该报告警告称,黑客将在CVE公告披露后的15分钟内尝试扫描并利用该漏洞,并在最短15分钟内开始扫描易受攻击的端点。这意味着系统管理员修复公开的安全漏洞的时间比以前估计的要少得多。利用初始访问猜测PaloAltoNetworks在一篇专门的博客文章中指出,系统管理员将不得不打起精神,因为威胁参与者在修补之前竞相利用漏洞。更糟糕的是,由于漏洞扫描技术不高,技能较低的攻击者可以轻松地在Internet上筛选易受攻击的端点,并在暗网市场上出售有价值的发现以获取利润。以CVE-2022-1388为例,42单元指出这是一个未认证远程命令执行漏洞,严重影响F5BIG-IP产品。该漏洞于2022年5月4日披露,但在CVE公布后的十小时内,他们记录了2552次端点扫描和利用尝试。其次,报告指出,“ProxyShell”是2022年上半年受影响最大的漏洞利用链(具体为CVE-2021-34473、CVE-2021-34523、CVE-2021-31207),占55%利用事件的总数。Log4Shell紧随其后,占14%,各种SonicWallCVE占7%,ProxyLogon占5%,ZohoManageEngineADSelfServicePlus中的远程代码执行(RCE)漏洞占3%。排名靠前的漏洞利用统计数据表明,半旧(而不是最新)的漏洞是最有可能被攻击者利用的漏洞。发生这种情况的原因有很多,包括但不限于攻击面的大小、漏洞利用的复杂性以及它可能产生的实际影响。考虑到这一点,PaloAltoNetworks建议管理员尽快部署安全更新,以更好地避免系统成为早期零日/CVE公告攻击的受害者。此外,42单元报告指出,利用软件漏洞进行网络初期破坏的方式仅占1/3左右。在37%的情况下,钓鱼仍然是许多攻击者的首选。同样在15%的案例中,黑客使用泄露的凭据或暴力攻击来闯入网络。针对特权员工或贿赂流氓内部人员的社会工程技术也占所有违规响应事件的10%左右。鉴于系统/网络/安全管理专业人员已经承受着相当大的压力,报告建议组织尽量让设备远离互联网。除了限制通过虚拟专用网络(或其他安全网关)访问服务器以降低风险外,还必须尽可能地阻止不必要的公共端口和服务。最后就是养成勤勤恳恳部署安全更新的习惯。虽然关键更新的快速部署会造成一定时间的业务中断,但这比全面网络攻击后面临无法挽回的局面要好得多。
