2023 年 Unit 42 攻击面威胁报告

2023 UNIT42攻击面威胁报告基于可观测数据的攻击面风险教训 01执行摘要 02攻击者以机器速度行动 03头号攻击面暴露 04远程访问暴露导致勒索软件 05云的活跃正在给安全控制带来压力 06云暴露主导着大多数企业的安全风险 07行业攻击面分解 目录 08结语 09建议 10研究方法 UNIT42|CORTEX 执行摘要 现代企业正竞相更新企业网络架构，以利用零信任安全设计、云计算、软件即服务(SaaS)价值交付和分布式劳动力等优势。这促使已知和未知的基础设施急剧增加，反过来又大大增加了确保环境安全的复杂性。 面向公众的资产暴露在风险之中，有时会导致企业成为机会主义的受害者，而不是遭受有针对性的攻击。了解您需要保护什么，是任何成功的网络安全计划的先决条件，但公司和政府机构却很难了解自己拥有什么，以及哪些服务暴露的风险最大。 为了将这些翻天覆地的变化纳入情境并提供可操作的情报，Unit42分析了PaloAltoNetworks攻击面管理解决方案CortexXpanse在2022年和2023年收集的若干PB公共互联网数据。本报告概述了有关全球攻击面如何变化的总体统计数据，并深入研究了与市场最相关的特定风险。 01下一章3 重要发现 •云的不断变化会带来新的风险。基于云的IT基础设施始终处于不断波动的状态。在给定的一个月内，企业平均有20%的云攻击面将被下线，取而代之的是新的或更新的服务。这些新服务的部署通常会导致企业每月新增近一半的高度云暴露或关键云暴露。 •远程访问暴露普遍存在。在接受分析的企业中，超过85%在当月至少25%的时间里可以通过互联网访问远程桌面协议(RDP)，这使得企业很容易遭受勒索软件攻击或未经授权的登录尝试。 •云是最主要的攻击面。在所分析的企业中，高达80%的中度、高度或关键暴露都是在云中托管的资产上观察到的。 下一章4 建议 获得持续、全面的可视性 维护企业内部和云中资产的最新完整名单，确保治理策略的应用一致。 转变自身的漏洞观念 许多安全入侵都涉及由于错误配置的服务、错误配置的防火墙 甚至已知漏洞等问题造成的暴露。传统的漏洞管理流程无法识别其中的许多问题，更不用说帮助企业解决这些问题了。 使团队能够快速应对新出现的威胁 当出现关键漏洞时，快速了解您所面临的风险暴露，确定修补的优先级，减少无法修补的生命周期终止服务。 监控远程访问服务 监控所有远程接入点和使用情况，消除未经授权登录的风险。 以机器速度管理攻击面 攻击者正在利用自动化以机器速度行动。至关重要的是，您的 企业也能通过利用攻击面管理工具以机器速度行动，这些工具能提供主动的优先级排序，并能自动修复常见的暴露。 您的安全团队在攻击面管理方面面临挑战，包括了解当前威胁、维护全面的资产名单以避免未知风险，以及快速应对这些资产上的所有风险。可访问互联网的系统中的任何暴露或漏洞都会使攻击者有机会损害您的企业，造成停机、数据丢失、财务损失和潜在的品牌声誉损害。通过积极管理攻击面，您可以主动、自动地降低风险，领先一步。 下一章5 UNIT42|CORTEX 攻行击动者以机器速度 攻击面一直在不断变化，使安全团队难以确保其安全。防御者必须保持警惕，因为每次配置更改、新云实例和漏洞披露都会给攻击者带来机会。 如今的攻击者有能力在几分钟内扫描整个IPv4地址空间，寻找易受攻击的目标。 正如我们将在本报告中探讨的一样，我们已经观察到攻击者在漏洞公开披露后数小时内就在外界利用了这些漏洞。根据之前的研究，我们发现，企业平均需要三周以上的时间来调查和补救关键暴露。1即使是规模最大、经验最丰富、资源最充裕的安全团队，也很难像攻击者测试和部署新功能一样快速地补救关键暴露。 02下一章6 漏洞利用情报证实了快速响应的必要性 Unit42分析了2022年5月至2023年5月期间的30个常见漏洞和暴露(CVE)，以刻画对手开始利用这些漏洞和暴露的速度。