行业观察:攻击路径管理(APM)影响力报告一览
2022-5-17 11:50:0 Author: www.4hou.com(查看原文) 阅读量:22 收藏


前言

这份报告分享了 XM Cyber Research 团队对2021年攻击路径管理平台的分析和见解。影响力报告开始于仔细研究攻击路径的方法,然后揭示了攻击技术用于破坏组织间的关键资产的影响,无论是混合云,还是On-PREM还是多云架构。报告分析了近200万个实体。实体表示了环境中的端点、文件、文件夹或云资源,攻击者可以使用这些资源在攻击路径中向你的关键资产推进。

报告的主要观点包括:

在一次完整的攻击链路中,有 94% 的关键资产无需经过4次跳跃就可以从最初的突破点被破坏

一个组织有 75% 的关键资产在当时的安全状态下可能已经被泄露

73% 的常见攻击技术涉及管理不当或凭证被盗

组织中有 95% 的用户都有长期的访问密钥,这可能会对关键资产造成风险

当发现新的 RCE(远程代码执行) 漏洞时,有 78% 的业务可能会受到威胁

75% 的组织都有面向外部的 EC2 机器,对关键资产构成风险

通过知道在哪里破坏攻击路径,可以减少 80% 的安全问题

攻击路径方法论

XM Cyber 的基于图形的仿真技术不断发现导致关键资产的攻击路径,使组织的安全态势能够完全可见。这可以让用户了解安全漏洞、错误配置、用户特权等是如何链接在一起,以创建危及关键资产的网络攻击路径。

在XM Cyber,我们通过两个主要因素来确定关键资产遭到破坏的可能性,攻击的复杂性和攻击者到达关键资产需要多少跳。通过结合复杂性和需要跳的次数,我们可以分析攻击路径并计算实际风险。

一次攻击的复杂性

跨实体的攻击路径的复杂性由许多因素决定,包括需要什么先决条件、需要多长时间、需要什么访问以及攻击者从突破点到你的关键资产需要多少步骤。在路径中的每一步,攻击者都使用一种技术来破坏该实体,并在攻击目标的过程中使用该实体一步一步地到达路径中的下一个实体。

根据攻击路径的复杂性,我们能够确定在当时的安全状态下,跨组织的关键资产可以被破坏的概率(以百分比表示):

一句话:我们的大部分资产都可能受到损害——如果不知道从何入手那我们就是瞎子。在攻击路径管理出现之前,没有一种有效的方法来识别并打破攻击链中的关键点。为了做到这一点,你需要从攻击者的角度清楚地了解整个环境。仅仅监视威胁和警报是不够的;这是关于了解你所处的环境中的漏洞的上下文,以及这些漏洞为试图侵入你的关键资产的攻击者提供的攻击路径。这是通过对环境的深入分析来实现的,只有这样,我们才能确定消除或至少减轻组织风险所需的步骤。

攻击者要完成多少跳才能让你的资产受损

跳的定义——攻击者从突破点到破坏关键资产所采取的步骤的数量。每一跳使用一种攻击技术。

一句话:发生的大多数攻击都不只是到达组织关键资产的一步。正是在网络传播阶段,攻击者试图将漏洞连接在一起,以破坏关键资产,我们可以利用攻击路径管理来查看他们连接技术的所有方式,并在关键时刻将其切断。在短短4跳中,攻击者几乎可以破坏环境中他们想要的任何东西——在短短4跳中,他们可以破坏94%,那么再完成一两跳,他们就可以达到100%的破坏。需要注意的是,传统的数据泄露与攻击模拟(BAS)解决方案只能检查攻击路径中的一次跳跃,而我们的攻击路径管理平台可以在整个环境中对整个攻击路径进行建模。

攻击路径概要

为了有效地保护你的资产,你需要知道它们在哪里——这些资产可以是虚拟服务器,可以是数据,可以是功能,也可以是支持企业的任何其他技术资产类别。我们的技术使我们可以很容易地准确地看到,一个利用漏洞的组合如何连接在一起,形成从突破点到关键资产的攻击路径。我们将揭示所有不同类型的攻击技术和威胁行为者用来破坏组织的多种攻击路径。

