2022年網絡安全十大攻擊媒介 - 網安 - 專業的網絡安全產業、社區、知識平臺

近日，美國、加拿大、新西蘭、荷蘭和英國等多個國家網絡安全政府機構發布聯合安全公告，揭示了網絡攻擊者最常利用的十大攻擊媒介。公告還提供了緩解這些經常被利用的弱安全控制、糟糕的安全配置和不良做法的指南。

NSA網絡空間安全總監Rob Joyce在推文中點評道：“先別管那些時髦的零日漏洞，趕緊把弱安全控制、錯誤配置這些門戶大開的狗洞補上。”

“網絡攻擊者經常利用糟糕的安全配置（配置錯誤或不安全）、控制薄弱和糟糕的網絡衛生實踐來獲得初始訪問權限，或作為其他攻擊策略的一部分來破壞受害者的系統。”公告指出。

攻擊者慣常使用一些技術來獲得對受害者網絡的初始訪問權限，包括利用暴露在互聯網上的應用程序、公開訪問的遠程服務、網絡釣魚、濫用組織對其合作伙伴的信任以及使用被盜憑據等。

攻擊者最慣常使用的十大獲取初始訪問權限的攻擊媒介如下：

1. 不強制執行多因素身份驗證(MFA)。MFA，尤其是遠程桌面訪問，可以幫助防止帳戶接管。

2. 在訪問控制列表中錯誤地應用了特權或權限和錯誤。這些錯誤可能會阻止執行訪問控制規則，并可能允許未經授權的用戶或系統進程被授予對對象的訪問權限。

3. 軟件未及時更新。未打補丁的軟件可能允許攻擊者利用眾所周知的漏洞來訪問敏感信息、發起拒絕服務攻擊或控制系統。

4. 使用供應商提供的默認配置或默認登錄用戶名和密碼。許多軟件和硬件產品“開箱即用”，出廠默認配置過于寬松，旨在使產品易于使用并減少客戶服務的故障排除時間。

5. 遠程服務，例如虛擬專用網絡(VPN)，缺乏足夠的控制來防止未經授權的訪問。近年來，已經觀察到針對遠程服務的惡意威脅行為者。

6. 未實施強密碼策略。惡意網絡攻擊者可以使用多種方法來利用弱密碼、泄露密碼或受損密碼，并未經授權訪問受害系統。

7. 云服務配置錯誤。配置錯誤的云服務是網絡攻擊者的常見目標。糟糕的配置可能會導致敏感數據被盜，甚至是加密劫持。

8. 開放的端口和錯誤配置的服務暴露在互聯網上。這是最常見的漏洞之一。網絡攻擊者使用掃描工具來檢測開放端口，并經常將其用作初始攻擊媒介。

9. 未能檢測或阻止網絡釣魚電子郵件攻擊。網絡攻擊者發送帶有惡意宏的電子郵件（主要是在Microsoft Word文檔或Excel文件中）以感染計算機系統。

10. 端點檢測和響應不佳。網絡攻擊者使用模糊的惡意腳本和PowerShell攻擊繞過端點安全控制并對目標設備發起攻擊。

降低攻擊風險的最佳實踐

該聯合公告還包含一份最佳實踐候選清單，以幫助保護網絡免受針對上述弱安全控制、不良配置和不良安全實踐的攻擊。

它包括使用控制訪問、強化憑據（包括MFA和更改默認密碼）、集中式日志管理以及防病毒和檢測工具（包括入侵檢測和預防系統）。具體內容如下：

控制訪問

采用零信任安全模型，消除對任何一個元素、節點或服務的隱含信任，通過來自多個來源的實時信息對操作場景進行持續驗證，以確定訪問授權和其他系統響應。零信任架構支持精細的權限訪問管理，并且可以只為用戶分配執行分配任務所需的（最小）權限。
限制本地管理員帳戶從遠程會話登錄的能力（例如，拒絕從網絡訪問此計算機）并阻止通過RDP會話進行訪問。此外，為特權用戶會話使用專用的管理工作站，以限制與設備或用戶遭入侵相關的所有威脅。
控制誰有權訪問您的數據和服務。僅授予人員訪問他們執行工作所需的數據和系統權限。這種基于角色的訪問控制，也稱為最小權限原則，應該適用于帳戶和物理訪問。如果惡意網絡參與者獲得訪問權限，訪問控制可以限制惡意參與者可以采取的行動，并可以減少錯誤配置和用戶錯誤的影響。網絡防御者還應該使用這種基于角色的訪問控制來限制對服務、機器和功能帳戶的訪問，以及對管理權限的使用，這是必要的。實施訪問控制模型時請考慮以下事項：
確保對數據和服務的訪問是專門為每個用戶量身定制的，每個員工都有自己的用戶帳戶。
只允許員工訪問執行任務所需的資源。
安裝或調試時更改設備和系統的默認密碼。
確保員工的進出和內部流動有適當的流程。刪除未使用的帳戶，并立即從不再需要訪問權限的離職員工的帳戶中刪除對數據和系統的訪問權限。停用服務帳戶，并僅在執行維護時激活它們。
強化條件訪問策略。查看和優化VPN和訪問控制規則，以管理用戶連接到網絡和云服務的方式。
確認所有設備（包括基于云的虛擬機實例）都沒有打開的RDP端口。將任何具有開放RDP端口的系統置于防火墻后，并要求用戶使用VPN才能通過防火墻訪問它。

