2022年攻击路径分析报告:4步以内即可破坏企业94%的关键资产!

XM Cyber研究团队分析了200万个存在于本地、多云和混合环境中的端点、文件、文件夹和云资源,仔细研究了攻击路径的方法,揭示了攻击者如何利用它向受害者的关键资产发起攻击。
XM Cyber研究团队分析了200万个存在于本地、多云和混合环境中的端点、文件、文件夹和云资源,仔细研究了攻击路径的方法,揭示了攻击者如何利用它向受害者的关键资产发起攻击。
关键结论
● 仅需要4个跃点,攻击者就能从初始攻击点破坏94%的关键资产

● 组织在当时的安全状态下75%的关键资产可能已经被损害

● 73%的顶级攻击技术涉及到管理不善或被窃取的凭证

● 组织中95%的用户拥有长期访问密钥,密钥可能被暴露,给关键资产带来风险

● 每当有新的RCE(远程代码执行)技术时,78%的企业都可能受到威胁

● 75%的组织拥有面向外部的EC2机器,对关键资产构成风险

● 如果知道从哪里中断攻击路径,需要修复的问题可减少80%

▌攻击路径方法论

XM Cyber通过两个主要因素来确定关键资产受损的可能性,即攻击的复杂性以及攻击者需要多少跃点才能到达关键资产

▶ 攻击的复杂性

攻击路径复杂性由许多因素决定,包括所需要的先决条件、时长、访问权限以及攻击者从漏洞到达关键资产所需要的步骤数。在攻击路径中的每一步,攻击者都会使用一种技术来破坏所攻击的实体,并且利用该实体在通往目标的路上再去跨越到路径中的下一个实体。

根据攻击路径的复杂性可以确定处于当前安全状态的组织中,有多少关键资产可能受到损害:

在攻击路径管理出现之前,并没有任何有效的方法来识别并打破攻击链中的关键点,大部分资产都可能受到损害。因此,企业需要从攻击者的角度清楚地了解整个环境。仅仅监控威胁和警报是不够的,更重要的是了解环境中漏洞的来龙去脉,以及这些漏洞为攻击者所提供的攻击路径。这是通过对环境的深入分析来实现的,只有这样,我们才能够确定消除或减少组织风险所需的步骤。

▶ 资产受损所需的跃点数

跃点的定义——攻击者从攻击点到破坏关键资产所采取的步骤数量。每个跃点使用一种攻击技术。

94%的关键资产在4个跃点以内就会从初始攻击点受到破坏。

绝大多数攻击并不仅仅满足于一个跃点所能触及的组织关键资产。攻击者在网络传播阶段试图将漏洞联结起来以破坏关键资产,我们则可以利用攻击路径管理来查看他们的连接技术,并在关键时刻切断它们。在短短4个跃点中,攻击者就能破坏94%关键资产,那么再增加一两个跃点,他们就可以破坏掉100%。值得注意的是,传统的破坏和攻击模拟解决方案只能检查鼓励的攻击路径中的一个跃点,而攻击路径管理平台则可以模拟整个环境中的全部攻击路径。


什么是攻击路径

为了有效保护资产,企业首先要认识到什么是关键资产,它包含了虚拟服务器、数据、功能、或是企业拥有的其他类别的技术资产。攻击路径管理技术可以让企业轻松准确地查看到攻击者如何从初始攻击点整合漏洞链,从而形成威胁到关键资产的攻击路径。

▶ 攻击向量

攻击向量是网络攻击者用来破坏系统的一种方法。尽管会有术语混用的情况,但攻击向量不能与攻击面混淆,攻击面一般定义为攻击者可尝试进入网络或系统的每个可能点。

攻击路径是攻击向量被攻击时发生的事件链的可视化呈现。从这个意义上讲,攻击向量充当门户,而攻击路径则是显示攻击者如何进入大门及其进入后的去向的地图。

恶意软件、勒索软件或网络钓鱼都是常见的攻击向量。尽管可以用云攻击向量来定位网络或系统中的安全漏洞,但向量也可以用来利用人为错误。

攻击者在进行攻击时常常会利用多个向量。将多种攻击技术组合,可以创建一个攻击向量;将多种攻击向量组合,可以创建一个攻击路径。重要的是,即便攻击向量的威胁已经减轻,也必须认识到它是存在的。例如,如果你没有意识到密码在暗网可获得,那么再强大的密码也将无济于事,密码最终会被攻击者利用来对付你。攻击路径管理平台的独特之处在于,它能够生成多种不同攻击技术的组合来创建单一攻击流,因此攻击技术的实际数量要大得多。

示例:如何组合攻击技术形成攻击向量

  1. 在多种凭证收集技术中选择一种使用
  2. 使用文件感染技术感染Office文件
  3. 使用Office漏洞技术来获取NTLM SSP
  4. 使用中继技术(如NTLM)中继此凭证并破坏资产

攻击向量示例

上述每个步骤均可用其他技术代替。许多攻击技术已被映射并与MITRE的对抗性战术、技术和常识(ATT&CK)框架保持一致。

2021年度主流攻击技术

每个云提供商都有各自不同且通常很复杂的配置来授予对服务和资源的访问和授权。为每个用户划定确切的角色和适当的权限级别可能既困难又耗时。云提供商内部的权限是细粒度且复杂的,当开发人员或运营商寻求捷径或迫于时间限制时,通常会抑制最低权限方法。例如,在创建具有EC2实例权限的自定义策略时,授权每个可能需要访问的用户或许很耗时,但授予整个组权限则快得多。

