2021年企业网络安全报告（英）

2021年报告“裸露”世界上第一份揭示如何暴露的企业网络确实是。 目录互联网、现代工作场所及其对攻击面的影响 3后续步骤 31 互联网、现代工作场所及其对攻击面的影响现代劳动力导致存在于受控网络（包括公司网络）之外的用户、设备和应用程序增加。因此，企业对“网络”的重视减少，对互联网作为企业结缔组织的依赖增加了。在可扩展性、可靠性和用户体验方面，利用互联网作为连接手段极大地使企业受益。它使医疗保健提供者可以通过 Zoom 继续治疗患者，并使教师能够为患者创建虚拟学习环境。他们的学生。虽然互联网帮助现代劳动力成为可能，但我们必须记住，它是一个不受信任的网络。由于远程工作人员和网络访问解决方案已成为网络犯罪分子利用的热门目标，因此其使用的显着扩展导致攻击面相应地大幅扩展。在最近的一项调查中，94% 的企业表示他们知道网络犯罪分子专门针对 VPN 和其他以网络为中心的技术来访问他们的公司网络（2021 VPN 风险报告），从而导致诸如 VPN 漏洞利用、Sodinokibi 和最近的 HAFNIUM MSFT Exchange 攻击。为避免成为受害者，IT 领导者必须消除暴露区域并确定可在 Internet 上发现哪些资源。对于 2021 年“暴露”报告，我们分析了 1,500 个组织的可见攻击面，以突出和识别影响所有地区和行业各种规模企业的攻击面趋势。我们希望这份报告将提高对公司可攻击表面的认识，并最终迫使组织采取措施减少它。©2021 Zscaler, Inc. 版权所有预订的。3 ©2021 Zscaler, Inc. 版权所有预订的。4报告调查结果本报告分析的时间跨度为 2020 年 2 月至 2021 年 4 月，首次了解了全球大流行期间远程工作对攻击面可能产生的影响。以下是我们通过分析发现的概述：潜在的 CVE 漏洞潜在的 SSL/TLS 漏洞暴露的服务器暴露的端口1,500 份报告公开的公有云实例暴露的命名空间©2021 Zscaler, Inc. 版权所有预订的。4 ©2021 Zscaler, Inc. 保留所有权利。发现的顶级 CVE全球报告发现总共暴露了 202,316 个潜在的 CVE 漏洞，并确定了 750 个独特的攻击。我们发现，平均而言，组织面临 135 个已知漏洞，每个漏洞都给业务带来潜在风险。在发现的 CVE 中，49% 被归类为“关键”或“高”严重性。五个最常见的 CVE我们发现包括：在 Apache hftpd 2.2.0 到 2.4.29 中，当生成 HTTP Digest 身份验证质询时，为防止回复攻击而发送的随机数没有使用伪随机种子正确生成。在使用通用摘要身份验证配置的服务器集群中，攻击者可以在服务器之间重放 HTTP 请求而不会被检测到。在 2.2.33 之前的 Apache hftpd 2.2.x 和 2.4.26 之前的 2.4.x 中，当发送恶意内容类型响应标头时，mod_mime 可以读取缓冲区末尾的一个字节。在 Apache HTTP Server 2.4.0 到 2.4.38 中发现了一个漏洞。当请求 URL 的路径组件包含多个连续的斜杠 (‘/’) 时，LocationMatch 和 RewriteRule 等指令必须考虑正则表达式中的重复项，而服务器处理的其他方面将隐式折叠它们。可能的 CRLF 注入允许对使用 mod_userdir 的站点进行 HTTP 响应拆分攻击。此问题已通过 2.4.25 和 2.2.32 中的更改得到缓解，这些更改禁止将 CR 或 LF 注入“位置”或其他出站标头键或值。已在 Apache HTTP Server 2.4.25 中修复（影响 2.4.1-2.4.23）。已在 Apache HTTP Server 2.2.32 中修复（影响 2.2.0-2.2.31）。