2024暴露管理状态报告：80%的安全暴露源自错误配置（英文版）

2024年暴露管理状况 2 目录 测量安全姿势5 路径7 Exposures9 Convergence10 比较13 Exposures15 Devices18 Environments23 目录27 Conclusion29 执行摘要 如果您能够识别组织遭受网络攻击的所有方式，了解对手将如何利用这些风险，并优先考虑补救措施以最有效地降低风险，该怎么办？好吧，这正是本报告的全部内容 。 本报告提供了从2023年通过XMCyberContinuousExposureManagement(CEM)平台进行的数十万次攻击路径评估中得出的关键见解。这些评估发现了超过4000万次暴露，影响了1150万个被认为是关键的实体 从XMCyber平台收集的数据被匿名化，并提供给CyentiaInstitute进行独立分析，以生成填充后续页面的见解。 每个人都在谈论曝光管理 暴露管理似乎是现在每个人的热门话题，但定义这意味着什么以及如何最好地实施持续威胁暴露管理（CTEM）框架仍然造成一些混乱。 为了摆脱无休止的漏洞列表的痛点，组织正在采用声称提供更大范围的暴露类型的技术，以及额外的背景，以帮助对这些不同的暴露类型进行优先级排序和风险分析。但是，上下文通常仍然限于每个单独的资产，或仅关注入侵风险，因为资产是最可能的违反点。 在XMCyber，我们提供基于XMAttackGraphAnalysis™的全面曝光管理已经超过8年了。我们很自豪能将这些发现再次提炼到我们的年度曝光管理状态报告的第三版中。我们希望这些见解将在明年支持您的安全团队的重要任务。 我们在下一页介绍今年分析的一些亮点。 主要发现 曝光管理不仅仅是CVE。 组织通常在他们的环境中大约有15,000个攻击者可以利用的风险敞口。传统的基于CVE的漏洞占这些漏洞的不到1％，仅占所有关键资产的11 ％。 糟糕的网络卫生困扰着端点的安全 。 79%的组织在网络中的多台计算机上存在缓存域凭据或本地凭据的问题。虽然大多数组织使用EDR(91%)，但超过四分之一的设备通常不覆盖。 一种尺寸并不适合管理风险敞口。 平均而言，金融公司管理的数字资产比能源行业多5倍，但影响关键资产的风险敞口比例在后者中高出21倍。 有效的暴露管理需要集成攻击路径建模。 XMAttackGraphAnalysis™发现，2%的风险暴露存在于对手可用于到达关键资产的融合攻击路径的“瓶颈”上。具有最差安全态势的组织与最佳安全态势的组织之间的瓶颈比率相差20倍。 云环境不能免除暴露的风险。 超过一半(56%)的关键资产风险来自云 平台。此外，攻击者可以在70%的时间内遍历本地云环境 然后在短短两个跃点内攻占云中93% 的关键资产。 曝光管理不能是一次性或年度项目。 这是一个不断变化的，持续的过程来推动改进。与高得分者（5k）相比，姿势得分差的组织的安全暴露数量（30k）是高得分者（5k ）的六倍。 更糟糕的是，这些群体之间的差距随着时间的推移而扩大。 身份和凭证问题代表了巨大的暴露攻击面。 ActiveDirectory通常占中确定的所有安全风险的80% 组织以及他们三分之一的问题使关键资产面临风险。 测量安全姿势 组织仍在努力全面了解风险状况 我们将很快深入研究我们对攻击路径的详细分析，但让我们首先对组织风险暴露进行全面评估。XMPostureScore™提供了这样一个观点。 XMCyber评估各种攻击场景对关键资产的风险，每个攻击场景都会获得0到100的分数。此分数基于导致该场景中的关键资产的路径的数量和复杂性。较低的分数表示由于许多较短、较简单的攻击路径而导致的较高风险。更高的分数意味着相反的情况；关键资产不太容易受到妥协。对所有方案的分数进行平均，以得出组织的总体安全分数。 每个分组的平均得分 XM姿势评分 图1显示了截至2023年最新评估的各个组织的安全态势得分分布。