大多數攻擊路徑都是死胡同 但2%通向重要資產

2022年，安全態勢管理公司XM Cyber進行了數萬次攻擊路徑評估，涉及影響2000萬實體的6000多萬個暴露。該公司將數據集匿名化處理后交給Cyentia Institute分析，并在其《2023年暴露管理情況》報告中呈現了分析結果。

分析的主要發現是：暴露規模在每月1.1萬至25萬之間；大部分（75%）暴露是攻擊者無法利用的死胡同；僅2%位于阻塞點上。阻塞點就是多條攻擊路徑在通往重要資產的路線上交匯的地方。

因為找出并修復所有暴露是不現實的，所以我們應該重在保護阻塞點。XM Cyber研究副總裁Zur Ulianitzky稱：“如果公司尋求快速降低重大風險，這些阻塞點就是應該關注的焦點。只要重視修復阻塞點，公司就能有效清除通往重要資產的所有攻擊路徑。”

但這并不意味著就能忽略處在死胡同路徑上的攻擊者。Vulcan Cyber高級技術工程師Mike Parkin警告稱：“即使不能直接訪問，環境中的攻擊者依然能造成相當大的破壞。只要能在低價值目標上駐留，出現更好機會的時候，他們就能趁機長驅直入。”

報告還呈現了調研結果的更多細節。例如，“針對憑證和權限的技術影響82%的企業，利用了超過70%的已識別安全暴露”。這是個持續多年的老問題了。報告繼續道：“此外，認為實現零信任架構就足以防護利用信任的所有技術，這也是個常見的誤解。不過，這些結果清楚表明，攻擊者會利用受信管理服務和身份。”

Parkin認為，供應商有責任發售默認安全配置的產品。“對用戶而言，即使加強使用多因素身份驗證（MFA），也只有部署正確了才能有所幫助。”他說道，“用戶依然是風險管理中最大的挑戰。”

Keeper security安全與架構副總裁Patrick Tiquet補充道：“我們的研究表明，至少三分之一的企業是由員工負責創建和管理自己的密碼。事實上，我們的《2022年美國網絡安全普查》發現，30%的受訪企業甚至不提供治理密碼和訪問管理的指南和最佳實踐。”

XM Cyber的分析師還發現，“只需要三步，攻擊者就可以訪問本地網絡中70%的重要資產。云端的情況甚至更糟：90%的重要資產距離攻擊者的初始立足點僅一步之遙。”

此外，“71%的公司所呈現的暴露可供攻擊者從其本地環境跳轉到云環境。一旦侵入云端，92%的重要資產也就是再跳一步的距離了。”很明顯，必須拒攻擊者于云基礎設施之外，但如果缺乏對本地基礎設施的防護，這一點是無法實現的。

“在管理自身多種多樣的本地環境和云環境方面，企業面臨嚴重挑戰。這種困難部分源自未能考慮全局而只孤立關注了各個部分。”報告補充道。

如果企業不能總覽自身環境的各個部分，就很容易漏掉一些共同點和明顯的攻擊路徑。在管理云身份方面，企業最大的錯誤在于試圖用本地運營時期的老辦法來管理。”Tiquet表示。 

但是，Tiquet不認同報告輕視零信任重要性的做法。他認為：“實現云環境身份管理的唯一現實途徑是采用零信任安全模型。”

但總的說來，統計數據不會說謊。“說實話，企業無法切實修復環境中的所有暴露。即使用上現有的優先級排序工具，暴露列表仍然太長了。”XM Cyber研究副總裁Ulianitzky表示，“很遺憾，業內很容易將一切都高估為重要級別，對幫助企業確定風險是否可以忽略、延遲或降級幾乎毫無作用。”

他建議所有企業都專注修復位于阻塞點上的暴露，從而提高修復效率。此類暴露可為攻擊者提供對企業造成重大傷害的快速通道。

“識別并忽略死胡同可以降低工作量，讓企業能夠騰出資源，專注阻塞點修復。要確保從表明很大一部分重要資產面臨風險的阻塞點入手，然后再顧及其他。”

XM Cyber位于以色列特拉維夫，由Boaz Gorodissky、Noam Erez和Tamir Pardo于2016年創立。2021年11月被德國施瓦茨集團以7億美元收購之前，這家公司總共籌集到了4900萬美元資金。該公司運營的攻擊模擬平臺可演示攻擊者如何利用漏洞染指云環境和本地環境中的重要資產。