在2020年的最后几周,太阳风及其猎户座平台软件的破坏引起了我们的集体关注。尽管可以说,它过去被认为是,并将继续被认为是今年最重要的事件,但它并不是大多数组织应该担心的攻击路径。
正如Tenable研究工程师Satnam Narang据说,虽然 *** 安全软件中的后门可能占据头条新闻,但攻击者的战术更具可预测性。威胁者是习惯的产物。他们喜欢做他们认为可行的事情,并利用未修复的漏洞为他们提供丰富的背景。
当你检查数据时,威胁参与者在攻击中依赖未修复的漏洞是令人不安的。“坏窗口”主要用于获得对目标 *** 的初始访问。从那里,攻击者可以使用它,比如Zerologon这样的严重漏洞可以提高权限,从而访问 *** 中的域控制器。
攻击警告
去年, *** 机构发布了一些警告,警告攻击者使用漏洞进行攻击,这些漏洞有可用的补丁,但仍没有得到缓解。然而,并非所有的漏洞都是平等的。事实上,根据Tenable2020年对高知名度漏洞的研究并非所有关键漏洞都有名称和/或标识。
相反,并非所有指定名称和标志的漏洞都被视为严重漏洞。相反,在权衡漏洞的严重性时,还需要考虑其他因素,包括概念验证(PoC)攻击代码的存在和攻击的易用性。
鉴于COVID-19大流行所带来的巨大变化,这种不确定性对 *** 犯罪分子来说是一个额外的好处。随着各国 *** 在全球范围内授权公民限制行动,企业向远程工作、学校向远程教育的转变前所未有。
从依赖虚拟专用 *** 和远程桌面协议,这带来了一系列新的安全挑战(RDP)等待工具,引入新的视频会议应用。虚拟专用 *** 解决方案中的许多漏洞最初在2019年或更早披露,2020年被证明是 *** 犯罪分子和国家组织最喜欢的目标。
虽然攻击者喜欢已知的漏洞,但在2020年有一些零天。 *** 浏览器,尤其是Google Chrome、Mozilla Firefox、internetexplorer和microsoftedge主要目标是占零日漏洞的35%以上。考虑到浏览器是互联网的网关,修复这些资产对企业 *** 的安全至关重要。
这教会了我们什么
随着攻击范围的扩大,漏洞管理在现代 *** 安全战略中发挥着核心作用。未修复的漏洞暴露了敏感数据和关键业务系统,给勒索软件参与者带来了丰富的机会。
在部署到实时环境之前,需要使用基于风险的 *** 来处理补救措施,并清楚地了解修复对业务运营的影响。这对任何规模的组织来说都是一项大任务,对于环境大、多样化的组织来说可能特别困难。现代漏洞管理可分为以下关键阶段:
- 识别和删除不必要的服务和软件
- 限制对第三方库的依赖
- 安全软件开发生命周期
无论是技术、操作技术和物联网等整个攻击面上进行准确的资产检测,无论是在云中还是本地。
查找并修复
在查找和修复漏洞时,2020年主要针对这些漏洞有五个漏洞。Citrix、Pulse Secure和Fortinet自2019年以来,虚拟专用 *** 解决方案中的三个遗留漏洞:
(1) CVE-2020-1472–零登录
(2) CVE-2019-19781–Citrix ADC/网关/SDWAN-OP
- CVE-2019-11510–Pulse Connect安全SSL 虚拟专用网
- CVE-2018-13379–Fortinet Fortigate SSL 虚拟专用网
(3) CVE-2020-5902–F5大IP
基于浏览器的漏洞在考虑基于浏览器的漏洞,因为它们很容易维修,但它们可能不会带来更大的风险。如果防火墙、域控制器、虚拟专用 *** 等设备受到损坏,可能会产生更大的影响,在测试和应用维修程序或缓解措施时需要更加小心。
维修电子邮件服务器也应优先考虑,以防止机密信息的使用和保护。同时,教育员工电子邮件的更佳实践,提高在线钓鱼等领域的安全意识也是当务之急。
基础设施中的每一个设备和资产都需要被视为可能“流氓”。必须采取措施减少特权和他们可以访问的攻击。虽然很少有组织有必要的资金来防止像太阳风这样复杂的破坏,但很少有组织需要这样做。如上所述,健全的 *** 卫生实践有助于挫败大多数 *** 犯罪分子的攻击。