导航风险路径 ： 2024 年的暴露管理状况

2024 年暴露管理状况 目录 执行摘要 3 关键发现 4 测量安全姿势 5 测量安全姿势5攻击路径入门7 9枚举风险 10组织比较的融合点13 15Finding & Categorizing Exposures 18IT / 网络设备中的风险敞口 23云环境中的风险敞口 27Active Directory 中的风险 Conclusion 29 31 附录 A ： 按部门划分的 执行摘要 如果你能够识别出组织面临的所有网络攻击风险点，理解对手将如何利用这些风险点，并优先考虑整改措施以最有效地降低风险，该报告正是关于这一点。 这份报告呈现了2023年通过XM Cyber连续暴露管理（CEM）平台进行的数十万次攻击路径评估中获得的关键见解。这些评估发现了超过4000万个暴露点，影响了被认为对业务运营至关重要的1150万个实体。来自XM Cyber平台的数据进行了匿名处理，并提供给Cyentia研究所进行独立分析，以生成后续页面中的见解。 每个人都在谈论曝光管理 暴露管理似乎成为了当前everyone热议的话题，但定义什么是暴露管理以及如何最好地实施持续威胁暴露管理（CTEM）框架仍然引起了一些混淆。 旨在摆脱无尽漏洞列表带来的痛点，组织开始采纳声称能够提供更广泛的风险类型覆盖以及额外上下文以帮助优先级排序和风险分析的技术。然而，这些上下文仍然往往局限于每个单独的资产，或者仅限于入侵风险，即哪些资产最有可能成为被攻击的点。 在XM Cyber，我们已经提供了超过8年的由XM攻击图分析™支持的整体暴露管理服务。我们再次自豪地将这些研究成果凝聚成年度《暴露管理状态》报告的第三版。我们希望这些见解能为贵团队在未来一年的重要使命提供支持。 我们在下一页介绍今年分析的一些亮点。 主要发现 一个尺寸不适合所有管理风险敞口。 糟糕的网络卫生困扰着端点的安全。 曝光管理不仅仅是 CVE 。 组织通常在其环境中面临大约15,000个可被攻击者利用的暴露点。传统的基于CVE的漏洞仅占其中不到1%，而对关键资产的所有暴露点的11%。 79%的组织在网络中多个机器上存在缓存的域名凭证或本地凭证时遇到了问题。尽管大多数组织使用EDR（91%），仍有超过四分之一的设备通常未被覆盖。 金融公司在数字资产的管理上平均比能源 sector 高出 5 倍，但在后者中，影响关键资产的比例高出了 21 倍。 云环境不是免除风险暴露。 有效曝光管理需要整合攻击路径建模。 曝光管理不能是一次性或年度项目。 这是一个不断变化且持续的过程，旨在推动改进。与低姿态得分组织相比，高得分组织的安全暴露风险少六倍（分别为3万次和5千次）。更糟糕的是，随着时间的推移，这两者之间的差距逐渐拉大。 超过一半（56%）的关键资产暴露在云平台上。此外，在70%的组织中，攻击者可以从本地环境穿越到云环境，并且在仅两跳的情况下就可攻陷93%的关键资产。 XM攻击图分析™指出，2%的暴露点位于汇聚攻击路径的“瓶颈点”，对手可以利用这些点达到关键资产。最差安全态势组织与最佳安全态势组织之间的“瓶颈点”比例相差20倍。 身份和凭据问题代表一个巨大的暴露攻击表面。 活动目录通常占组织识别出的所有安全漏洞的80%，以及占其导致关键资产面临风险的问题的三分之一。 测量安全姿势 组织仍在努力全面了解风险状况 我们将soon深入分析攻击路径，但在开始之前，让我们首先通过整体评估组织风险暴露来设定背景。XM态势得分™提供了这样的视角。 网络风险不能是一次性或年度项目。这是一个不断变化的 ， 持续的过程来推动改进。 XM Cyber 评估各种攻击场景下对关键资产的风险，每个场景都会得到一个0到100的分数。该分数基于该场景中通往关键资产的路径数量和复杂性。较低的分数表示由于存在众多较短且简单的攻击路径，风险较高。较高的分数则表示相反的情况；关键资产更不易受到攻击。