實施憑據強化

實施MFA。特別強調對所有VPN連接、面向外部的服務和特權帳戶應用MFA。需要為關鍵服務提供抗網絡釣魚MFA（例如安全密鑰或PIV卡）。在未實施MFA的情況下，實施強密碼策略以及其他基于屬性的信息，例如設備信息、訪問時間、用戶歷史記錄和地理位置數據。請參閱NSA關于選擇安全多因素身份驗證解決方案的網絡安全信息、美國國家標準與技術研究院(NIST)特別出版物800-63B–數字身份指南：身份驗證和生命周期管理，以及CCCS的信息技術安全指南–信息的用戶身份驗證指南技術系統了解啟用深度身份驗證安全性的其他步驟。
更改或禁用供應商提供的默認用戶名和密碼。強制使用強密碼。（請參閱NIST的指南。）
設置監控以檢測系統上被盜憑據的使用情況。實施控制以防止在您的網絡上使用受損或弱密碼。

建立集中的日志管理

確保每個應用程序和系統都生成足夠的日志信息。日志文件在檢測攻擊和處理事件方面發揮著關鍵作用。通過實施強大的日志收集和保留，組織能夠擁有足夠的信息來調查事件并檢測威脅行為者的行為。實施日志收集和保留時請考慮以下事項：
確定需要哪些日志文件。這些文件可能與系統日志記錄、網絡日志記錄、應用程序日志記錄和云日志記錄有關。
在必要時設置警報。這些應包括基于日志文件分析的可疑登錄嘗試通知。
確保您的系統以可用的文件格式存儲日志文件，時間戳記錄準確并設置為正確的時區。
將本地系統的日志轉發到集中存儲庫或安全信息和事件管理(SIEM)工具。使用強大的帳戶和架構保護措施來保護SIEM工具。
決定日志文件的保留期限。如果您長時間保留日志文件，您可以在事件發生很久之后參考它們來確定事實。另一方面，日志文件可能包含隱私敏感信息并占用存儲空間。限制對日志文件的訪問并將它們存儲在單獨的網段中。如果攻擊者能夠修改或刪除日志文件，則幾乎不可能進行事件調查。

使用防病毒程序

作為操作系統安全基線的一部分，在工作站上部署反惡意軟件解決方案以防止間諜軟件、廣告軟件和惡意軟件。
定期監控防病毒掃描結果。

使用檢測工具并搜索漏洞

實施端點和檢測響應工具。這些工具可以高度了解端點的安全狀態，并有助于有效防范惡意網絡攻擊者。
采用入侵檢測系統或入侵防御系統來保護網絡和本地設備免受惡意活動。使用簽名來幫助檢測與已知威脅活動相關的惡意網絡活動。
進行滲透測試以識別錯誤配置。有關CISA的免費網絡衛生服務（包括遠程滲透測試）的更多信息，請參閱下文。
進行漏洞掃描以檢測和解決應用程序漏洞。
使用云服務提供商工具檢測過度共享的云存儲并監控異常訪問。

維護嚴格的配置管理程序

對聯網主機上的公開可訪問服務始終啟用安全配置。在沒有補償控制（例如邊界防火墻和網絡分段）的情況下，切勿啟用外部訪問。持續評估面向互聯網的服務和任務需求。遵循安全配置的最佳實踐，尤其是阻止來自互聯網的文檔中的宏。

啟動軟件和補丁管理程序

實施資產和補丁管理流程以使軟件保持最新。通過執行漏洞掃描和修補活動來識別和緩解不受支持的、生命周期結束的和未修補的軟件和固件。優先修補已知被利用的漏洞。

其他值得關注的安全公告還包括上個月五眼網絡安全機構與NSA和FBI合作發布的2021年攻擊者經常利用的前15個漏洞列表（2021年最流行的15個安全漏洞）。

以及，去年11月MITRE發布了2021年困擾硬件的最危險的編程、設計和架構安全漏洞（MITRE首次發布最危險硬件漏洞列表），以及2019年和2020年困擾軟件的25個最常見和最危險的漏洞。

報告鏈接：

https://www.cisa.gov/uscert/sites/default/files/publications/AA22-137A-Weak_Security_Controls_and_Practices_Routinely_Exploited_for_Initial_Access.pdf