近日,Skybox Security发布《2022年脆弱性和威胁趋势》报告,对2022年的脆弱性和趋势进行了总结和分析。网络安全团队正在防御更大、漏洞更多的边界以抵御越来越多的威胁,同时还要应对指数级增长的复杂性和更严格的资源限制。网络安全企业必须超越现状,采用新一代工具和技术,将剧本从救火转变为预防,从体力劳动转变为自动化效率,从分散的短期修复系统、全面和持续地降低风险。
主要发现
新增漏洞创历史新高
2021年发布了 20,175个新漏洞,高于 2020年的 18,341个。这是有史以来报告的漏洞数量最多的一年,也是自2018年以来的最大同比增幅。新漏洞增加了一个巨大的累计总数,使得安全团队比以往任何时候都更难确定问题的优先级和补救措施。
OT漏洞翻倍
运营技术中的漏洞猛增88%,从 2020年的 690 个增加到2021 年的1,295 个。与此同时,OT资产越来越多地连接到网络,使关键基础设施和其他重要系统面临潜在的破坏性破坏。对OT 系统的攻击有所增加突然中断操作,甚至危及健康和安全。
Cryptojacking和勒索软件引领新的恶意软件生产 恶意软件行业继续生产各种恶意软件,特别是加密劫持和勒索软件程序,分别增长了75% 和42%。这些程序使威胁行为者更容易发动攻击并快速获利。它们展示了恶意软件开发人员如何灵活地应对新的市场机会和经济激励措施。
攻击者提升漏洞利用时效
在野被利用的新漏洞数量增加了24%。这表明网络犯罪分子现在正以多快的速度利用新的弱点,缩小安全团队在攻击前检测和解决漏洞的时间。
新漏洞创纪录增长
2021年新增漏洞数量创历史新高,首次突破2万个。总体而言,2021年发布了 20,175个 CVE(常见漏洞和暴露),比2020 年增长了10%。这是自2018 年以来的最大跃升。下半年增长有所增加,发布了10,723 个CVE,是我们发布的最多的在六个月的时间里见过。
技术变革步伐的加快在很大程度上助长了漏洞的不断增加。近年来,在数字化转型和云迁移的背景下,企业一直在狂热地改造其IT系统。在新冠大流行期间,由于公司急于支持远程工作人员和全职客户,这一过程变得超速运转。快速重组引入了新的安全漏洞,团队发现并关闭它们的速度要快得多。Gartner 估计,“新技术的风险增加了25 个百分点,与新冠时代的数字加速和新技术、服务和资产的快速采用和整合。
尽管IT 方面的情况令人担忧,但OT 方面的情况更加不稳定。OT 产品的数量,尤其是物联网(IoT)产品企业使用量猛增,相关漏洞相应攀升。此外,许多以前气隙式OT 系统现在已连接到网络并暴露在没有足够保护措施的外部威胁之下。
过去五年新增漏洞数量
新漏洞通过受损代码库和其他构建块传播
过去十年漏洞增长情况
包括流行的开源软件,在软件供应链中使用。其中一些漏洞是无意的缺陷;其他人则被威胁行为者故意植入以用于后续攻击,这种策略被称为“投毒”。易受攻击的组件被整合到广泛的企业软件中,开发人员和客户未发现。 2021 年 12 月发现并影响数百万系统的 Log4Shell 漏洞就是一个示例,说明开源软件中的无意缺陷如何造成灾难性后果。新漏洞虽然令人担忧,但只是冰山一角。过去 10 年发布的漏洞总数在 2021 年达到 166,938 个;
十年间增长了三倍。这些累积的漏洞年复一年地堆积起来,代表着巨大的总体风险,它们让组织在“网络安全债务”中苦苦挣扎。正如 美国网络安全和基础设施安全局(CISA)在其列表中强调的那样“最常被利用的漏洞”,威胁参与者经常攻击过去几年公开披露的漏洞;
在一些大型企业中安全团队不可能隔离和修补所有这些问题。相反,需要关注暴露的漏洞,如果被利用,可能会导致严重的业务影响;
攻击者和漏洞利用正在迅速发展
在漏洞增加的同时,整个威胁形势正在迅速演变。网络犯罪已成为一个庞大而繁荣的行业,拥有庞大的专业商品和服务生态系统,旨在支持和协助威胁行为者和各种攻击,以及广泛的基础设施,以促进秘密通信、协作和金融交易。
网络犯罪分子变得越来越多样化。一方面,民族国家行为者正在使用网络攻击作为一种武器来对抗地缘政治对手。随着俄罗斯入侵乌克兰后国际紧张局势升温,一个由国家支持的攻击愈演愈烈的新时代可能会到来。就在身边。俄罗斯黑客此前曾多次将乌克兰作为目标,可追溯到2015 年,当时乌克兰电网遭到攻击切断了230,000 名客户的电力供应。当前的冲突让专家们考虑了全面网络战的可能性。CISA采取威胁攻击升级如此严重以至于它最近发布了罕见的“屏蔽”警告,建议“所有企业在网络安全和保护其最关键资产方面都采取了更高的姿态。”