那些得分最高的25％的人以蓝色表示，可以被认为是表现最好的人。红色组织在得分的第25百分位数中排名较低。组织的中半部分逐渐淡出，以在表现最出色和最底层的人之间形成更多对比。所有组织的中位数为79分。 网络风险不能是一次性或年度项目。这是一个不断变化的，持续的过程 来推动改进。 图1:安全性得分最高（蓝色）和最低（红色）的组织 “截至他们的最新评估”的警告提出了一个重要的观点-安全分数随着时间的推移并不是静态的。根据图2背景中的淡线，它们随着环境的变化和不断发展的攻击场景改变了关键资产的风险而上下移动。高得分和低得分组织之间的移动平均线相当稳定，但随着时间的推移而增长。高得分者表现稳定。年内有所改善，而得分较低的组织则呈下降趋势。 本节中的最后一张图表非常直观地提醒我们，管理网络风险不能是一次性或年度项目。这是一个 滑动4周平均值 不断变化，持续的过程来推动改进。在下一节中，我们将深入了解我们承诺的那些攻击路径细节。 图2: 高得分和低得分组织的每日安全 分数以及移动平均线 XM网络收获和建议 Fromtheresults,it'sclearthatsecurityisneverdone.However,whenoperationalizedeffectively,acontinuousthreatexposureManagement(CTEM)methodologycanhaveapositiveimpact 总体安全态势。在整个2023年，我们看到了XMPostreScore™的积极改进，在我们更加成熟和成熟的客户群中 。当你阅读报告的以下部分时，你会看到安全改进的一些常见趋势，这些趋势与这些姿态的改进是齐头并进的，例如风险敞口的减少，阻塞点数量的减少20倍，从而成功关闭关键资产的攻击路径。正如我们的调查报告所述，所有这些都是全球安全专业人员和CISO的关键驱动因素和目标。2024年的国家安全状况。 Aftack路径的入门 组织不断面临网络攻击的威胁，这些攻击可能危及关键资产、泄露数据或扰乱业务运营。尽管这些网络攻击是不断发展的，但它们通常遵循一组逻辑步骤，称为网络杀戮链，这为对手或攻击者提供了一种有效的结构，以破坏组织的防御。虽然杀戮链代表攻击的各个阶段，但术语攻击路径指的是逻辑。 在您的网络中以及攻击所采取的不同安全防御措施，以执行其KillChain并达到关键业务资产和系统的最终目标。 攻击路径由跨企业基础架构所有部分的许多不同实体类型之间的单个跃点组成。它们从网络设备和外围防御延伸到校园的笔记本电脑、台式机和工作站。它们可以遍历从物理到虚拟和云实体的垂直网络层，甚至可以遍历数据平面的垂直层，到控制平面到管理平面，然后再返回。攻击路径不仅由不同的设备类型形成，还可以利用扩展的实体类型，如软件应用程序、beretes集群、用户凭证、API令牌和其他身份类型。 由于实体类型和基础设施层的扩展，很难真正理解存在的不同攻击路径的风险。仅考虑一种类型的暴露，如漏洞(CVE)，或一个基础设施层，如云，严重限制了您查看攻击面可利用性的全部范围和关键资产的潜在攻击路径的能力。 为了帮助应对这一挑战，攻击路径建模是暴露管理所需的基础方法。它可以帮助网络防御者和安全利益相关者识别和映射威胁行为者可能采取的潜在路线，以利用漏洞、错误配置和薄弱的安全态势，从而危及关键资产。 但是为什么要将这个模型限制为只有一个攻击路径呢？ 自成立以来，XMCyber率先将攻击路径建模用于暴露管理。但是，要真正了解攻击者可能破坏组织的所有方式，您需要从整体角度和全面状态查看所有攻击路径。 XMAftack简介图分析™ XM攻击图分析™为您提供清晰简洁的曝光智能，该智能基于基于上下文的见解，涵盖从云到核心的所有曝光，通过精确定位攻击路径汇聚的关键交叉点，并为业务运营带来最关键的风险。这有助于安全和IT团队优先考虑补救工作， 并协同工作，对安全状况和降低网络风险产生积极影响。 