//研究团队 HDMoore // 抢劫 // 汤姆卖家 20 24 第1卷 •2024年5 第1卷 目录 Chapter1 3 Chapter2 10 Chapter3 19 异常资产是风险资产 Chapter4 23 Chapter5 36 新兴威胁 Chapter6 45 Chapter7 AI&对特异性的需求65 关于runZero69 runZero研究报告 20P 242 Chapter1 Introduction 作者:RobKing “加上更改,再加上选择的选择”[事物变 化越多,它们就越保持不变。] -Jean-BaptisteAlphonseKarr, LesGuäpes,1849年。 信息安全唯一不变的是,今年将与去年不同。不仅会出现新的个人威胁,而且全新的威胁类别将首次亮相。一些常绿的威胁最终会消失,而另一些则会从遗忘中咆哮回来。更多的设备 (和更多类型的设备!)将连接到网络,并且攻击面将在复杂性和范围上继续增长。 runZero的研究团队的存在是为了发现新的和创新的方法来解决这些问题,同样重要的是,发现明天要解决的新问题。 在本我报们告希中望,您我能们发从现我们的作第为一应份用研安究全报研究团队告的具独有特教角育度意分义享,了甚ru至nZ可er能o的具观有娱察乐结性果。我们。的我目们标将是感深谢入您了的解反安馈全;形如势果的您变有化建,议并就如,何问应题对或这意些见变,化提请出通过建以议下。方式联系 电子邮件通过research@runzero.com. RobKing 安全研究主任 20 24 P3 runZero研究报告 执行摘要 网络安全行业正在发生结构性变化,这是由几个强大的趋势和技术发展的快速融合带来的 。 首先,漏洞正在以前所未有的速度被利用。而且它正在起作用。如此之多,以至于SEC现在需要8K文件来获取数据 漏洞,更不用说关于新兴漏洞的新闻源源不断以及跨各种规模和部门的组织的成功妥协。 尽管网络边缘的零日攻击激增,但供应商正在努力为其产品提供及时的补丁程序,通常会使客户在几天或几周内受到攻击者的摆布。为了应对开发的加速,供应商现在通常会发布妥协指标(IOC),并向客户发出初始通知。 最近,xz-utils后门成为一个鲜明的提醒 ,供应链仍然受到巨大的攻击,具有灾难性的潜力。这一事件还催化了关于成为开源产品负责任的消费者意味着什么的对话,以及“供应商”在 共享安全模型。 20 24 P 4 runZero研究报告 同时,企业环境的变化比以往任何时候都快。运营技术(OT)和信息技术(IT)网络之间的融合是不可避免的结论,为网络犯罪分子创造了一个高价值目标的绿地 掠夺。 多年来,安全计划已迅速成熟,但仍受到报废系统,未知资产和网络细分挑战的困扰。这些耗时的问题与与新出现的威胁和暴露有关的短期消防演习争夺资源。捍卫者继续在业务需求之上兼顾范围界定、补丁管理、紧急响应和事件分析——同时安全预算也在缩减。 我们的分析还表明,大型组织仍在努力解决长期存在的配置问题。远程管理服务的状况不太好。过时的TLS堆栈,继续使用过时的协议(如SMBv1)以及安全Shell和远程桌面协议的一般卫生问题的趋势仍在继续,这对长期安全性产生了严重影响。一线希望是,操作系统供应商的默认选择正在发挥作用,但速度不足以降低整体攻击面的风险。 虽然生成人工智能(GenAI)和大型语言模型(LLM)被吹捧为安全的下一件大事,但现实却更为温和。LLM在许多情况下都有帮助,但仍然是核心的预测引擎。因此,LLM仅限于帮助安全的人性化方面,并且难以取代专家系统和基于逻辑的决策。 //runZero研究目标 在所有这些动态中,有一件事仍然很清楚:随着越来越多的设备连接到网络,我们需要更快的方法来将有限的信息安全资源集中在最需要的地方。 