現(xiàn)的關(guān)于網(wǎng)絡(luò)勒索的新聞報(bào)道。
為了幫助企業(yè)在這場(chǎng)戰(zhàn)斗中取得優(yōu)勢(shì),,Palo Alto Networks(派拓網(wǎng)絡(luò))Cortex? Xpanse?研究團(tuán)隊(duì)研究了一些全球大型企業(yè)對(duì)外公開(kāi)的互聯(lián)網(wǎng)攻擊面。從1月到3月,,該團(tuán)隊(duì)監(jiān)測(cè)了與50家全球企業(yè)相關(guān)的針對(duì)5000萬(wàn)個(gè)IP地址進(jìn)行的掃描,,以了解攻擊者如何快速識(shí)別易受攻擊的系統(tǒng),從而進(jìn)行快速入侵,。
研究發(fā)現(xiàn),,近三分之一的漏洞來(lái)自于廣泛使用的遠(yuǎn)程桌面協(xié)議(RDP)問(wèn)題,自2020年初以來(lái),,由于企業(yè)在新冠疫情期間加速向云端遷移以支持遠(yuǎn)程辦公人員,,RDP的使用量激增。這會(huì)帶來(lái)麻煩,,因?yàn)镽DP可以提供對(duì)服務(wù)器的直接管理訪問(wèn),,使其成為勒索軟件攻擊的最常見(jiàn)通道之一,。對(duì)于攻擊者來(lái)說(shuō),目標(biāo)更容易實(shí)現(xiàn),。然而,,依舊有理由保持樂(lè)觀:已發(fā)現(xiàn)的大多數(shù)漏洞都可以輕松修復(fù)。
以下是本次研究的主要發(fā)現(xiàn):
攻擊者一刻不停
攻擊者夜以繼日地在企業(yè)網(wǎng)絡(luò)上尋找暴露在開(kāi)放互聯(lián)網(wǎng)上的易受攻擊的系統(tǒng),。在過(guò)去一年中,,企業(yè)系統(tǒng)的暴露程度急劇擴(kuò)大,以支持遠(yuǎn)程辦公人員,。在通常情況下,,攻擊者每小時(shí)進(jìn)行一次新掃描,而全球企業(yè)則需要花費(fèi)數(shù)周時(shí)間,。
攻擊者急于利用新漏洞
一旦有新的漏洞公布,,攻擊者就會(huì)爭(zhēng)先恐后地加以利用。在今年1月至3月期間,,通用漏洞庫(kù)(CVE)公告發(fā)布后15分鐘內(nèi)攻擊者就開(kāi)始掃描互聯(lián)網(wǎng),。攻擊者對(duì)微軟Exchange服務(wù)器零日漏洞的反應(yīng)速度更快,在微軟3月2日公布后5分鐘內(nèi)就開(kāi)始掃描,。
易受攻擊的系統(tǒng)廣泛存在
Cortex Xpanse發(fā)現(xiàn),,全球企業(yè)每12小時(shí)就會(huì)發(fā)現(xiàn)新的嚴(yán)重漏洞,或者每天兩次,。
RDP占所有安全問(wèn)題的三分之一
遠(yuǎn)程桌面協(xié)議(RDP)約占整體安全問(wèn)題的三分之一(32%),。其他經(jīng)常暴露的漏洞包括錯(cuò)誤配置的數(shù)據(jù)庫(kù)服務(wù)器,來(lái)自微軟和F5等供應(yīng)商的高知名度零日漏洞,,以及通過(guò)Telnet,、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)、虛擬網(wǎng)絡(luò)計(jì)算(VNC)和其他協(xié)議的不安全遠(yuǎn)程訪問(wèn),。這些高風(fēng)險(xiǎn)漏洞如果被利用,,許多都可以提供直接的管理訪問(wèn)。在大多數(shù)情況下,,這些漏洞可以輕松修復(fù),,但它們對(duì)攻擊者來(lái)說(shuō)是唾手可得的目標(biāo)。
云是最重要的安全問(wèn)題
本次研究發(fā)現(xiàn),,全球企業(yè)中最重要的安全問(wèn)題有79%由云足跡引起,。這說(shuō)明云計(jì)算的速度和特性會(huì)為現(xiàn)代基礎(chǔ)設(shè)施帶來(lái)風(fēng)險(xiǎn),特別是過(guò)去一年,,隨著企業(yè)在新冠疫情期間將計(jì)算轉(zhuǎn)移到外部以實(shí)現(xiàn)遠(yuǎn)程辦公的激增,,云環(huán)境的增長(zhǎng)速度逐漸加快。
結(jié)論與建議
在現(xiàn)實(shí)中,,數(shù)字化轉(zhuǎn)型帶來(lái)了新的風(fēng)險(xiǎn)平衡,,而使攻擊者受益,。IT與大多數(shù)安全工具,即資產(chǎn)和漏洞管理,,只側(cè)重于評(píng)估,,而不是發(fā)現(xiàn)。換句話說(shuō),,這些工具在管理已知資產(chǎn)的同時(shí),,對(duì)未知資產(chǎn)視而不見(jiàn)。更糟糕的是,,常見(jiàn)的發(fā)現(xiàn)未知資產(chǎn)方法(如抗?jié)B透測(cè)試)每季度才進(jìn)行一次,。
這些計(jì)劃需要從基礎(chǔ)做起:
● 全球互聯(lián)網(wǎng)可視性:建立一個(gè)記錄系統(tǒng),以跟蹤您在公共互聯(lián)網(wǎng)上擁有的每一項(xiàng)資產(chǎn),、系統(tǒng)和服務(wù),,包括所有主要CSP以及動(dòng)態(tài)租用(商業(yè)和住宅)的ISP空間,范圍涵蓋常用和通常會(huì)配置錯(cuò)誤的端口/協(xié)議(不僅限于跟蹤HTTP和HTTPS網(wǎng)站的傳統(tǒng)觀點(diǎn)),。
● 深入歸因:使用完整的協(xié)議握手來(lái)檢測(cè)企業(yè)的系統(tǒng)和服務(wù),,以驗(yàn)證在給定IP地址上運(yùn)行的特定服務(wù)的詳細(xì)信息。通過(guò)將這些信息與大量公有和私有數(shù)據(jù)集融合,,可以將完整且正確的面向互聯(lián)網(wǎng)系統(tǒng)和服務(wù)集與特定組織或部門進(jìn)行匹配,。