抵御7種初始攻擊方式的完整指南

2022年11月15日

    數字化轉型和遠程工作迅速擴大了攻擊面。隨著應用程序、網站、帳戶、設備、云基礎設施、服務器和操作技術(OT)的集合不斷增加，攻擊面管理也變得更具挑戰性。不出所料，在趨勢科技(Trend Micro)的一項全球研究中，73%的IT和商業領袖表示，他們擔心數字攻擊面的規模。

    有效的攻擊面風險管理(ASRM)始于對初始攻擊方式的主動防御，而不是在惡意行為者入侵您的網絡后的被動防御。根據IBM的說法，花費較長的平均時間識別和遏制的攻擊方式是最昂貴的入侵類型之一。在本博客中，我回顧了7個關鍵的初始攻擊方式，以幫助首席安全官和安全領導者加強他們的攻擊面風險管理安全策略，降低網絡風險。

    7種初始攻擊方式

• 電子郵件
• Web和Web應用程序
• 漏洞
• 設備
• 越島戰術
• 內部威脅
• 云

1.電子郵件

    風險：電子郵件仍然是網絡罪犯最常見的初始攻擊方式，因為本質上它很容易。2021年，趨勢科技屏蔽的所有威脅中有74.1%(3360萬)是電子郵件威脅，比2020年增加了101%。這些攻擊的成本也在增長；根據Ponemon的《2021年網絡釣魚成本研究》，網絡釣魚攻擊每年給企業造成近1500萬美元的損失，即每位員工損失超過1500美元。

    企業可以做什么：通過選擇具有分層防御能力的供應商，不僅限于本地電子郵件安全：

1. 電子郵件網關利用人工智能、機器學習、行為分析和來源分析（authorship analysis）。
2. 云應用安全代理(CASB)通過掃描鏈接/附件和同事之間的電子郵件來分析收件箱中的郵件，以防止泄露的帳戶對其他員工進行網絡釣魚。
3. 如果惡意鏈接被點擊，安全Web網關(SWG)提供額外的保護，可以檢查流量、執行圖像分析，并使用機器學習分析品牌元素，登錄表單和其他網站內容，以識別虛假網站。
4. 使用內置的安全意識模擬和培訓教育用戶。理想情況下，供應商將提供基于從最近的、真實的網絡釣魚騙局中提取的模板進行網絡釣魚測試。

2. Web和Web應用程序

    風險：跨站腳本(XSS)攻擊利用網站或Web應用程序的編碼缺陷從用戶那里生成輸入。難怪XSS仍然是OWASP十大Web應用程序安全風險的主要威脅，Ivory Search中一個WordPress搜索插件，一個嚴重的XSS漏洞使60,000個網站被注入惡意代碼。隨著遠程工作和向云服務的轉移，導致網站和應用程序大量涌現，企業需要加強對這種初始攻擊方式的防御。

    企業可以做什么：CASB可以幫助降低使用SaaS應用程序的風險，而不影響用戶體驗。它對抗影子IT，保護云賬戶的安全，并解決第三方服務(如Ivory Search)的安全空白。此外，CASB補充了安全Web 網關解決方案的威脅阻斷能力，并得益于與擴展檢測和響應(XDR)分析能力的集成。這些曾經分散的解決方案的不同日志結合起來提供了客戶環境的更全面的視圖，允許創建更全面的風險概況。

3.漏洞

    風險：漏洞可能會導致系統停電或關閉，從而擾亂業務運營。以瑞典食品連鎖店為例；在惡意分子利用Kaseya VSA產品的多個零日漏洞發起勒索軟件攻擊后，Kaseya被迫關閉了800家門店。0日、N日、永久漏洞持續增加，趨勢科技研究公司報告稱，在2022年上半年，提交給我們“零日行動”漏洞賞金計劃的重要和高嚴重性漏洞數量增加了23%。

    企業可以做什么：以下5個基于風險的補丁管理最佳實踐可以幫助企業創建一個強大的防御程序，以對抗漏洞利用：

1. 使用優先補丁程序和檢查首席安全官已知的被利用漏洞目錄，確定哪些補丁是最相關的。

2. 通過持續監控網絡可疑活動和利用全球威脅情報的bug賞金計劃(如趨勢科技“零日計劃”)，制定一個隨時、而不是如果的零日計劃

3. 與供應商溝通回滾到軟件以前版本的可能性

4. 在等待供應商發布補丁的同時，利用虛擬補丁來保護有漏洞的系統

5. 與利益相關者分享利益，以鼓勵組織內的安全文化，并向董事會展示網絡安全的投資回報率。

4.設備

    風險：向遠程工作的轉變暴露了VPN的危險——一種初始攻擊方式，允許訪問整個網絡。雖然遠程工作者只能訪問合法的工作應用程序，但家中的其他設備可能通過連接到VPN的不安全機器傳播惡意軟件。考慮到82%的數據泄露與人為因素有關，能夠訪問一個組織的整個網絡的設備越多，網絡風險就越高。