在 Apache HTTP Server 2.4 版本 2.4.37 及更早版本中，mod_session 在解码会话之前检查会话到期时间。这会导致 mod_ session_cookie 会话的会话到期时间被忽略，因为在会话被解码时加载了到期时间。©2021 Zscaler, Inc. 版权所有预订的。512345 6可发现的 SSL/TLS 风险我们发现共有 95,742 台 Web 服务器支持使用过时且易受攻击的 SSL/TLS 协议，平均每家公司有 64 台过时的 Web 服务器。根据 NIST 指南，组织应该支持当前的协议，例如 TLSv1.2 或 TLSv1.3，以避免有害的中间人攻击。但是，我们发现这些服务器上支持的协议中有 47% 已经过时，包括对 SSLv3、SSLv2、TLSv1 和 TLSv1.1 协议的支持。暴露的服务器和端口的数量我们发现的最高暴露水平来自服务器，其中 392,298 台服务器可在 Internet 上发现并且可能存在漏洞。这意味着一个组织平均有 262 台服务器不仅暴露给坏人，而且暴露给整个互联网。此外，在这些服务器中，我们发现共有 214,230 个端口暴露在 68 个唯一端口上。三个最常暴露的端口是：端口 443 (HTTPS)56.8%端口 80 (HTTP)38.8%端口 22 (SFTP)1.98%毫不奇怪，具有 HTTPS 和 HTTP 流量的 Web 应用程序代表了绝大多数暴露的端口，贡献了近 96% 的端口暴露，其次是端口 22，它主要托管用于传输超文本和共享数据的安全外壳 (SSH) 服务。©2021 Zscaler, Inc. 保留所有权利。6 跨公共云提供商的曝光2020 年的事件要求许多组织转向云平台以获得规模和敏捷性，以支持新的移动劳动力。虽然公有云平台本身并不危险，但错误配置的云服务和资源会增加可见性和业务暴露的风险。该报告发现，这 1,500 家公司共有 60,572 个暴露在互联网上的公共云实例，平均每家公司有 40 个实例。公共云暴露主要出现在三个云平台上：Amazon Web Services (AWS)、Microsoft Azure Cloud 和 Google Cloud Platform (GCP)。以下是在公共云平台上发现的实例暴露总数的细分：AWS AzureGCP其他带走我们现在已经从高层次分析了全球攻击面趋势。下一个本报告的部分内容将更加集中这种暴露可能是由于多种原因造成的，例如简单的错误配置、启动没有 IT 知识的服务，或者长期遗忘或放错位置的实例。 IT 安全领导者需要在整个组织中拥有其公共云资产的使用权，并确保云服务遵循部署最佳实践以减少攻击面。按公司规模、地理位置和行业进入攻击面。©2021 Zscaler, Inc. 版权所有预订的。7 8按公司规模划分的攻击面为了根据公司规模确定攻击面趋势，我们将数据分为四个规模类别：专业（20,000 名员工）大型企业（6,000–20,000 名员工）企业（2,000–6,000 名员工）商业的（<2,000 名员工）47%大型企业12%商业的31%主要的10%企业我们发现，在我们的分析中，78% 的组织是专业或大型企业。©2021 Zscaler, Inc. 版权所有预订的。8 9按公司规模划分的 SSL 和 CVE 漏洞查看已知漏洞的平均数量，我们可以立即看到，到目前为止，主要公司的已实现 CVE 漏洞（201 个）以及潜在 SSL/TLS 漏洞总数（110 个）的平均值最高。虽然我们可以看到拥有 20,000 名员工的组织最可能存在漏洞，但我们也看到了公司规模与风险敞口之间的关系，而且这种关系非常显着。从大型企业到大型企业，CVE 数量增加了 51%，过时的 SSL/TLS 协议增加了 104%。按公司规模划分的潜在漏洞57544017133110201这些增长的原因之一很明显：大型和大型组织有更多的员工、更多的服务器和更多的应用程序需要管理，因此增加了攻击面并暴露于潜在漏洞。