計算已經(jīng)變得非常廉價,潛在攻擊者只需花費大約10美元租用云計算能力,就可以對整個互聯(lián)網(wǎng)進行粗略掃描,找出易受攻擊的系統(tǒng)。從激增的成功攻擊事件即可獲知,攻擊者經(jīng)常在修補新漏洞的競賽中獲勝。我們很難忽視越來越常見的擾亂我們數(shù)字生活的親身經(jīng)歷,以及不斷涌現(xiàn)的關于網(wǎng)絡勒索的新聞報道。
為了幫助企業(yè)在這場戰(zhàn)斗中取得優(yōu)勢,Palo Alto Networks(派拓網(wǎng)絡)Cortex Xpanse 研究團隊研究了一些全球大型企業(yè)對外公開的互聯(lián)網(wǎng)攻擊面。從1月到3月,該團隊監(jiān)測了與50家全球企業(yè)相關的針對5000萬個IP地址進行的掃描,以了解攻擊者如何快速識別易受攻擊的系統(tǒng),從而進行快速入侵。
研究發(fā)現(xiàn),近三分之一的漏洞來自于廣泛使用的遠程桌面協(xié)議(RDP)問題,自2020年初以來,由于企業(yè)在新冠疫情期間加速向云端遷移以支持遠程辦公人員,RDP的使用量激增。這會帶來麻煩,因為RDP可以提供對服務器的直接管理訪問,使其成為勒索軟件攻擊的最常見通道之一。對于攻擊者來說,目標更容易實現(xiàn)。然而,依舊有理由保持樂觀:已發(fā)現(xiàn)的大多數(shù)漏洞都可以輕松修復。
以下是本次研究的主要發(fā)現(xiàn):
攻擊者一刻不停
攻擊者夜以繼日地在企業(yè)網(wǎng)絡上尋找暴露在開放互聯(lián)網(wǎng)上的易受攻擊的系統(tǒng)。在過去一年中,企業(yè)系統(tǒng)的暴露程度急劇擴大,以支持遠程辦公人員。在通常情況下,攻擊者每小時進行一次新掃描,而全球企業(yè)則需要花費數(shù)周時間。
攻擊者急于利用新漏洞
一旦有新的漏洞公布,攻擊者就會爭先恐后地加以利用。在今年1月至3月期間,通用漏洞庫(CVE)公告發(fā)布后15分鐘內(nèi)攻擊者就開始掃描互聯(lián)網(wǎng)。攻擊者對微軟Exchange服務器零日漏洞的反應速度更快,在微軟3月2日公布后5分鐘內(nèi)就開始掃描。
易受攻擊的系統(tǒng)廣泛存在
Cortex Xpanse發(fā)現(xiàn),全球企業(yè)每12小時就會發(fā)現(xiàn)新的嚴重漏洞,或者每天兩次。
RDP占所有安全問題的三分之一
遠程桌面協(xié)議(RDP)約占整體安全問題的三分之一(32%)。其他經(jīng)常暴露的漏洞包括錯誤配置的數(shù)據(jù)庫服務器,來自微軟和F5等供應商的高知名度零日漏洞,以及通過Telnet、簡單網(wǎng)絡管理協(xié)議(SNMP)、虛擬網(wǎng)絡計算(VNC)和其他協(xié)議的不安全遠程訪問。這些高風險漏洞如果被利用,許多都可以提供直接的管理訪問。在大多數(shù)情況下,這些漏洞可以輕松修復,但它們對攻擊者來說是唾手可得的目標。
云是最重要的安全問題
本次研究發(fā)現(xiàn),全球企業(yè)中最重要的安全問題有79%由云足跡引起。這說明云計算的速度和特性會為現(xiàn)代基礎設施帶來風險,特別是過去一年,隨著企業(yè)在新冠疫情期間將計算轉移到外部以實現(xiàn)遠程辦公的激增,云環(huán)境的增長速度逐漸加快。
結論與建議
在現(xiàn)實中,數(shù)字化轉型帶來了新的風險平衡,而使攻擊者受益。IT與大多數(shù)安全工具,即資產(chǎn)和漏洞管理,只側重于評估,而不是發(fā)現(xiàn)。換句話說,這些工具在管理已知資產(chǎn)的同時,對未知資產(chǎn)視而不見。更糟糕的是,常見的發(fā)現(xiàn)未知資產(chǎn)方法(如抗?jié)B透測試)每季度才進行一次。
這些計劃需要從基礎做起:
- 全球互聯(lián)網(wǎng)可視性:建立一個記錄系統(tǒng),以跟蹤您在公共互聯(lián)網(wǎng)上擁有的每一項資產(chǎn)、系統(tǒng)和服務,包括所有主要CSP以及動態(tài)租用(商業(yè)和住宅)的ISP空間,范圍涵蓋常用和通常會配置錯誤的端口/協(xié)議(不僅限于跟蹤HTTP和HTTPS網(wǎng)站的傳統(tǒng)觀點)。
- 深入歸因:使用完整的協(xié)議握手來檢測企業(yè)的系統(tǒng)和服務,以驗證在給定IP地址上運行的特定服務的詳細信息。通過將這些信息與大量公有和私有數(shù)據(jù)集融合,可以將完整且正確的面向互聯(lián)網(wǎng)系統(tǒng)和服務集與特定組織或部門進行匹配。
更多發(fā)現(xiàn)和建議,請訪問完整報告 https://www.paloaltonetworks.com/cortex/asm-report。
關于Cortex Xpanse
作為全球互聯(lián)網(wǎng)收集和歸因平臺,Cortex Xpanse 助力企業(yè)CISO不斷發(fā)現(xiàn)、評估和緩解其外部攻擊面。今天,Xpanse的客戶共占整個IPv4互聯(lián)網(wǎng)的12%,包括領先的財富500強企業(yè)以及美國政府機構和軍事分支機構。
關于Palo Alto Networks(派拓網(wǎng)絡)
作為全球網(wǎng)絡安全領導企業(yè),Palo Alto Networks(派拓網(wǎng)絡)正借助其先進技術重塑著以云為中心的未來社會,改變著人類和組織運作的方式。我們的使命是成為首選網(wǎng)絡安全伙伴,保護人們的數(shù)字生活方式。借助我們在人工智能、分析、自動化與編排方面的持續(xù)性創(chuàng)新和突破,助力廣大客戶應對全球最為嚴重的安全挑戰(zhàn)。通過交付集成化平臺和推動合作伙伴生態(tài)系統(tǒng)的不斷成長,我們始終站在安全前沿,在云、網(wǎng)絡以及移動設備方面為數(shù)以萬計的組織保駕護航。我們的愿景是構建一個日益安全的世界。更多內(nèi)容,敬請登錄Palo Alto Networks(派拓網(wǎng)絡)官網(wǎng)www.paloaltonetworks.com或中文網(wǎng)站www.paloaltonetworks.cn 。