作为一个研究团队,我们的目标是通过精确的指纹识别和快速的离群值分析 ,找出非常有效的方法来查明风险设备,并迅速将这些工具交到我们的客户和社区手中。第一份研究报告包括从我们的数据分析中得出的见解,并描述了我们作为一个团队如何本着这一目标工作。 runZero研究报告 20P 245 范围和方法 本报告基于来自公共runZero云平台的代表性匿名数据样本。该样本包含近400万资产和近5000万关联的不同数据点,包括160多个网络协议,这些协议已被标准化为800多个不同属性,并通过超过17,000个独特指纹进行过滤。 4M Assets 50M 数据点 160+ 网络协议 800+ 独特的属性 17K+ 独特的指纹 runZero的主要数据收集方法是runZeroExplorer;这是一种轻量级网络存在点,作为软件交付,执行主动扫描,被动分析流量,并与数十种应用程序和服务集成。 runZero探索者提供了一个真正的内部人对全球网络安全的看法,找到了短暂的设备(电话,手表,汽车),设备,通常监控较少的(恒温器,投影仪 ,门锁),以及临时和被遗忘的网络的巨大“暗物质”,以及已经在IT雷达上的资产。 20 24 P6 runZero研究报告 runZero的独特视角 runZero基于应用研究有助于更好的资产发现的原则,而更好的资产发现是现代风险敞口管理的基础。今天,runZero被公认为领先的 网络资产攻击表面管理(CAASM)的边缘。 这一成功归功于runZero研究团队的工作:一群在信息安全方面拥有数十年经验的行业资深人士。他们研究的实际成果是跨云、本地和远程环境准确而深入地识别资产。 CAASM诞生于一句古老的格言,即安全团队无法捍卫他们不知道的东西。对于具有未知属性(如位置、类型和性质)的资产也是如此。除了发现设备及其相关细节外,CAASM还试图有条不紊地发现影响这些资产的风险暴露的类型和严重程度,为防御者提供观察攻击面的新优势。 CAASM将资产的发现和可见性(对攻击者和防御者而言)提升到Infosec保护伞下的一流领域,现在被认为是组织信息安全态势的基础和关键组成部分。这种动态直接与攻击面的指数级扩张以及超过防御者资源的风险敞口有关。 runZero研究报告 HDMooreCEO& 联合创始人 安全研究主任RobKing TomSellers首席研究工程师 20 24 P 7 //Oddball设备我们的数据集 我们的数据发现了大量不寻常的连接设备,其中一些具有足够的连接性和服务来路由交通,从crockpot到汽车。 Crockpot 吸尘器 灯泡 灯开关 恒温器 DVR 扫描仪 VoiceAssistant 20 24 P 8 组织的攻击面不再由具有一组已知受管设备的内部部署位置定义。 如今,攻击面包括个人手机、智能手表、会议室的恒温器、大厅的水族馆水泵、游戏机在首席执行官的客厅和无数其他设备中,其中许多设备定期从网络进出。 图1:runZero找到的具有多个攻击面名称的设备列表。跨越攻击面的设备可以为攻击者提供进入内部组织网络的入口点。 runZero研究报告 COVID-19大流行导致攻击面边界爆炸。虽然远程工作以前是一种福利,但突然成为无数组织的标准。大量员工从办公室撤退,并将家庭网络作为进入CISO监视下以前封闭和围墙花园的入口点。 曾经被认为是一个孤岛,运营技术(OT)和工业控制系统(ICS)已经与IT融合,并进一步加剧了复杂性。 除了极少数例外,全世界都选择了以太网和IT的Internet协议栈。OT/ICS世界的专有协议和竞争标准的广阔而混乱的海洋现在已经认真地加入了这场争斗,以及随之而来的所有不断增长的痛苦。 今天,世界上的客厅和停车场已经成为CISO的责任,以及它的工厂和公用电网。2024年,美国环境保护署(EPA)写了一封公开信,描述了“禁用网络攻击”如何攻击整个美国的水和废水系统。不久前,这些系统无法直接从更广泛的互联网上访问。