所有场景的分数平均值被用来得出组织的整体安全评分。 XM 姿势评分 图1展示了截至2023年最新评估时各组织的安全态势得分分布情况。得分最高的25%的组织用蓝色表示，可以被视为表现优异的组织。得分最低的25%的组织用红色表示。中间50%的组织则用淡色表示，以更突出顶级和底部表现者的对比。所有组织的中位数得分为79分。 “截至他们最新评估”的说明提出一个重要的观点——安全评分不是随着时间而固定的。如图2背景中褪色的线条所示，随着环境变化和不断演变的攻击场景导致关键资产风险的变化，这些评分会上下波动。高分和低分组织的移动平均值在一段时间内相对稳定，但随着时间的推移逐渐拉开差距。高分组织在一年内显示出稳步改善的趋势，而低分组织则呈现下降趋势。 该部分最终的图表非常直观地提醒我们，管理网络安全风险不能仅被视为一项一次性或年度项目。它是一个不断变化、持续的过程，旨在推动改进。在下一节中，我们将深入探讨我们承诺的攻击路径细节。 XM 网络收获和建议 从结果来看，显然安全工作永无止境。然而，当有效实施时，连续威胁暴露管理（CTEM）方法可以对整体安全状况产生积极影响。在整个2023年，我们在更为成熟和稳定的客户基础中看到了XM态势评分™的积极改善。正如您在报告后面的章节中所看到的，这些态势改善与一些常见的安全改进趋势密切相关，例如暴露减少、关键攻击路径上的瓶颈数量减少了20倍，从而成功关闭了通往关键资产的攻击路径。所有这些都是全球范围内安全专业人士和CISO的关键驱动力和目标，正如我们在调查报告中所概述的那样：2024 年的国家安全状况。 攻击路径入门 组织面临不断存在的网络攻击威胁，这些攻击可能危及关键资产、窃取数据或扰乱业务运营。尽管这些网络攻击不断演变，但它们通常遵循一套逻辑步骤，即所谓的“杀伤链”，这为攻击者或恶意行为者提供了有效结构，以突破组织的防御。虽然“杀伤链”代表了攻击的各个阶段，但“攻击路径”一词指的是攻击在您的网络中所采取的逻辑路径以及绕过您不同安全防护措施的路径，以便执行其“杀伤链”并最终达到针对关键业务资产和系统的最终目标。 攻击路径由多种不同实体类型之间的个体跳点组成，跨越企业基础设施的所有部分。它们从网络边缘设备和边界防御开始，横向传播通过校园内的笔记本电脑、桌面计算机和工作站。它们可以从物理层扩展到虚拟和云实体，甚至可以跨越数据平面、控制平面和管理平面，并再次返回。攻击路径不仅由不同的设备类型形成，还可以利用扩展的实体类型，如软件应用、Kubernetes集群、用户凭据、API令牌和其他身份类型。 由于涉及广泛的实体类型和基础设施层，很难真正理解各种攻击路径所带来的风险。仅考虑一种暴露类型，例如漏洞（CVEs），或一种基础设施层，例如云，会严重限制您全面了解攻击面的可利用性和潜在攻击路径的能力。 为了应对这一挑战，攻击路径建模是暴露管理所需的基础方法之一。它帮助网络安全防御者和安全利益相关方识别并映射威胁行为者可能采取的潜在途径，以利用漏洞、错误配置和薄弱的安全态势来攻击关键资产。 但是为什么要将这个模型限制为只有一个攻击路径呢 ？ XM Cyber 自成立以来率先采用了攻击路径建模（Attack Path Modeling）来管理暴露风险。然而，要真正全面地了解攻击者可能以所有方式渗透您的组织，您需要从整体视角和全面状态来审视所有的攻击路径。 XM 攻击图分析简介™ XM 攻击图分析 ™给你清晰简洁的暴露情报，这些情报基于从云端到核心的所有暴露点 的上下文洞察构建，并精确指出攻击路径交汇的关键点，这些交汇点对业务运营构成最严重的风险。这有助于安全和IT团队优先处理整改工作，并协作以积极影响安全态势并降低网络安全风险。 理解攻击路径与关键资产之间的关系和背景对于降低风险至关重要。通过可视化XM攻击图分析™中的所有可能攻击路径，平台可以关联所有验证过的攻击路径，从而唯一地识别出攻击路径交汇的关键交点。扼流点并将它们突出显示为这给你的关键资产带来了最有影响力的风险。 