每當一個新的安全漏洞出現時,攻擊者就會瘋狂地掃描互聯網以識別易受攻擊的系統,而防御者則爭分奪秒地打補丁和實施其他緩解措施以保護他們的網絡。
計算已經變得非常廉價,潛在攻擊者只需花費大約10美元租用云計算能力,就可以對整個互聯網進行粗略掃描,找出易受攻擊的系統。從激增的成功攻擊事件即可獲知,攻擊者經常在修補新漏洞的競賽中獲勝。我們很難忽視越來越常見的擾亂我們數字生活的親身經歷,以及不斷涌現的關于網絡勒索的新聞報道。
為了幫助企業在這場戰斗中取得優勢,Palo Alto Networks(派拓網絡)Cortex? Xpanse?研究團隊研究了一些全球大型企業對外公開的互聯網攻擊面。從1月到3月,該團隊監測了與50家全球企業相關的針對5000萬個IP地址進行的掃描,以了解攻擊者如何快速識別易受攻擊的系統,從而進行快速入侵。
研究發現,近三分之一的漏洞來自于廣泛使用的遠程桌面協議(RDP)問題,自2020年初以來,由于企業在新冠疫情期間加速向云端遷移以支持遠程辦公人員,RDP的使用量激增。這會帶來麻煩,因為RDP可以提供對服務器的直接管理訪問,使其成為勒索軟件攻擊的最常見通道之一。對于攻擊者來說,目標更容易實現。然而,依舊有理由保持樂觀:已發現的大多數漏洞都可以輕松修復。
以下是本次研究的主要發現:
攻擊者一刻不停
攻擊者夜以繼日地在企業網絡上尋找暴露在開放互聯網上的易受攻擊的系統。在過去一年中,企業系統的暴露程度急劇擴大,以支持遠程辦公人員。在通常情況下,攻擊者每小時進行一次新掃描,而全球企業則需要花費數周時間。
攻擊者急于利用新漏洞
一旦有新的漏洞公布,攻擊者就會爭先恐后地加以利用。在今年1月至3月期間,通用漏洞庫(CVE)公告發布后15分鐘內攻擊者就開始掃描互聯網。攻擊者對微軟Exchange服務器零日漏洞的反應速度更快,在微軟3月2日公布后5分鐘內就開始掃描。
易受攻擊的系統廣泛存在
Cortex Xpanse發現,全球企業每12小時就會發現新的嚴重漏洞,或者每天兩次。
RDP占所有安全問題的三分之一
遠程桌面協議(RDP)約占整體安全問題的三分之一(32%)。其他經常暴露的漏洞包括錯誤配置的數據庫服務器,來自微軟和F5等供應商的高知名度零日漏洞,以及通過Telnet、簡單網絡管理協議(SNMP)、虛擬網絡計算(VNC)和其他協議的不安全遠程訪問。這些高風險漏洞如果被利用,許多都可以提供直接的管理訪問。在大多數情況下,這些漏洞可以輕松修復,但它們對攻擊者來說是唾手可得的目標。
云是最重要的安全問題
本次研究發現,全球企業中最重要的安全問題有79%由云足跡引起。這說明云計算的速度和特性會為現代基礎設施帶來風險,特別是過去一年,隨著企業在新冠疫情期間將計算轉移到外部以實現遠程辦公的激增,云環境的增長速度逐漸加快。
結論與建議
在現實中,數字化轉型帶來了新的風險平衡,而使攻擊者受益。IT與大多數安全工具,即資產和漏洞管理,只側重于評估,而不是發現。換句話說,這些工具在管理已知資產的同時,對未知資產視而不見。更糟糕的是,常見的發現未知資產方法(如抗滲透測試)每季度才進行一次。
這些計劃需要從基礎做起:
● 全球互聯網可視性:建立一個記錄系統,以跟蹤您在公共互聯網上擁有的每一項資產、系統和服務,包括所有主要CSP以及動態租用(商業和住宅)的ISP空間,范圍涵蓋常用和通常會配置錯誤的端口/協議(不僅限于跟蹤HTTP和HTTPS網站的傳統觀點)。
● 深入歸因:使用完整的協議握手來檢測企業的系統和服務,以驗證在給定IP地址上運行的特定服務的詳細信息。通過將這些信息與大量公有和私有數據集融合,可以將完整且正確的面向互聯網系統和服務集與特定組織或部門進行匹配。