研究人员根据有关漏洞利用活动的威胁情报选择了这些CVE。图1显示了选定的CVE。值得注意的是，30个漏洞中有3个在CVE公开披露后数小时内就被利用。30个漏洞中有19个在公开披露后12周内被利用，凸显了与不完整和不一致的修补程序相关的风险。 CVE发布日期 首次观察到攻击的日期 9月 10月 11月 12月 1月 2月 3月 4月 1周内 1周·CVE-2023-26360 1周·CVE-2023-20963 1周·CVE-2023-23397 4周内 8周内 超过8周 图1：在过去的12个月里，已知的威胁行为者利用的30个漏洞中，第一次被报告攻击前所经过的时间 下一章7 几小时内 4周内 8周内 超过8周 CVE发布日期首次观察到攻击的日期 4月5月6月7月8月9月10月11月12月1月2月3月4月 勒索软件威胁行为者在发布后数小时内就利用关键漏洞 Unit42分析了勒索软件经营者经常使用的15个远程代码执行(RCE)漏洞（如图2所示）。这些CVE是根据有关威胁行为者团伙的情报信息及其在发布后12个月内被积极利用的情况选出的。在这些关键的RCE漏洞中，有3个在披露后数小时内就被威胁行为者盯上，有6个在披露后8周内被利用。 图2：在过去的12个月里，已知的威胁行为者利用的15个RCE漏洞中，第一次被报告勒索软件攻击前所经过的时间 下一章8 头号攻击面暴露 UNIT42|CORTEX 对于一个企业来说，与可通过互联网访问的资产受到损害相关的风险有两大类： 1.与攻击者在被入侵设备上采取的操作有关的风险，可能直接危害企业： •例如，存储在可通过互联网访问的公司笔记本电脑上的敏感文件外泄、中断支付处理的勒索软件攻击，以及楼宇控制或工业控制系统被入侵造成的物理破坏。 2.与攻击者如何利用未授权访问被入侵的攻击面资产来进一步未授权访问企业其他IT资源有关的风险，其中包括无法通过公共互联网直接访问的资源： •例如，横向跨越内部子网以从关键数据存储库中外泄 一般来说，当设备在攻击面受到入侵时，会给企业带来这两种风险。Unit42根据设备的业务功能对这些风险进行了分类，这与设备受入侵可能给企业带来的风险的性质和严重程度密切相关。因此，攻击面给企业带来的总体风险与容易受到入侵的暴露资产数量、这些资产受到入侵的后果，以及这些资产相对于攻击者团伙发现和利用这些资产所需的时间而言暴露的持续时间有关。 03 数据，入侵虚拟专用网络(VPN)基础设施以访问和感染供应链攻击中的源代码库，以及使用被入侵的IP安保摄像头记录员工实际输入的登录凭据。 下一章9 如图3所示，Web框架接管暴露占250家企业所观察到的暴露的22%；攻击者积极寻找运行易受攻击软件的网站并将其作为攻击目标，因为这些网站非常普遍。最常见的暴露类型是不安全的ApacheWeb服务器版本、不安全的PHP版本和不安全的jQuery版本。 远程访问服务占到暴露的20%。这些暴露包括RDP、安全外壳(SSH)或虚拟网络计算(VNC)等服务。这些服务一旦遭到入侵，攻击者就可以在未经授权的情况下访问企业的网络或系统，从而可能导致经济损失、声誉受损或其他后果。除此之外，RDP已被证明是通过勒索软件中断业务的主要媒介。 Web框架接管 远程访问服务 未加密的登录和文本协议物联网、嵌入式设备和OT 薄弱或不安全的密码 未修补、配置错误和生命周期终止(EoL) 数据库 文件共享 IT安全和网络基础设施 图3：过去12个月在250家企业中观察到的暴露类别分布 下一章10 IT和网络基础设施暴露占Unit42观察到的暴露的17%。这类暴露包括应用层协议，如简单网络管理协议(SNMP)、NetBIOS、点对点隧道协议(PPTP)，以及路由器、防火墙、VPN和其他核心网络和安全设备的互联网可访问管理登录页面。这些资产受到破坏会给企业带来严重后果，包括核心业务功能和应用程序及其包含的数据受到破坏。 