5月17日,多个国家网络安全当局发布的联合安全公告揭示了网络攻击者最常利用的十大攻击媒介。
该公告由美国、加拿大、新西兰、荷兰和英国的机构联合发布,并提供了缓解这些经常被利用的弱安全控制、糟糕的安全配置和不良安全实践的指导。
“攻击者经常利用糟糕的安全配置(配置错误或不安全)、薄弱的控制和其他不良网络习惯来获得初始访问权限,或作为其他策略的一部分来破坏受害者的系统,”联合咨询中写道。
攻击者最喜欢使用一些技术来获得对受害者网络的初始访问权限,包括利用暴露在互联网上的应用程序、利用面向外部的远程服务、网络钓鱼、滥用组织对其合作伙伴的信任以及使用被盗凭证。
攻击者在使用上述网络破坏技术时所针对的10个主要初始访问向量如下:
- 未强制执行多因素身份验证(MFA)。MFA,尤其是远程桌面访问,可以帮助防止帐户接管。
- 特权或权限应用不正确,访问控制列表中出现错误。这些错误可能会阻止执行访问控制规则,并可能允许未经授权的用户或系统进程访问对象。
- 软件不是最新的。未打补丁的软件可能允许攻击者利用众所周知的漏洞来访问敏感信息、发起拒绝服务攻击或控制系统。
- 使用供应商提供的默认配置或默认登录用户名和密码。许多软件和硬件产品“开箱即用”,出厂默认配置过于宽松,旨在使产品更加人性化,减少客户服务的故障排除时间。
- 远程服务,例如虚拟专用网络(VPN),缺乏足够的控制来防止未经授权的访问。近年来,已经观察到针对远程服务的恶意攻击者。
- 未实施强密码策略。攻击者可以使用多种方法来利用弱密码、泄露密码或受损密码,未经授权访问受害系统。
- 云服务不受保护。配置错误的云服务是网络攻击者的常见目标。糟糕的配置可能会导致敏感数据被盗,甚至是加密劫持。
- 开放的端口和错误配置的服务暴露在互联网上。这是最常见的漏洞之一。网络攻击者使用扫描工具来检测开放端口,并经常将其用作初始攻击向量。
- 未能检测或阻止网络钓鱼尝试。网络攻击者发送带有恶意宏的电子邮件(主要是Microsoft Word文档或Excel文件)来感染计算机系统。
- 端点检测和响应不佳。网络攻击者使用模糊的恶意脚本和PowerShell攻击绕过端点安全控制并对目标设备发起攻击。
▌降低违规风险的最佳实践
该联合公告还提供了缓解上述问题的实践建议,包括使用控制访问、强化凭据(包括MFA和更改默认密码)、集中式日志管理以及防病毒和检测工具(入侵检测和预防系统)。
公告还建议组织始终确保面向公众的服务使用安全配置,并通过补丁管理程序保持软件更新。
对于用户来说,更新虚拟补丁后,无法快速验证虚拟补丁在面对真实攻击时的有效性。塞讯验证可及时发布最新攻击验证库,帮助用户快速验证。
官方补丁发布后,很多用户由于各种原因不能在第一时间修补,塞讯验证也能够帮助用户持续验证安全防御手段的防御效果,不给攻击者利用此漏洞的机会,保障业务应用安全运行。
| 参考来源
https://www.bleepingcomputer.com/news/security/cybersecurity-agencies-reveal-top-initial-access-attack-vectors/