核心观点与关键数据
- 网络威胁现状:60%的新恶意软件包含针对Active Directory的特定代码;92%的企业在2020年遭遇过至少一次影响业务运营的网络攻击;92%的利用漏洞的攻击归咎于疫情期间的技术途径;74%的针对性攻击利用已存在一年多的漏洞。
- 漏洞趋势:2021年公布的漏洞数量超过20K,其中42%为低危,43%为中危,13%为高危,42%为严重。每起重大信息泄露或勒索事件都与暴露面缺陷及AD风险相关。
- 常见攻击路径:勒索软件攻击常见路径包括钓鱼活动、暴力破解、漏洞利用、初始端点中招、本地权限获取、横向移动、特权帐户凭证、AD特权升级、业务资源篡改、侧通道渗出数据、目标识别。
- 漏洞利用分析:2021年顶级恶意软件相关利用的17个漏洞中,14个在微软产品中,9个可能导致代码执行,除4个外,其余所有漏洞发布都超过两年,最老的漏洞在2015年就有补丁,仅1个是特权提升漏洞。
- 安全可见性重要性:了解安全风险是基本价值命题。安全工程师对AD安全问题关注不足,而黑客关注度高。数据泄露/勒索攻杀链分析显示,安全风险暴露是关键环节。
安全框架与建议
- 安全框架:安全应覆盖事前(暴露管理)、事中(保护)、事后(检测与响应)三个阶段。暴露管理是关键,需了解自身暴露在哪里、如何确定优先级、如何降低风险。
- Gartner建议:优先基于持续暴露管理计划(CTEM)进行安全投资,可降低三倍入侵风险。主要发现包括:零日漏洞入侵少见;漏洞管理难以跟上组织发展;仅靠优先级列表无法动员非安全团队;需动态保持安全态势。建议通过统一方案管理暴露面、建立定期流程(范围确定、发现、优先级、验证、动员)、利用新兴领域(攻击面管理、安全态势验证)、集成自动化修复与跨团队协作。
具体安全领域关注点
- 漏洞管理:需关注漏洞扫描不等于漏洞管理、主机+Web应用全量漏洞风险、基于漏洞情报的修复优先级分析、自动化整合能力(SIEM/CMDB/WF)。
- 外部攻击面管理(EASM):需关注构建全量外部攻击面视图、关联已知及未知外部资产、识别业务类型及状态、深度脆弱性评估。
- 域控制器安全(AD Security):需关注全量AD错误配置及风险发现、全量攻击路径发现、轻量级部署、AD安全事件回溯能力。
- 产线安全(OT Security):需关注全量IT/OT资产追踪、漏洞管理、流量威胁/异常检测、工业配置审计、风险可视平台与NGFW联动。
解决方案提供商
- TENABLE提供漏洞风险管理、外部攻击面管理、微软域控安全、云原生安全、工业网络安全可视化等解决方案。