图3:识别实体、死角、阻塞点和关键资产的攻击图示例 了解关键资产的攻击路径的关系和背景对于降低风险至关重要。通过XMAttackGraphAnalysis™可视化所有可能的攻击路径，平台可以关联所有经过验证的攻击路径，以唯一识别攻击路径汇聚的关键交叉点，并将其突出显 示为扼流点这给你的关键资产带来了最有影响力的风险。 通过确定具有最弱和最可利用的安全状态的实体，我们可以评估入侵风险和最可能的入侵点。我们的攻击场景不断计算从突破点到关键资产的所有潜在攻击路径。这反过来允许更有效的风险优先级划分方法,该方法报告攻击者可以利用的所有攻击策略、技术和过程(TTP),以便利用沿攻击路径的每个实体的特定暴露。 本报告中显示的分析和统计数据全部取自XMAttackGraphAnalysis™，利用了由特定暴露类型或攻击TTP呈现的风险关键资产的关键指标。 我们先进的攻击路径建模方法为您提供了所需的上下文，使您可以更快、更自信地做出有关暴露风险状况的决策，以及将您的补救工作集中在何处。 继续阅读本报告，了解来自XMAttackGraphAnalysis™的独特见解。 枚举暴露 我们通常会识别 15,000 攻击者可以在每个组织中利用的风险敞口。有些人超过10万！ 从另一年的Aftack图分析中获得的经验教训 从XMAttackGraphAnalysis™收集的数据不断指出每个组织面临的核心网络安全挑战：防御者需要实际解决的问题太多了，攻击者需要利用它们的方法也太多。即使是最好的团队也会不知所措。 “不知所措”相当模糊，所以让我们在图4中给出一些数字。我们通常每月确定每个组织中攻击者可以利用的15,000个安全暴露（这是总体中 Fig Disexporg 位数）。总体安全状况得分高的组织中的中位数仅为5,100，而得分低的组织则是该数字的六倍！ UR4: 归因 攻击 路径 确保id组 织 标识a 十字架 实体:攻击者环境中的任何端点、工作站、服务器 、身份、访问令牌、云资源等 可以用来推进关键资产的攻击路径。 世博会:曝光是技术和容易受到这些技术影响的实体的组合。它们基本上列举了攻击者可以使用的许多选项。 收敛点 大多数 74% 暴露导致死胡同. 与其平等对待所有风险，一种更易于管理的方法是识别代表最高风险的问题子集，并优先解决这些问题。大多数（74％）困扰组织的安全风险处于“死胡同”，这限制了攻击者向关键资产的横向移动。 但是，一小部分风险会影响关键资产和/或代表融合攻击路径的“瓶颈”，对手可以利用这些攻击路径来升级和扩大其在目标环境中的访问范围。防御者还可以针对这些相同的瓶颈，以更有效地降低风险。 ThisconceptisdescribedinFigure5,whichrepresentedthetypicalentermattacksurface.Chokepointsanddirectly-exposedcriticalassetsarehighlightedinyellowandred,amongtheseaofallexposures.Wedistoringtheredonesbecauseab 图5:典型攻击表面的描述，显示了所有已识别曝光（灰色方块）中“阻塞点”（黄色和红色方块）的比率。 点暴露了组织中10%或更多的关键资产。妥协为攻击者造成严重影响打开了大门。解决这些问题应该是您的安全补救待办事项列表的绝对顶部。 我们上一份报告将组织内的阻塞点与暴露的典型比率约为2%。在过渡年中 ，我们对显著更大的组织人群进行了数万次额外评估，重新建立了类似的比率（1.5%）。 我们感到有义务强调，这并不意味着剩余的绝大多数暴露无关紧要或不应该被修复。它们是安全问题，它们确实使攻击者能够在环境中持续存在。也就是说，补救必须从某个地方开始。我们建议首先关注最重要的风险敞口-这显然是关键资产