商业企业大的企业 主要的平均 SSL/TLS 漏洞 平均 CVE 漏洞相反，虽然较小的组织拥有较少的 IT 资源，但它们也 需要保护的员工和需要管理的服务器更少。带走公司规模是影响脆弱性风险的重要因素。由于攻击面的庞大规模，较大的公司有更高的风险可能性。©2021 Zscaler, Inc. 版权所有预订的。926 ©2021 Zscaler, Inc. 保留所有权利。按公司规模划分的平均服务器暴露主要的468大型企业209企业102商业的72按公司规模划分的平均公共云风险773917主要的大型企业12企业商业的©2021 Zscaler, Inc. 保留所有权利。大公司服务器曝光率高平均有 468 台服务器暴露，我们可以看到，专业细分市场再次出现明显高于大型企业和企业的平均值。虽然 468 是平均数，但 75% 的大公司暴露了 547 台或更少的服务器。这可能是因为专业拥有更多服务器来支持大量劳动力的高容量需求。另一方面，我们看到较小的商业公司仍然平均有 72 台暴露的服务器。考虑到商业公司的数量少于2,000 名员工。这意味着平均每 28 名员工（或更少）暴露一台服务器。在查看暴露在互联网上的公有云实例时，我们看到大公司的暴露量是大型企业、企业和商业公司的总和的两倍多，平均有 77 个公有云实例暴露。此外，数据显示，主要细分市场在三个主要云平台上都有互联网公开实例，其中 52% 的公开实例在 AWS 中，36% 的公开实例在 Azure 中，11% 的公开实例在 GCP 中。由于与其他细分市场相比，大型企业在云中的风险敞口更加多样化，这可能表明多云战略得到了更广泛的采用，这有助于扩大攻击面的广度。带走较大的公司往往在服务器和公共云实例上有更多的曝光率。此外，更大的公司似乎在公共云平台上有更多的采用，增加了额外的环境，这需要最小化。10 ©2021 Zscaler, Inc. 保留所有权利。111按地理位置划分的攻击面重要的是要了解不同地域的攻击面的影响。该报告包括来自 53 个国家/地区的公司的调查结果，这些调查结果被分为三个地理类别：AMS，包括北美和南美； EMEA，包括欧洲、中东和非洲的大部分地区；和亚太地区，包括亚洲、澳大利亚和太平洋岛国。医疗辅助系统59%欧洲、中东和非洲29%亚太地区12%我们的分布包括总部位于美洲的大部分组织，占 59%，其次是总部位于欧洲、中东和非洲的公司中的 29% 和总部位于亚太地区的公司中的 12%。然而，正如我们的调查结果显示的那样，超过 75% 的公司是大型企业或大型企业，这意味着虽然一家公司可能位于特定地区，但这些公司很有可能在全球开展业务。©2021 Zscaler, Inc. 版权所有预订的。11 112EMEA 公司具有最高的潜在 CVE 漏洞在这三个地区中，我们发现位于 EMEA 的公司拥有按地区划分的潜在 CVE 漏洞164潜在风险的最高平均值，有 164 个 CVE 漏洞。紧随其后的是 AMS，有 132 个 CVE（比 EMEA 低 20%）和 APAC，平均有 80 个 CVE 可能的漏洞（比 EMEA 低 51%）。在按国家/地区查看 CVE 时，我们发现芬兰的平均水平最高，有 355 个潜在 CVE 漏洞，其次是巴西，有 300 个，意大利有 257 个。以及事实132平均：1358010 个最大的暴露国家中有 7 个来自 EMEA 地区。欧洲、中东和非洲 AMS 亚太地区带走虽然总部位于 EMEA 的公司拥有最高的潜在 CVE 漏洞，但每个地理区域每个组织的平均漏洞仍然超过 135 个。企业，尤其是位于 EMEA 的企业，应考虑采用安全最佳实践，包括定期盘点已安装的软件产品并评估其环境中已识别的漏洞。©2021 Zscaler, Inc. 版权所有预订的。12 ©2021 Zscaler, Inc. 保留所有权