攻击向量

攻击向量是网络攻击者用来破坏系统的一种方法。尽管这些术语有时会混淆,但不要将攻击向量与攻击面混为一谈,攻击面最好定义为敌人试图进入你的网络或系统的每一个可能点。攻击路径是攻击向量被利用时发生的事件链的可视化。从这个意义上说,攻击向量扮演着门口的角色,而攻击路径则是一张地图,它显示出敌人是如何进入这扇门以及敌人去了哪里。

恶意软件、勒索软件或网络钓鱼都是常见的攻击向量。虽然云攻击向量可以用来针对网络或系统中的安全敞口,但向量也可以用来利用人为错误。

敌人在发动攻击时通常会利用多个向量。当你将多种攻击技术组合在一起时,你可以创建一个攻击向量,当你将多个攻击向量组合在一起时,你可以创建一个攻击路径。同样重要的是要知道,攻击向量可能存在,即使它们看起来似乎得到了缓解。例如,如果你没有意识到密码在暗网上是可用的,只是等待攻击者使用它来攻击你,那么创建一个非常强的密码并没有多大帮助。攻击路径管理平台的独特之处在于,它可以生成多种不同攻击技术的组合来生成单一的攻击流,因此攻击技术的实际数量要大得多。

下面是一个攻击者如何将技术结合在一起形成攻击向量的例子:

使用其中一种凭证收集技术(这种技术有很多)

使用“文件感染”技术感染Office文件

使用Office漏洞技术获取NTLM SSP

使用一种中继技术(例如NTLM)来中继此凭据并损害资产

上述每个步骤都可以用其他技术代替。例如:

攻击者可以使用Foxit Reader漏洞技术替换Office漏洞,并立即攻击节点。

在一些上图显示的红色电脑作为文件共享主机的情况下,攻击者还可以使用本地文件感染技术来替代凭证收集技术和文件感染技术。

攻击者可以使用强制身份验证技术来替换Office漏洞,然后再中继凭证。

许多攻击技术已经映射并与 MITRE 的对手战术、技术和通用知识(ATT&CK)框架相结合,而其他的则是我们独有的,基于 XM Cyber  Research 团队的大量网络攻击专业知识。

凭证是云计算的致命弱点:

用于危害关键资产的顶级攻击技术

在确保云安全方面,了解情况是成功的一半。每个云服务提供商都有不同但通常很复杂的配置来授予服务和资源访问以及授权。为每个用户确定确切的角色和适当的权限级别可能是困难和耗时的。云服务提供商内部的权限是细粒度且复杂的,当开发人员或运营人员(不幸地)可能寻求捷径时,通常会限制最少权限的方法——或者可能受到时间限制,使采用此类良好实践变得困难。例如,在EC2实例上创建具有权限的自定义策略时,为每个潜在需要访问的用户提供权限可能会花费时间,但仅为整个组提供权限会更快。让我们检查跨环境发生的关键攻击技术,并了解安全团队在跨混合云应用他们的安全措施时需要关注什么。

本文分析的最流行的12种攻击技术组合使用了以下漏洞、错误配置、管理不当或被凭证窃取来破坏关键资产:

常见的攻击技术Top12:73%的技术涉及管理不当或证书被盗、27%的技术涉及漏洞或配置错误

强大的补丁管理将减少攻击向量,防止漏洞被利用。此外,通过使用操作系统本身的安全功能,如用户身份验证,我们可以防止大量滥用不同凭据问题的攻击向量。我们不仅应该关注漏洞,还要避免错误的认为修补 CVE 可以修复一切漏洞并阻止横向运动。研究表明,近30%的攻击者使用的攻击技术会滥用错误配置和凭据来破坏组织。

AWS 最常用的6种攻击技术:64%的 AWS 常见技术都涉及管理不当或证书被盗、36%的 AWS 常见技术都存在漏洞或配置错误

Azure 最常用的6种攻击技术:100% 的 Azure 常见技术都涉及管理不当或凭证被盗

凭据将继续存在,但事实上它们更难解决,而漏洞来来往往,很容易修补。云中的主要攻击向量是错误配置和过度允许的访问,攻击者可以利用这些访问来访问关键资产。攻击路径管理有助于识别结合起来允许攻击者访问云的暴露。