▶ TOP 12 攻击技术

  • 23.7%  域凭证(利用受损凭证、传递哈希等)
  • 14.2%  污染共享内容(文件共享问题、权限)
  • 10.1%  组策略修改(域控制器妥协、滥用组策略)
  • 9.5%    本地凭证
  • 8.1%    PrintNightmare漏洞
  • 7.2%    凭证中继(中继攻击系列)
  • 6%       Exe Share Hooking(可执行文件的权限)
  • 5.6%    Microsoft SQL凭据
  • 4.7%    WPAD欺骗(中间人技术)
  • 4.2%    可访问性(网络分段问题)
  • 3.9%    凭据转储
  • 2.8%    虚拟机上的Azure运行命令
73%的主流技术涉及管理不善或被窃取的凭证,27%的主流技术涉及漏洞或配置错误。
强大的补丁管理可以减少攻击向量并防止漏洞被利用。此外,通过使用操作系统本身的安全功能,如用户身份验证,可以防止大量滥用各种凭证问题的攻击向量。企业不仅应该关注漏洞,认为修补CVE可以解决所有问题并阻止横向移动是一种错误的想法。研究表明,近30%的攻击者利用错误配置和凭证来攻破和威胁组织。
漏洞来来去去,很容易修补;凭证会一直存在,但更难解决。云中的主要攻击向量是错误配置和过度的访问授权,攻击者可以利用这些访问来获取关键资产。攻击路径管理可以帮助识别结合在一起授权攻击者访问云的风险。

▌如何在关键时刻消除风险

确定安全团队工作优先级的一个重要方法是确定攻击路径汇聚到关键资产的位置,并将修复工作的重点放在那里。网络攻击路径管理平台通过发现云和本地环境中关键资产的隐藏攻击路径,帮助企业在关键时刻切断它们,只需投入少量精力就可以消除风险。安全团队可以避免在收到无休止的警报时严重脱节,以及无法看到哪些暴露风险最大、它们如何被攻击者整合利用、或者如何有效消除风险等问题。

在近200万个研究实体中,平均只有5个实体为近58%的关键资产带来风险。

通过引导不同资源解决各个问题点,企业能够快速降低总体风险和潜在攻击路径的数量。塞讯验证可以帮助企业采取最精简的投入措施来实现对风险的最优防御效果。


2021年使用的新攻击技术

2021年使用的新攻击技术揭示了攻击面的范围以及高级持续性威胁(APT)的使用方式。APT攻击通常结合多种技术来破坏目标。

XM Cyber研究团队采用所有攻击技术,并将其分为三组:云技术,远程代码执行(RCE)以及将云和RCE攻击结合在一起的技术,以了解对受害组织的影响。

32%的组织会通过新型云技术受到威胁,78%的组织会通过新型RCE技术受到威胁,90%的组织会通过新型云和RCE攻击结合的技术受到威胁。

以上是组织需要关注并致力于在环境中消除的技术。当一种新的RCE技术出现时,近80%的组织可能会受到威胁,并且当与云技术结合使用在攻击路径中时,90%的组织可能会因其当前的安全状态而受威胁。如果有这么多漏洞可以轻易被利用,那么组织的补丁管理必定是低于标准且无效的。


尽管攻击路径的成功率如此之高,却并非势不可挡。面临这些问题时,塞讯验证可以帮助您模拟这些Top攻击技术以验证您的安全防护产品是否能够检测或阻挡这些攻击。

▶ 验证过程范例

在塞讯验证的主控端平台中选择您需要模拟的攻击技术,然后点击“运行”,选择好执行的受控端,点击“立即执行”,简单安全,轻松完成第一步。

很快您就可以在“工作任务状态”中得到它的执行结果:

点击任务名称即可查看详细信息,如果被您的安全产品发现或阻断,则会显示出来,否则就会提示您无安全事件。

您可以选择一系列与凭证的传递、窃取、绕过等相关的实验进行执行,以验证您的安全防御手段是否对它们都有效。


通过了解在何处中断攻击路径,可以减少80%需要修复的问题。
80%的企业都或多或少存在安全问题,但他们可能并没有真正面临风险或遭受攻击。然而安全团队仍然集中时间和资源来解决这些问题,这就造成了大量的浪费,也使得安全团队的精力没有聚焦于真正重要的部分。
了解攻击路径、攻击向量以及通过攻击路径管理将风险降至最低,这是安全团队的首要任务。看不见的东西很难被防御,因此攻击路径的可视化有着极大的意义,它帮助企业发现风险路径以及安全资源的使用情况,实现资源的有效再分配,从而保护企业的关键资产。
塞讯安全度量验证平台针对最新威胁全天候持续安全地运行模拟场景,帮助客户找出攻击路径上防御的短板,节省分析人员成本,从而以最低的成本实现最大化的防御效果。

参考来源:

https://info.xmcyber.com/hubfs/Attack%20Path%20Management%20Impact%20Report%202022%20_XM%20Cyber.pdf