計算已經(jīng)變得非常廉價(jià),潛在攻擊者只需花費大約10美元租用云計算能力,就可以對整個(gè)互聯(lián)網(wǎng)進(jìn)行粗略?huà)呙瑁页鲆资芄舻南到y。從激增的成功攻擊事件即可獲知,攻擊者經(jīng)常在修補新漏洞的競賽中獲勝。我們很難忽視越來(lái)越常見(jiàn)的擾亂我們數字生活的親身經(jīng)歷,以及不斷涌現的關(guān)于網(wǎng)絡(luò )勒索的新聞報道。
為了幫助企業(yè)在這場(chǎng)戰斗中取得優(yōu)勢,Palo Alto Networks(派拓網(wǎng)絡(luò ))Cortex Xpanse 研究團隊研究了一些全球大型企業(yè)對外公開(kāi)的互聯(lián)網(wǎng)攻擊面。從1月到3月,該團隊監測了與50家全球企業(yè)相關(guān)的針對5000萬(wàn)個(gè)IP地址進(jìn)行的掃描,以了解攻擊者如何快速識別易受攻擊的系統,從而進(jìn)行快速入侵。
研究發(fā)現,近三分之一的漏洞來(lái)自于廣泛使用的遠程桌面協(xié)議(RDP)問(wèn)題,自2020年初以來(lái),由于企業(yè)在新冠疫情期間加速向云端遷移以支持遠程辦公人員,RDP的使用量激增。這會(huì )帶來(lái)麻煩,因為RDP可以提供對服務(wù)器的直接管理訪(fǎng)問(wèn),使其成為勒索軟件攻擊的最常見(jiàn)通道之一。對于攻擊者來(lái)說(shuō),目標更容易實(shí)現。然而,依舊有理由保持樂(lè )觀(guān):已發(fā)現的大多數漏洞都可以輕松修復。
以下是本次研究的主要發(fā)現:
攻擊者一刻不停
攻擊者夜以繼日地在企業(yè)網(wǎng)絡(luò )上尋找暴露在開(kāi)放互聯(lián)網(wǎng)上的易受攻擊的系統。在過(guò)去一年中,企業(yè)系統的暴露程度急劇擴大,以支持遠程辦公人員。在通常情況下,攻擊者每小時(shí)進(jìn)行一次新掃描,而全球企業(yè)則需要花費數周時(shí)間。
攻擊者急于利用新漏洞
一旦有新的漏洞公布,攻擊者就會(huì )爭先恐后地加以利用。在今年1月至3月期間,通用漏洞庫(CVE)公告發(fā)布后15分鐘內攻擊者就開(kāi)始掃描互聯(lián)網(wǎng)。攻擊者對微軟Exchange服務(wù)器零日漏洞的反應速度更快,在微軟3月2日公布后5分鐘內就開(kāi)始掃描。
易受攻擊的系統廣泛存在
Cortex Xpanse發(fā)現,全球企業(yè)每12小時(shí)就會(huì )發(fā)現新的嚴重漏洞,或者每天兩次。
RDP占所有安全問(wèn)題的三分之一
遠程桌面協(xié)議(RDP)約占整體安全問(wèn)題的三分之一(32%)。其他經(jīng)常暴露的漏洞包括錯誤配置的數據庫服務(wù)器,來(lái)自微軟和F5等供應商的高知名度零日漏洞,以及通過(guò)Telnet、簡(jiǎn)單網(wǎng)絡(luò )管理協(xié)議(SNMP)、虛擬網(wǎng)絡(luò )計算(VNC)和其他協(xié)議的不安全遠程訪(fǎng)問(wèn)。這些高風(fēng)險漏洞如果被利用,許多都可以提供直接的管理訪(fǎng)問(wèn)。在大多數情況下,這些漏洞可以輕松修復,但它們對攻擊者來(lái)說(shuō)是唾手可得的目標。
云是最重要的安全問(wèn)題
本次研究發(fā)現,全球企業(yè)中最重要的安全問(wèn)題有79%由云足跡引起。這說(shuō)明云計算的速度和特性會(huì )為現代基礎設施帶來(lái)風(fēng)險,特別是過(guò)去一年,隨著(zhù)企業(yè)在新冠疫情期間將計算轉移到外部以實(shí)現遠程辦公的激增,云環(huán)境的增長(cháng)速度逐漸加快。
結論與建議
在現實(shí)中,數字化轉型帶來(lái)了新的風(fēng)險平衡,而使攻擊者受益。IT與大多數安全工具,即資產(chǎn)和漏洞管理,只側重于評估,而不是發(fā)現。換句話(huà)說(shuō),這些工具在管理已知資產(chǎn)的同時(shí),對未知資產(chǎn)視而不見(jiàn)。更糟糕的是,常見(jiàn)的發(fā)現未知資產(chǎn)方法(如抗滲透測試)每季度才進(jìn)行一次。
這些計劃需要從基礎做起:
- 全球互聯(lián)網(wǎng)可視性:建立一個(gè)記錄系統,以跟蹤您在公共互聯(lián)網(wǎng)上擁有的每一項資產(chǎn)、系統和服務(wù),包括所有主要CSP以及動(dòng)態(tài)租用(商業(yè)和住宅)的ISP空間,范圍涵蓋常用和通常會(huì )配置錯誤的端口/協(xié)議(不僅限于跟蹤HTTP和HTTPS網(wǎng)站的傳統觀(guān)點(diǎn))。
- 深入歸因:使用完整的協(xié)議握手來(lái)檢測企業(yè)的系統和服務(wù),以驗證在給定IP地址上運行的特定服務(wù)的詳細信息。通過(guò)將這些信息與大量公有和私有數據集融合,可以將完整且正確的面向互聯(lián)網(wǎng)系統和服務(wù)集與特定組織或部門(mén)進(jìn)行匹配。
更多發(fā)現和建議,請訪(fǎng)問(wèn)完整報告 https://www.paloaltonetworks.com/cortex/asm-report。
關(guān)于Cortex Xpanse
作為全球互聯(lián)網(wǎng)收集和歸因平臺,Cortex Xpanse 助力企業(yè)CISO不斷發(fā)現、評估和緩解其外部攻擊面。今天,Xpanse的客戶(hù)共占整個(gè)IPv4互聯(lián)網(wǎng)的12%,包括領(lǐng)先的財富500強企業(yè)以及美國政府機構和軍事分支機構。
關(guān)于Palo Alto Networks(派拓網(wǎng)絡(luò ))
作為全球網(wǎng)絡(luò )安全領(lǐng)導企業(yè),Palo Alto Networks(派拓網(wǎng)絡(luò ))正借助其先進(jìn)技術(shù)重塑著(zhù)以云為中心的未來(lái)社會(huì ),改變著(zhù)人類(lèi)和組織運作的方式。我們的使命是成為首選網(wǎng)絡(luò )安全伙伴,保護人們的數字生活方式。借助我們在人工智能、分析、自動(dòng)化與編排方面的持續性創(chuàng )新和突破,助力廣大客戶(hù)應對全球最為嚴重的安全挑戰。通過(guò)交付集成化平臺和推動(dòng)合作伙伴生態(tài)系統的不斷成長(cháng),我們始終站在安全前沿,在云、網(wǎng)絡(luò )以及移動(dòng)設備方面為數以萬(wàn)計的組織保駕護航。我們的愿景是構建一個(gè)日益安全的世界。更多內容,敬請登錄Palo Alto Networks(派拓網(wǎng)絡(luò ))官網(wǎng)www.paloaltonetworks.com或中文網(wǎng)站www.paloaltonetworks.cn 。