在关键时刻消除风险

确定安全团队活动优先级的一种方法是确定攻击路径向关键资产集中的位置,并将修复工作集中在那里。XM Cyber 攻击路径管理平台不断揭示隐藏的攻击路径到你部署在跨云和 on-prem 环境中的关键资产,所以你可以切断他们在关键节点和消除风险的努力的一小部分。这克服了安全团队在面对无尽的警报时所经历的巨大脱节,但却无法看到哪些暴露的影响风险最大,它们如何组合在一起被攻击者利用,或如何有效地消除它们。

在各组织的近200万个实体中,平均只有5个实体对近58%的关键资产造成了风险。超过一半的组织可能会受到损害。通过引导资源解决各个瓶颈问题,你可以快速降低总体风险和潜在攻击路径的数量。通过使用攻击路径分析管理平台的组织可以看到对风险产生最大影响的行动最少。

2021年出现的新型攻击技术

当我们分析了仅在2021中使用的新型攻击技术时,它揭示了攻击面是多么宽泛,以及如何使用高级持续威胁(APT)。APT攻击都是关于结合多种技术来破坏目标。

在2021年的新型技术中,我们要了解组织中有多少人实际出现在环境中。XM Cyber Research 团队将所有攻击技术分为三类:云技术、远程代码执行(RCE)以及将云攻击和RCE攻击结合在一起的技术,以了解对被破坏组织的影响。下面分析了环境中可能发现的攻击技术:

有 87% 的新型云技术是在环境中发现的

有 70% 的新型RCE技术是在环境中发现的

有 82% 的RCE和云结合的新型技术是在环境中发现的

与这些可能被模拟并可能危及组织的攻击技术相比:

有 32%的组织可能会受到新型云技术的威胁

有 78%的组织可能会受到新型RCE技术的威胁

有 90%的组织可能会被结合了RCE和云技术的新技术所威胁

这些是组织需要关注并积极努力在其环境中消除的攻击技术。当一种新型 RCE 技术出现时,近 80% 的组织可能会受到威胁,当使用云技术在攻击路径中串连在一起时,90%的组织可能会受到当前安全状态的威胁。很明显,如果有这么多漏洞可以轻易被利用,那么这些组织的补丁管理就不够有效。

你的云不是孤立的、跨平台的

作为一家领先的混合云安全公司,我们想看看我们从跨平台攻击技术中收集到的见解。不只是云,而是从on-prem到云再回来。

平均有 28% 的组织都会遭遇跨平台攻击

平均有 23% 的关键资产受到了涉及跨平台技术的破坏性攻击。攻击源于on-prem 环境,资产是云实体,反之亦然

云环境中并非只有你一个人。我们预测,由于企业间的数字转型加速,这个数字只会增加,因为我们已经看到这个数字在2022年会增加。

这条路人迹罕至

随着攻击路径管理平台针对最新威胁连续、安全地运行模拟场景,并非所有攻击路径都能成功。通过节省分析时间并在关键瓶颈处切断攻击路径,以最低成本、最大影响的方法,我们可以揭示组织如何通过知道在何处中断攻击路径,从而实际上可以减少80%的问题。

80% 的实体被发现存在安全问题,但他们没有冒险或攻击任何关键资产,这意味着它们是死胡同。通常,安全团队会致力于解决这些问题,将精力分散在真正重要的事情上。因此,无需集中时间和资源立即解决这些问题,因为它们不会构成威胁,无论漏洞的严重性或警报的数量如何。在一个典型的企业中,安全团队会收到数千个不需要紧急处理的漏洞和警报。

了解攻击路径和攻击向量——以及攻击路径管理的智能实践如何将风险降至最低——应该是防御者的关键优先事项。我们无法有效地防御我们看不到的东西,这意味着可视化攻击路径以及它们给业务关键资产带来的风险,是我们必须知道将资源集中在哪里以及如何保护业务的最佳工具之一。

在 on-prem 和云上的关键发现

在混合网络体系架构中,攻击路径可能变得非常复杂。这项研究显示了on-prem和云环境中存在的安全漏洞和攻击技术,以及不仅要将安全工作重点放在特定环境上,而且要在网络中的所有环境中全面查看关键资产。

