日前,XMCyber??研究团队分析了本地、多云和混合环境中的200万个端点、文件、文件夹和云资源,形成了《2022年攻击路径管理影响报告》(攻击路径管理影响报告2022,以下简称“报告”))),揭示了当前企业网络和云环境下危及企业关键资产的攻击技术、攻击路径和影响。通过研究,该报告建议组织查看整个环境以了解攻击者如何进行攻击。重点不应该仅仅集中在安全漏洞上,还有很多其他问题需要解决。据调查数据显示,新一代攻击者从最初的攻击点开始,仅需4"跳(hops,即攻击者从入侵点到破坏点所走的步数)就可以破坏94%的关键资产关键资产)”。孤立的安全工具只专注于一些特定的安全工作,但多种攻击技术的结合是组织面临的最大风险。安全团队需要密切关注其环境中的混合云攻击、错误配置和身份问题。报告称,在更广泛使用的云环境中,有很多看似很小的合规问题需要注意,但当它们累积起来,就会发现这是一个很大的风险,甚至会产生意想不到的后果.当企业将所有这些放在一起时,本地和云以及它们之间的关系是我们需要解决的关键领域。许多组织仍然不清楚其安全状况,也不清楚可能危及其本地和云端业务的所有风险。更好地了解攻击的变化以及这些变化如何影响风险。对攻击路径建模以预测风险是一种有价值的方法。报告的主要发现:攻击者只需最多4个“跃点”即可完成94%的所有网络攻击;一个组织75%的关键资产在其当前的安全状态下可能已经受到损害;73%的主流攻击技术涉及管理不善或被盗凭证,27%的主流技术涉及漏洞或配置错误;95%的企业用户拥有长期访问密钥,这可能危及关键资产的安全;面对新的RCE(远程代码执行)技术,78%的企业可能会受到威胁;75%的企业拥有面向外部的EC2(AWS提供的一种计算服务,以EC2实例的形式存在,EC2实例可以认为是一个虚拟机)设备,这对资产至关重要。构成风险;知道在哪里中断攻击路径可以将需要修复的问题数量减少80%。Top12AttackTechniques报告显示,73%的主流攻击技术涉及管理不善或凭证被盗;而27%的主流技术涉及漏洞或配置错误。1.域凭据(使用泄露凭据、传递哈希攻击等),占23.7%;2、“中毒”共享内容(文件共享问题、权限),占比14.2%;3、组策略修改(DomainControllerCompromise、GroupPolicyAbuse),占比10.1%;4.本地证书,占9.5%;5、PrintNightmare漏洞,占比8.1%;6.凭证中继攻击,占比7.2%;7、ExeShareHooking(可执行文件权限),占比6%;8、微软SQL凭证,占比5.6%;9、WPAD欺骗(中间人攻击技术),占比4.7%;10.Reachability(网络分段问题),占比4.2%;11、凭证倾销,占比3.9%;12、Azure在虚拟机上运行命令,占比2.8%。安全建议:强大的补丁管理将减少攻击媒介并防止漏洞被利用。此外,利用操作系统自身的安全特性,如用户身份验证,也可以防止大量滥用不同凭证问题的攻击向量。需要注意的是,我们也应该破除修补漏洞就能解决所有问题、防止横向移动的错误观念。研究表明,近30%的攻击技术滥用错误配置和凭据来闯入和破坏组织。现在常见的新型攻击技术XMNetworkResearch团队将2021年所有针对企业的新型攻击技术分为三组:云技术、远程代码执行(REC)技术、云和REC结合的技术(REC+cloud),以了解攻击面的范围和高级持续性威胁(APT,结合多种技术来破坏目标)的使用。结果表明:87%的新云技术在测试环境中被发现;70%的新REC技术在测试环境中被发现;82%的REC+cloud新技术在测试环境中被发现。这些技术对企业的影响如下:32%的企业可能会受到新的云技术的威胁??;78%的企业可能会受到RCE新技术的影响;90%的企业可能会受到新的RCE+云技术的影响。安全建议:这些是企业需要注意并积极努力消除其环境中的技术。当一种新的RCE技术出现时,近80%的企业可能会受到威胁,而当它在攻击路径上与云技术结合时,90%的企业可能会受到威胁。很明显,如果存在如此多的容易被利用的漏洞,企业的补丁管理是低效的。跨本地和云的攻击路径在混合网络架构中,攻击路径可能变得非常复杂。该研究揭示了本地和云环境中存在的安全漏洞和攻击技术,以及在所有环境中保持对关键资产的全面可见性的重要性。在迁移到混合云环境时,组织可能没有明确定义的策略。作为回应,组织可以允许各个部门采用自己的迁移策略。有时,缺乏统一的迁移策略可能是由于更广泛的业务事件,例如收购一家云提供商的企业,或与另一家使用不同云提供商的企业的合并。这种计划外的大规模云环境的复杂性和攻击面的数量会影响整个企业IT资源的安全,包括:资产、网络、平台和应用程序安全。XMNetworks研究团队还深入研究了针对混合云、AWS和Azure环境的攻击技术:在混合云中,41%的混合云组织(不止一个云提供商)在其环境中使用“本地到云””(On-premtoCloud)技术;38%的Azure组织在其环境中使用“CloudtoOn-prem”(云到本地)技术;95%的用户拥有长期访问密钥,这可能会增加密钥风险安全咨询:研究表明,组织在云和本地网络之间存在脱节——在许多情况下,企业有一个管理X的DevOps团队和一个管理Y的团队,但缺乏两者之间连接的上下文他们——这些攻击揭示了他们之间隐藏的联系。只有看到跨混合网络的攻击路径,团队才能协作并有效缩小差距。原始链接:https://info.xmcyber.com/hubfs/Attack%20Path%20Management%20Impact%20Report%202022%20_XM%20Cyber??.pdf