文件共享暴露占暴露的12%，对企业构成重大风险，包括数据泄露。不安全文件共享的例子包括可公开访问的文件共享服务、FTP和配置不当的云存储。这些系统被破坏后，攻击者不仅可以访问系统中存储的数据，还可以访问今后通过系统发送的所有数据。 数据库暴露和漏洞占250个企业中观察到的暴露的9%。将包含敏感信息的数据库直接暴露在互联网上会大大增加企业遭遇数据泄露的可能性。 Unit42还观察到其他类型的暴露，包括： •未打补丁、配置错误和EoL系统 •加密技术薄弱或不安全 •物联网、嵌入式设备和运营技术(OT) •未加密的登录和文本协议 •开发基础设施 •业务运营应用程序 •医疗系统 下一章11 UNIT42|CORTEX 远勒程索访软问件暴露导致 根据2022年Unit42事件响应报告，Unit42调查的勒索软件案件中最可疑的初始访问方式是软件漏洞(48%)，其次是暴力破解凭证攻击(20%)。2软件漏洞的大量使用与勒索软件行为者的机会主义行为相吻合，后者通常会大规模扫描互联网，寻找漏洞和薄弱点。这种方法伴随暴力破解凭据攻击，主要针对RDP。 04下一章12 远程访问服务在当今的混合工作环境中至关重要，但其错误配置可能会带来重大风险。 图4显示，RDP是全球最普遍的远程访问服务，占已暴露远程访问服务的40%以上。即使我们把注意力集中在企业网络上，整个公共互联网上的远程访问暴露依然普遍存在：在本报告分析的企业中，有85%在本月至少有一个可通过互联网访问的RDP实例在线。 60% 40% 20% 0% 图4：过去12个月按地域划分的五大最常见暴露的远程访问服务 下一章13 行业 过去12个月内暴露于互联网的唯一RDP实例 的中位数* RDP实例在任何给定月份内处于活跃状态 并暴露于互联网的中位天数* 高科技 制造业 专业和法律服务金融服务 保险 医疗保健批发和零售国家政府 州和当地政府 Unit42发现，平均每个国家政府机构在一个月内有不同的 10天暴露了可以通过互联网访问的RDP，这为攻击者提供了 在600多个事件响应案例中，2022Unit42事件响应报告 发现，50%的目标企业在面向互联网的关键系统上缺乏多因 充足的机会来获得未经授权的访问。一般专业服务机构暴露 素身份验证(MFA)。本报告研究的每个行业中RDP暴露的普 RDP的时间较短，但暴露的各种RDP实例往往更多。 在Unit42研究的九个行业中，有八个行业的互联网访问RDP在本月至少有25%的时间容易受到暴力破解攻击。中位数金融服务和州或地方政府机构整个月都有RDP暴露。 遍性，加上MFA等补偿控制措施的稀缺性，使得勒索软件攻击在可预见的未来很可能会持续下去。 14 *注意：中位数是根据每个行业的企业数据计算得出的。 表1：各行业中位数大型企业的RDP暴露频率和持续时间 下一章 UNIT42|CORTEX 云控的制活带跃来正压在力给安全 为了评估现代IT环境的动态性质，Unit42研究了企业在六个月内使用的不同云提供商中运行的新服务和现有服务的构成。 05下一章15 如图5所示，基于云的IT基础设施始终处于不断变化之中——在这250家企业中，平均每个月都有超 过20%的外部可访问云服务发生变化。 如果没有持续的可视性，就很容易忽视意外的错误配置以及影子IT在企业内部的不断蔓延。 24% 24% 23% 22% 21% 20% 20% 27% 19% 18% 17% 15% 0%10%20%30% 图5：各行业典型公司在给定月份推出新服务的比例中位数 下一章16 50% 49% 46% 46% 45% 64% 60% 85% Unit42发现企业中每五个基于云的系统中就有一个每月都会发生变化，因此调查了这种变化对企业内部引入的新安全风险数量的影响。 图6显示，对于大多数企业而言，在一个月内超过45%的高风险云托管暴露是在新服务上观