最近的一份网络安全咨询警告说,攻击者正在利用错误配置和薄弱的安全控制来获得对公司网络的初始访问权限。美国网络安全和基础设施安全局(CISA)以及加拿大、新西兰、荷兰和英国的网络安全当局详细介绍了攻击开始时最常被利用的控制措施和做法。“网络攻击者经常利用糟糕的安全配置(配置错误或不安全)、薄弱的控制和其他糟糕的网络实践来获得初始访问权限或作为其他策略的一部分来破坏受害者的系统,”该公告称。该公告总共列出了五种技术:利用面向公众的应用程序、外部远程服务、网络钓鱼、信任关系和有效帐户。信任关系是指一种危险的技术,攻击者通过这种技术危害第二方或第三方以获得对目标受害者的访问权限。滥用VPN和Microsoft的远程桌面协议等远程服务已成为攻击者日益青睐的目标。该公告称,配置错误的云服务是另一个受欢迎的目标。保护云可能比本地网络更复杂。该公告警告说,未受保护的云服务通常在初始访问技术被采用之前就被攻击者利用,可能造成可怕的后果。“配置不当可能导致敏感数据被盗,甚至是加密劫持,”该公告称。最难防御的技术之一是利用不良的端点检测和响应。该公告警告说,攻击者正在使用“混淆的恶意脚本和PowerShell攻击”来访问目标端点设备。TrendMicro发现AvosLocker勒索软件攻击者最近使用PowerShell脚本来禁用防病毒软件并逃避检测。AvosLocker团伙采用的相对较新的技术还可以扫描易受攻击的端点,这是通报中强调的另一种威胁。该公告称,暴露的开放端口和错误配置的服务是最常见的漏洞,它们可能导致攻击者直接进入易受攻击的组织。“对手使用扫描工具来检测开放端口,并经常将它们用作初始攻击向量,”公告称。Shadowserver基金会还在周二发布的一篇博文中进一步强调了这一风险。这家非营利信息安全组织最近开始扫描可访问的KubernetesAPI实例,发现在超过450,000个实例中,超过380,000个允许某种形式的访问。Shadowserver进一步细分,指出暴露的API占所有实例的近84%。“虽然这并不意味着这些实例是完全开放的或易受攻击的,但这种访问级别可能是无意的,并且这些实例不必要地暴露了攻击面,”该博客文章说。“他们还允许有关版本和构建的信息。信息泄漏。”许多弱点归因于糟糕的安全条件,并突出了企业安全方面的持续问题,例如未打补丁的软件,而联合公告还提供了详细的缓解步骤。例如,采用零信任模型,通过网络分段减少攻击面。许多缓解措施都侧重于验证和保护第三方设备,因为攻击者使用的最常见技术涉及暴露的应用程序和滥用凭据。该公告敦促企业在启用外部访问之前安装防火墙并将它们与其他安全帐户和主机(例如域控制器)隔离开。此外,联合咨询建议采取缓解措施来保护控制访问和强化登录凭据,例如部署多因素身份验证和限制管理员帐户的远程功能。其他重要实践包括漏洞扫描、更改第三方提供的默认登录凭据以及建立集中式日志管理。最后一点对于取证调查和记录攻击技术至关重要。
