在2020年的最后几周,Solarwind及其Orion平台软件的漏洞引起了我们的集体关注。虽然可以说它过去是并将继续被认为是一年中最重要的事件,但它不是大多数组织应该担心的攻击媒介。正如Tenable的研究工程师SatnamNarang所说,虽然网络安全软件中的后门可能会成为头条新闻,但攻击者的策略更容易预测。威胁者是习惯的产物。他们喜欢做他们认为可行的事情,利用未修补的漏洞为他们提供了丰富的经验。当您检查数据时,令人不安的是威胁参与者在他们的攻击中依赖未修补的漏洞。这些“坏窗口”主要用于获得对目标网络的初始访问权限。从那里,攻击者可以利用Zerologon等关键漏洞来提升权限,使自己能够访问网络中的域控制器。攻击警告去年,政府机构发布了几项关于利用漏洞进行攻击的警告,这些漏洞的补丁可用但仍未得到缓解。但是,并非所有漏洞都是生而平等的。事实上,根据Tenable2020年对备受瞩目的漏洞的研究,并非所有关键漏洞都有名称和/或标识。相反,并非每个分配了名称和徽标的漏洞都被认为是严重的。相反,在权衡漏洞的严重性时还需要考虑其他因素,包括概念验证(PoC)利用代码的存在和攻击的难易程度。鉴于COVID-19大流行带来的巨大变化,这种不确定性是网络犯罪分子的额外好处。随着世界各国政府授权公民限制行动,企业正以前所未有的方式转向远程工作,学校转向远程学习。这带来了一系列全新的安全挑战,从依赖VPN和远程桌面协议(RDP)等工具,到引入新的视频会议应用程序。VPN解决方案中预先存在的漏洞,许多最初是在2019年或更早时披露的,已被证明是2020年网络犯罪分子和民族国家组织最喜欢的目标。虽然攻击者喜欢已知漏洞,但2020年出现了一些零日漏洞。Web浏览器,尤其是GoogleChrome、MozillaFirefox、InternetExplorer和MicrosoftEdge是主要目标,占所有零日漏洞的35%以上。考虑到浏览器是互联网的门户,为这些资产打补丁对于企业网络的安全至关重要。这告诉我们,随着攻击面的扩大,漏洞管理在现代网络安全战略中发挥着核心作用。未修补的漏洞会暴露敏感数据和关键业务系统,并为勒索软件参与者提供有利可图的机会。需要使用基于风险的方法进行补救,并在部署到实时环境之前清楚地了解打补丁对业务运营的影响。对于任何规模的组织来说,这都不是一项小任务,对于那些拥有大型和多样化环境的组织来说尤其困难。现代漏洞管理可分为以下关键阶段:识别并删除不必要的服务和软件限制对第三方库的依赖实施安全的软件开发生命周期在整个攻击面(包括IT、OT和IoT)实施精确的资产检测,无论它们驻留在云端还是本地。查找和修复在寻找和修复漏洞时,有五个漏洞是2020年的主要目标。其中包括Citrix、PulseSecure和Fortinet的虚拟专用网络解决方案中自2019年以来的三个遗留漏洞:(1)CVE-2020-1472–零登录(2)CVE-2019-19781–CitrixADC/网关/SDWAN-OPCVE-2019-11510–PulseConnect安全SSL虚拟专用网络CVE-2018-13379–FortinetFortigateSSL虚拟专用网络(3)CVE-2020-5902–基于F5BigIP浏览器的漏洞易于修复优先考虑,因为它们易于修补,但不一定构成最大的风险。防火墙、域控制器和VPN等设备如果受到损害可能会产生更大的影响,并且在测试和应用补丁或缓解措施时需要更加小心。修补电子邮件服务器也应该是防止利用和保护机密信息的优先事项。与此同时,对员工进行电子邮件最佳实践教育和提高网络钓鱼等领域的安全意识也应该是一个优先事项。基础设施中的每个设备、每个资产都需要被视为潜在的“流氓”。必须采取措施最大限度地减少特权和他们可以访问的攻击面。虽然很少有组织拥有必要的资金来防止像太阳风这样复杂的破坏,但幸运的是,很少有组织需要这样做。如上所述,良好的网络卫生习惯有助于阻止网络犯罪分子实施的大多数攻击。