通过识别安全状况最弱且最具可利用性的实体，我们可以评估入侵风险和组织最有可能被突破的点。我们的攻击场景持续计算从突破点到关键资产的所有潜在攻击路径。这反过来允许采用更验证的方法进行风险优先级排序，报告攻击者可能利用的所有攻击战术、技术和流程（TTPs），以利用每个实体沿攻击路径的具体暴露点。 本报告中展示的分析和统计均为基于XM攻击图分析™所得，利用特定暴露类型或攻击手法（TTP）呈现的关键资产风险的关键指标。 我们的先进路径建模方法为您提供所需的情境，以更快、更自信地决策您的暴露风险概况，并确定重点整改的领域。继续阅读本报告，获取来自XM攻击图分析™的独特见解。 枚举暴露 从另一个经验教训攻击年份图分析 收集自XM攻击图分析™的数据持续指出，每一家组织面临的核心网络安全挑战是：防御方需要修复的问题太多，而攻击方利用这些漏洞的方式又太多。即使是最好的团队也会感到不堪重负。 “Overwhelmed”的说法比较模糊，因此我们在图4中给出了具体的数字。我们通常会识别出每个组织每月有大约15,000个安全暴露点，这些暴露点可能被攻击者利用（这是总体中位数）。而在整体安全态势评分较高的组织中，中位数仅为5,100个，而低评分的组织则面临的是后者的六倍数量！ 实体：攻击者可以在其中利用以推进攻击路径至关键资产的任何终端点、工作站、服务器、身份、访问令牌、云资源等。 暴露：暴露是由可应用于这些技术的技巧和实体组成的组合。它们实际上列出了攻击者可用的各种选项。 收敛点 Rather than 对待所有暴露风险同等对待，一个更为可管理的方法是识别出代表最高风险的一小部分问题，并优先对这些风险进行整改。大多数（74%）影响组织的安全暴露风险处于“死胡同”状态，这些状态限制了攻击者向关键资产横向移动的能力。 大多数74%暴露会导致死胡同。 然而，少量的暴露点却影响着关键资产，并且代表了“瓶颈点”，对手可以通过这些点进行联合攻击路径的攻击，从而扩大并深化其对目标环境的访问。防御方也可以针对这些相同的瓶颈点来更高效和有效地降低风险。 这个概念在图5中有所体现，该图代表了典型的商业攻击面。瓶颈点和直接暴露的关键资产用黄色和红色突出显示，在所有暴露点的海洋中尤为显眼。我们特别区分红色部分，因为大约每五个瓶颈点中就有一个暴露了组织中10%或更多的重要资产。攻破这些点会为攻击者打开严重影响的大门。在安全整改待办事项列表中，解决这些问题应位居首位。 图5：典型攻击面的示意图，显示了所有已识别暴露点（灰色方块）中“瓶颈点”的比例（黄色和红色方块）。 我们的上一份报告将组织中瓶颈点与暴露点的典型比例定为约2%。在中间年份，我们对一个显著更大的组织群体进行了数万次额外评估，重新确立了类似的比例（1.5%）。 2% 我们有责任强调，这并不意味着剩余的大多数暴露点不重要或不应被修复。这些是安全问题，确实能使攻击者在环境中持续存在。然而，整改必须从某个地方开始。因此，我们建议首先关注最重要的暴露点——显然，这些是通向关键资产的瓶颈。这就是XM Cyber在风险管理方面的方法的力量——通过最大程度减少努力来实现最大的风险降低效果！ 对暴露点的影响可能会影响关键资产，并且可能代表对手可以利用以扩大和拓宽其访问权限的交汇攻击路径瓶颈。 除了基于最新数据更新瓶颈点统计数据外，我们还觉得探索各企业之间存在的差异性是非常有启发性的。图6中的每个点表示某个月份内组织的实体（X轴）和瓶颈点（Y轴）。总体趋势在不同数量的实体存在时仍然相当稳定，但各组织之间的瓶颈点比例却存在显著差异。 实际上，这意味着一些组织将比其他组织显著更难（或更容易）有效地阻止攻击传播。这并不令人惊讶，因为每个环境包含的不同资产、数据、配置、控制措施等各不相同。这进一步强调了了解自身环境并理解其相对于攻击者造成危害的能力而言的优势和劣势的重要性。 为了了解如何通过验证暴露情况来监控、评估并降低您的组织面临的