企业在迁移到混合云世界时并不总是明确定义战略。可以做出组织决策,允许各个部门采用自己的迁移策略,但有时业务部门会在没有云资源输入的情况下自行决定云资源的来源。有时,单一战略的缺乏是因为更广泛的业务事件,比如一个拥有一个云供应商的组织收购或合并另一个使用不同云供应商的组织。这种未经计划的大规模云环境复杂性和攻击面影响整个企业IT资源的安全性,包括:资产安全、网络安全、平台安全和应用程序安全。

以下是攻击者如何危害Active Directory的示例:

第一跳:最初的突破点是通过入侵 Windows 机器

第二跳:攻击者从突破点窃取域凭据

第三跳:黑客从受损终端获取访问令牌,并使用它向Azure租户进行身份验证

第四跳:受损访问令牌具有Intune权限,允许攻击者在on-prem关键资产机器上执行命令

攻击向量:On-prem到云端并返回,攻击者仅需 4 跳就可危及关键资产

我们深入研究了混合云、AWS和Azure环境中专门使用的攻击技术:

38% 的Azure 组织在他们的环境中使用了云到On-prem技术

41%的混合云组织(不止一个云供应商)在他们的环境中使用了On-prem到云的技术

95%的用户拥有长期的访问密钥,这可能会对关键资产造成风险

即使是通过设计,身份也可以被利用,以便从这一个云端到另一个云端进行横向移动,即使是通过设计构建,也很可能导致资产损失。我们的研究表明,组织在云和on-prem网络之间存在脱节——在许多情况下,你有管理X的devops团队,而管理Y的企业团队没有上下文来连接它们——这些攻击揭示了它们之间隐藏的联系,因为它们真的是看不见的。只有看到跨混合网络的攻击路径,团队才能协作并了解如何有效地弥合差距。

无论你的访问管理是如何处理的,组织都不知道他们的网络中有哪些超级用户。你的环境中可能有100个帐户,或者更多,你可能有一个用户可以访问所有这些帐户;这些权限和角色需要严格监控和映射。这些类型的用户提供了“城市的钥匙”,利用它们可能代价高昂。当你添加更多资源或部署更多帐户时,很难监控所有内容并了解后果。如果没有一个能够自动关联凭证以及凭证如何危害关键资产的系统,企业的安全态势就会面临严重风险。

结论

我们建议各组织通过跨环境查看,了解攻击者如何从on-prem移动到云端,从而专注于安全工作。当我们审视on-prem时,重要的是要注意——这不仅仅是漏洞,还有许多其他问题需要我们关注,并将资源引导到更大的层面。正如我们所看到的,在不到4跳的情况下,94%的关键资产可以从最初的突破点受到损害。这是网络安全防御工具的存在与它们提供的保护水平之间的一个巨大差距,我们为这些控制而付费,而不是整个网络中与降低风险相关的实际性能。孤立的安全工具将继续只关注一项特定的安全工作,但对我们的组织构成最大风险的是多种攻击技术的组合。安全团队需要深入研究混合云攻击、错误配置以及存在于其环境中的身份问题。

在云环境中,有许多小问题看起来像是合法的权限,但当把它们联系在一起时,你会发现存在很大的风险,这是一个意外的后果。当你把这一切放在一起时,on-prem和云以及它们之间的关系是我们需要解决的关键领域。请注意这是一个大问题——问问自己,与报告中提供的数据相比,我是否知道自己的安全状态?如果我这样做了,我是否可以映射它,并了解在on-prem和云环境中可能危及我们业务的所有风险?

为了了解一个组织最关键的资产是否安全,必须了解情况如何随时间变化,以及这些变化如何影响风险。对攻击路径进行建模以预测攻击的可能性是实现这一点的一种方法。这种方法提供了一个一致的预测模型,可以消除哪些可以绕过,哪些不能绕过的噪音,并在关键资产的框架内对这些信息进行上下文分析。

制定一个问自己关键问题的计划,以及最好回答这些问题的步骤:

今天哪些资产可能受损?

发生这种情况的可能性有多大?总体影响是什么?

运营风险处于什么水平?

我的关键资产是否受到保护?

本文来源于:https://info.xmcyber.com/2022-attack-path-management-impact-report如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/VnY5
如有侵权请联系:admin#unsafe.sh