補丁、口令和配置:網絡安全永遠的痛
薄弱的憑證策略和松懈的補本更新方法是2022年組織最常見的IT安全故障點之一,而未能正確配置工具可能會使組織容易受到攻擊。這是根據主推自動滲透測試的網絡安全公司Horizon3.ai最近的一項研究得出的結論,該研究基于對大約100萬項資產進行評估的大約7,000次滲透測試的結果。
通常客戶關心的問題不外乎:我的環境是什么樣的?我的安全工具有效嗎?我們是否能夠檢測到攻擊?我們日志系統能記錄需要的東西?我的敏感數據,或者我的皇冠上的珠寶和通往王國的鑰匙,安全嗎?Horizon3.ai認為,獲得上這問題真實、準確和有效答案的唯一方法是從攻擊者的角度出發,并像邪惡的網絡威脅參與者一樣定期攻擊我們各自的環境。這有助于我們和我們的客戶找到可利用的事項,修復重要的內容,并最終驗證這些修復操作。
2022年可被利用的十大漏洞和弱點
在2022年 Horizon3.ai檢測到的十大漏洞中,弱憑證或重復使用憑證位居榜首,其次是協議(SSH和FTP)中的弱憑證檢查或默認憑證檢查,以及使用來自Windows或Linux主機的憑證轉儲。
CISA列出的15個經常利用的漏洞列表中的關鍵漏洞利用以及關鍵VMware漏洞的利用排在前五名。
Horizon3.ai的網絡威脅情報分析師Corey Sinclair解釋說,專業人士面臨著平衡安全性、功能性和可用性這三個因素的挑戰。最終用戶的要求、可用性和功能性通常與最佳安全實踐不一致或矛盾。
“為了減輕我們自己的負擔,我們作為個人往往會回避困難,轉向容易和方便的事情,”他說。“這意味著憑證要求更少或更容易。”
因此,當個人知道他們應該為所有事物設置唯一口令時,他們往往會重復使用憑據,而組織則未能強制執行更嚴格的憑據要求或投資于全公司范圍的口令解決方案。
Sinclair補充說,有時,公司根本不知道在新技術上線時回過頭來檢查默認憑據是否已更改。
安全團隊應該注意:埃森哲的網絡威脅情報團隊(ACTI)最近調查了全球的信息竊取惡意軟件情況,該團隊表示,利用竊取的憑據和社會工程來突破網絡的成功組合正在增加對暗網上信息竊取者的需求。
該報告還警告說,惡意行為者正在結合竊取的憑據和社會工程學來實施引人注目的入侵和攻擊活動,并利用多因素身份驗證(MFA)疲勞攻擊。
補丁和錯誤配置是一個痛點
調查還發現,已知的關鍵漏洞經常被利用,而流行的DevOps工具和資源(包括Docker和Kubernetes)充斥著錯誤配置和漏洞。
“補丁和錯誤配置基本上歸結為規模和優先級,”辛克萊說。“根據公司IT部門的規模和基礎設施,它將決定公司找到需要修補或配置的內容的速度和效率。”
此外,并非所有組織都知道要修復什么,以及如何確定需要首先補丁修復的優先級。
“隨著每天發布大量CVE和漏洞,大多數公司發現很難在威脅行為者利用它們之前跟上,更不用說修復重要的東西了,”他補充道。
從他的角度來看,公司必須采取不同的安全方法,通過攻擊者的眼睛來查看他們的環境。
“他們需要查看他們的環境,并根據實際可訪問、易受攻擊和可利用的內容來確定[修復]的優先級,”他說。“這種心態轉變使公司能夠比對手領先一步,同時確保他們對環境的安全態勢有持續的了解。”
沒有時間或人才來修補或檢查錯誤配置的組織可能會發現修補即服務(PaaS)是一種提高安全性的方法,但成功的計劃將需要準確而強大的資產管理工具,以便供應商了解系統中的內容客戶的環境,他補充道。
2023年怎么辦?
Horizon3.ai的大小客戶都在他們的環境中發現了可利用的關鍵漏洞、錯誤配置和弱點。僅僅使用安全堆棧并認為這些工具可以防止下一次網絡攻擊是不夠的。公司和組織應確保其網絡安全工具設置正確,以便其安全團隊能夠檢測、警報、阻止和記錄威脅。
辛克萊指出,雖然現在判斷2023年網絡安全防御戰線會發生什么“還為時過早”,但他相信將會有越來越多的公司采用新的多因素技術來幫助打擊憑證重用和弱憑證。
“通過采用這些技術,它將促使網絡威脅行為者尋找其他漏洞和弱點來加以利用,”他說。“由于網絡安全世界總是在變化和發展,因此比惡意網絡威脅行為者領先一步至關重要。”