    企業可以做什么：63%的組織正在從VPN轉移到零信任網絡訪問(ZTNA)，以減少跨攻擊面的網絡風險，這是更廣泛的零信任戰略的一部分。ZTNA持續驗證用戶和設備的信任，并且只授予訪問Web門戶前端的權限，這阻止了被入侵的設備跨越攻擊面進行攻擊。此外，ZTNA提供了支持不斷發展的業務運營所需的可伸縮性。特定的應用程序到用戶連接不需要使用VPN的帶寬，支持高性能可用性和一致的交付，而不會對用戶體驗產生負面影響。

5.越島戰術（Island hopping）

（譯注：跳島戰術（英語：Island hopping），或稱跳島戰略、蛙跳戰術（英語：Leapfrogging），是太平洋戰爭后期以美軍為主的同盟國軍隊為加速進逼日本本土、結束戰爭并減少損失，而策略性跳過亞太地區某些日軍占領島嶼的戰術。引自知乎oushiyuyang，這樣做的好處是具體就是向敵人防守堅固的主要據點的外圍作跳躍式進攻，不正面攻擊這些據點，而是迂回到敵人背后，將他們分割包圍，用空軍和海軍切斷敵人的補給來源，將他們困死。不等據點里的敵人被殲滅，其余部隊又越過該地，再包圍前面的敵軍據點。在網絡安全中，越島戰術指利用供應鏈、橫向移動等間接攻擊方式。）

    風險：越島戰術用于從外部環境轉向您的網絡。由于Kaseya、Log4j和SolarWinds的成功，軟件供應鏈攻擊正在增加。可以把它想象成一個俄羅斯套娃，在這個初始攻擊方式中還有許多其他因素：數據分發服務(DDS)、開源代碼、系統管理工具和購買的應用程序。趨勢科技的一項全球調查報告稱，52%的組織的供應鏈合作伙伴受到了勒索軟件的攻擊，這意味著他們的系統也面臨著風險。

    企業可以做什么：CISA發布了ICT 軟件供應鏈風險管理要素（SCRM Essentials），推薦了打造有效軟件供應鏈安全的六個關鍵步驟：

1. 確定：確定誰需要參與
2. 管理：根據行業標準和最佳實踐(如NIST)開發您的供應鏈安全政策和流程
3. 評估：了解您采購的硬件、軟件和服務
4. 了解：繪制您的供應鏈，以更好地了解您采購的組件
5. 驗證：確定您的組織將如何評估供應商的安全文化
6. 評測：根據指導方針建立檢查供應鏈實踐的時間框架和系統

6.內部人員

    風險：一份2022年的Ponemon全球報告發現，遏制內部威脅的時間從77天增加到85天，導致組織在遏制上花費最多。此外，花了90多天才控制住的事件的年化費用超過1719萬美元。不管內部人員是偶然的、疏忽的還是惡意的，付出的代價仍然很高。

    企業可以做什么：通過安全意識培訓改善網絡健康，可以幫助企業避免意外或疏忽的內部人員。要解決其他類型的內部人員，必須持續監視入口和出口流量。如果這種初始攻擊方式被利用，那么制定事件響應計劃將有助于快速遏制威脅，限制其傳播和財務影響。

7.云

    風險：數字化轉型加速了云計算的采用，這帶來了新的網絡安全風險。《趨勢科技2022年中網絡安全報告》指出了給企業帶來財務、運營和聲譽風險的三個日益增長的趨勢：加密貨幣挖礦、云通道攻擊和云軟件錯誤配置。根據IBM的數據，后者的成本平均為414萬美元。

    企業可以做什么：利用支持多云和混合云環境的云原生安全平臺是至關重要。尋找一個能夠將盡可能多的事情自動化的平臺，從掃描基礎設施即代碼(IaC)、開源代碼、容器和云工作負載，到設置明確的安全策略和執行合規檢查。

保護攻擊方式的統一網絡安全方法

    最后，您可能會被所需的新安全產品的數量壓垮。實際上，在每一層部署和維護不同的安全工具是完全無法管理的，特別是在技能差距和人員流動的情況下。考慮一個統一的網絡安全平臺，以減少復雜性和增加現有資源，同時確保安全的成熟度。

    跨多個環境使用支持廣泛第三方集成的統一平臺可以確保從單個儀表板獲得全面的可見性。自動化、持續監視和XDR等安全功能對ASRM非常重要。可見性和深度數據關聯使安全團隊能夠發現、評估和減輕整個攻擊面風險生命周期中的威脅。

(完)