今天,他们中的许多人危险地和公开地暴露于来自世界各地的攻击者。 正是在这个世界上,我们作为信息安全从业者 ,现在发现自己。定义攻击面不再是一个可以每季度一次的学术活动。随着曝光以光速出现,快速,实时的发现和CAASM比以往任何时候都更加重要。 今天,世界的生活 房间和停车场已经成为CISO的责任 ,以及它的工厂和公用事业网格。 runZero研究报告 20P 249 Chapter2 OT和云对攻击表面的影响 在宇宙学中,有全息宇宙的概念:空间的三维体积可以完全由其二维表面上的暴露信息来描述。 在组织的安全态势的背景下,攻击面就是一切;除非漏洞被坏人利用 ,否则漏洞几乎没有意义。确定脆弱的橡胶在哪里与暴露的道路相遇的诀窍是确定实际可到达的地方,考虑安全控制或其他深入的防御措施 。 如上一节所述,攻击面正在以多种方式扩展,变得越来越多,越来越具体。值得关注的两个攻击面增长领域是运营技术和云,这不仅是因为它们的普遍性,还因为相关的风险。 通用IT保护伞下的运营技术和工业控制系统(OT/ICS)设备的合并创造了另一个高价值的攻击面。在过去,OT/ICS设备通常具有完全独立的专用网络。现在,它们越来越多地附着在企业IT网络上,使它们成为组织攻击面的宝贵和脆弱的一部分。 同时,基础设施日益商品化和虚拟化意味着几乎所有组织现在都有一个基于云的攻击面来保护。这些转变无论是独立的还是结合的,都为攻击者创造了新的立足点,值得研究。 runZero研究报告 20P 2410 OT和IT正在融合 Historically,securitywasoflessconcernsthansafetyandreliabilityforthe“grade-separated”networkssupportingOT/ICSdevices.Thesenetworkshaddifferentdynamic,usingindustry-specificnetworkprotocolsandfollowingmaintenanceschedulesthatwere IT系统。 OT设备设计用于长期可靠性和不频繁的变化。结果是许多工厂车间、水处理厂、关键基础设施和其他工业过程使用与现代PC相比相对较慢的设备。为了支持实时控制要求,OT设备通常在协议级别排除加密和身份验证。 OT系统为恶意行为者提供了一个软目标 ,但前提是他们可以到达这些网络。直到最近,OT根本不是IT的问题。 网络和安全技术的改进改变了这一点,允许组织链接他们的OT和IT网络(有时是故意的,有时不是)。 以前负责保护笔记本电脑和服务器的团队现在也负责OT安全性。由于要求提高管理和监控效率 ,曾经在围墙花园中的系统现在至少在理论上可以从世界任何地方访问。 总统国家安全电信咨询委员会关于IT-OT融合的2022年报告得出的结论是,我们必须“接受IT/OT融合将成为IT和OT的最终状态”。 “IT/OT融合将是最终状态” OT/ICS环游世界 runZero数据证实,成千上万的OT/ICS设备确实“可以从世界任何地方访问”。这些设备是国家行为者和勒索者的主要目标,因为妥协它们可能会导致工业或公用事业中断。 直接暴露在公共互联网上的工业控制系统(ICS)的数量令人恐惧。尽管暴露设备的逐年增长终于放缓,但总数仍在继续攀升。本报告样本数据中超过7%的ICS系统直接连接到公共互联网,这表明组织越来越多地将关键控制系统放在公共互联网上。 图2:runZero在公共互联网上检测到的工业设备的选择。 OT扫描从被动到主动 OT设备通常在计算能力有限的硬件上运行特定于行业的软件。这些限制与OT 部署的长期性质相结合,导致环境无法很好地响应意外或过多的网络流量。 天真的安全顾问意外地通过漏洞扫描关闭工厂车间的故事比比皆是。因此,OT工程师对任何在网络上发送数据包的资产清单流程都产生了健康的