● 组织在当时的安全状态下75%的关键资产可能已经被损害
● 73%的顶级攻击技术涉及到管理不善或被窃取的凭证
● 组织中95%的用户拥有长期访问密钥,密钥可能被暴露,给关键资产带来风险
● 每当有新的RCE(远程代码执行)技术时,78%的企业都可能受到威胁
● 75%的组织拥有面向外部的EC2机器,对关键资产构成风险
● 如果知道从哪里中断攻击路径,需要修复的问题可减少80%
▌攻击路径方法论
▶ 攻击的复杂性
攻击路径复杂性由许多因素决定,包括所需要的先决条件、时长、访问权限以及攻击者从漏洞到达关键资产所需要的步骤数。在攻击路径中的每一步,攻击者都会使用一种技术来破坏所攻击的实体,并且利用该实体在通往目标的路上再去跨越到路径中的下一个实体。
▶ 资产受损所需的跃点数
跃点的定义——攻击者从攻击点到破坏关键资产所采取的步骤数量。每个跃点使用一种攻击技术。
绝大多数攻击并不仅仅满足于一个跃点所能触及的组织关键资产。攻击者在网络传播阶段试图将漏洞联结起来以破坏关键资产,我们则可以利用攻击路径管理来查看他们的连接技术,并在关键时刻切断它们。在短短4个跃点中,攻击者就能破坏94%关键资产,那么再增加一两个跃点,他们就可以破坏掉100%。值得注意的是,传统的破坏和攻击模拟解决方案只能检查鼓励的攻击路径中的一个跃点,而攻击路径管理平台则可以模拟整个环境中的全部攻击路径。
▌什么是攻击路径
为了有效保护资产,企业首先要认识到什么是关键资产,它包含了虚拟服务器、数据、功能、或是企业拥有的其他类别的技术资产。攻击路径管理技术可以让企业轻松准确地查看到攻击者如何从初始攻击点整合漏洞链,从而形成威胁到关键资产的攻击路径。
▶ 攻击向量
攻击向量是网络攻击者用来破坏系统的一种方法。尽管会有术语混用的情况,但攻击向量不能与攻击面混淆,攻击面一般定义为攻击者可尝试进入网络或系统的每个可能点。
攻击路径是攻击向量被攻击时发生的事件链的可视化呈现。从这个意义上讲,攻击向量充当门户,而攻击路径则是显示攻击者如何进入大门及其进入后的去向的地图。
恶意软件、勒索软件或网络钓鱼都是常见的攻击向量。尽管可以用云攻击向量来定位网络或系统中的安全漏洞,但向量也可以用来利用人为错误。
攻击者在进行攻击时常常会利用多个向量。将多种攻击技术组合,可以创建一个攻击向量;将多种攻击向量组合,可以创建一个攻击路径。重要的是,即便攻击向量的威胁已经减轻,也必须认识到它是存在的。例如,如果你没有意识到密码在暗网可获得,那么再强大的密码也将无济于事,密码最终会被攻击者利用来对付你。攻击路径管理平台的独特之处在于,它能够生成多种不同攻击技术的组合来创建单一攻击流,因此攻击技术的实际数量要大得多。
示例:如何组合攻击技术形成攻击向量
- 在多种凭证收集技术中选择一种使用
- 使用文件感染技术感染Office文件
- 使用Office漏洞技术来获取NTLM SSP
- 使用中继技术(如NTLM)中继此凭证并破坏资产
攻击向量示例
▌2021年度主流攻击技术
▶ TOP 12 攻击技术
- 23.7% 域凭证(利用受损凭证、传递哈希等)
- 14.2% 污染共享内容(文件共享问题、权限)
- 10.1% 组策略修改(域控制器妥协、滥用组策略)
- 9.5% 本地凭证
- 8.1% PrintNightmare漏洞
- 7.2% 凭证中继(中继攻击系列)
- 6% Exe Share Hooking(可执行文件的权限)
- 5.6% Microsoft SQL凭据
- 4.7% WPAD欺骗(中间人技术)
- 4.2% 可访问性(网络分段问题)
- 3.9% 凭据转储
-
2.8% 虚拟机上的Azure运行命令
▌如何在关键时刻消除风险
确定安全团队工作优先级的一个重要方法是确定攻击路径汇聚到关键资产的位置,并将修复工作的重点放在那里。网络攻击路径管理平台通过发现云和本地环境中关键资产的隐藏攻击路径,帮助企业在关键时刻切断它们,只需投入少量精力就可以消除风险。安全团队可以避免在收到无休止的警报时严重脱节,以及无法看到哪些暴露风险最大、它们如何被攻击者整合利用、或者如何有效消除风险等问题。
通过引导不同资源解决各个问题点,企业能够快速降低总体风险和潜在攻击路径的数量。塞讯验证可以帮助企业采取最精简的投入措施来实现对风险的最优防御效果。
▌2021年使用的新攻击技术
XM Cyber研究团队采用所有攻击技术,并将其分为三组:云技术,远程代码执行(RCE)以及将云和RCE攻击结合在一起的技术,以了解对受害组织的影响。
以上是组织需要关注并致力于在环境中消除的技术。当一种新的RCE技术出现时,近80%的组织可能会受到威胁,并且当与云技术结合使用在攻击路径中时,90%的组织可能会因其当前的安全状态而受威胁。如果有这么多漏洞可以轻易被利用,那么组织的补丁管理必定是低于标准且无效的。
▶ 验证过程范例
很快您就可以在“工作任务状态”中得到它的执行结果:
点击任务名称即可查看详细信息,如果被您的安全产品发现或阻断,则会显示出来,否则就会提示您无安全事件。
您可以选择一系列与凭证的传递、窃取、绕过等相关的实验进行执行,以验证您的安全防御手段是否对它们都有效。
参考来源:
https://info.xmcyber.com/hubfs/Attack%20Path%20Management%20Impact%20Report%202022%20_XM%20Cyber.pdf