另一方面,网络犯罪正在吸引越来越多受经济激励驱动的草根运营商。利用加密货币劫持和勒索软件等漏洞快速赚钱的做法让人难以抗拒,尤其是在世界上工资低、合法职业机会少之又少的地区。易于使用的漏洞利用工具包和恶意软件即服务(MaaS)使非专家也能非常简单地进入游戏并开始获得经济回报。创新工具不仅使网络犯罪更容易获得;它们还使复杂性和隐蔽性达到了新的水平。近年来,旨在促进复杂的多阶段活动和难以检测的恶意软件数量稳步上升无文件攻击(恶意代码直接注入内存,而不是安装在硬盘上)等漏洞利用。
示例
零日攻击:利用 Microsoft Exchange Server 中的漏洞,影响数以万计的组织;
供应链攻击:针对 SolarWinds 和 Kaseya 的 IT 软件的供应链攻击。 SolarWinds 攻击影响了大约 18,000 个组织,而 Kaseya 攻击影响了大约 800-1,500 家企业;
基础设施攻击:包括 Colonial Pipeline 勒索软件攻击在内的重要基础设施攻击中断了美国东南部的燃料供应;
OT漏洞激增
与2021 年整体漏洞的增加一样显着,专门分配给OT 产品的漏洞增长得更快。这个数字差不多翻了一番,从2020 年的690 起增加到2021 年的1,295 起。此外,CISA发布的OT 咨询数量跃升了54%。
OT产品的市场领导者西门子占报告漏洞的40%,2021年有518 个CVE。这可能部分是因为西门子的产品线更广泛,或者可能是因为公司在发现和披露漏洞方面更加努力。
OT弱点的上升趋势是在安全专家多年预警后出现的,长期以来一直指出OT 系统是一颗定时炸弹。大多数OT系统的设计安全控制薄弱或根本不存在,因此成为网络攻击的软目标。过去唯一保护他们的是他们无法受到外部威胁,因其仅连接到隔离的内部网络。许多系统现在连接到更大的IT网络和互联网本身,通常是无线连接。这种联网的大部分是在没有任何安全监督或计划的情况下发生的。
新增OT 漏洞
物联网和工业物联网(IIoT)产品的爆炸式增长,从传感器到智能电器再到环境控制和工业自动化系统,大大加剧了这个问题。在Forrester的一项调查中,其组织受到网络攻击的安全决策者表示,物联网设备是最常见的目标之一。
OT系统包括关键基础设施(能源、水、交通和环境控制系统)和其他必要设备。对重要资产的攻击可能造成严重的经济损失,甚至危及公共健康和安全。威胁行为者可能会破坏或操纵易受攻击的OT 系统造成实际人身伤害或勒索赎金,因为他们知道许多公司愿意支付费用以避免中断或关闭。
随着 OT和 IT网络的融合,威胁参与者越来越多地利用一个环境中的漏洞来获取另一个环境中的资产。许多OT 攻击始于IT 漏洞,然后横向移动以访问OT 设备。相反,入侵者可能会使用OT 系统作为进入IT网络的踏脚石,他们可以在其中传递恶意有效负载、泄露数据、发起勒索软件攻击以及进行其他攻击。越来越多的恶意软件旨在利用IT 和OT 资源。
2021 年的示例
对水处理厂的袭击佛罗里达州奥兹马尔,黑客试图用氢氧化钠(碱液)毒害供水系统。
与俄罗斯 DarkSide 网络犯罪团伙有关的勒索软件攻击关闭了 Colonial Pipeline,导致暂时的燃料短缺
以及美国东南部的抢购另一个总部设在俄罗斯的组织 REvil 对世界上最大的肉类加工商 (JBS) 发起的勒索软件攻击中断了运营。
2021 年7月,白宫谈到了形势的严重性,指出“对控制和运营所依赖的关键基础设施的系统构成的网络安全威胁是我们国家面临的最重要和日益严重的问题之一。”拜登政府宣布了一项新的公私联合倡议,以加强关键基础设施,包括电力部门、天然气管道、供水和废水处理系统以及化学部门。
这是一个积极的发展,但许多企业意识仍然落后。Skybox Security 最近对OT 安全决策者的调查显示,网络安全风险被广泛低估。15例如,56%的受访者非常相信他们的组织明年不会遇到OT 漏洞,但83% 的人表示他们在过去36 个月内至少有一次OT 安全漏洞。40%的受访者表示,与其他数字计划相比,OT是事后才想到的。
使问题更加复杂的是,安全团队隐藏了OT 系统中的许多缺陷。那是因为大多数OT 系统很难或无法扫描。同样,修补许多OT系统在技术上是不可能的,或者过于繁琐且成本高昂,无法解决所有漏洞。显然需要一种不同的方法:通过提供OT 和IT 攻击面的完整视图来消除盲点的方法,并且还促进有针对性的有效补救。
降低IT-OT 融合风险
曾经运营人员并不担心对OT 资产的网络攻击,因为此类系统由与外界没有连接的独立设备组成。以前气隙隔离的OT 设备现在连接到IT网络和互联网以进行监视、控制和自动化,安全控制薄弱或没有到位。许多较新的物联网产品通常默认联网,同样很少或根本没有安全监督。正如Gartner所解释的那样:“随着时间的推移,支撑关键基础设施的技术已经变得更加数字化和连接,无论是与企业IT 系统还是相互连接,创建了网络物理系统 (CPS)。CPS 由遗留基础设施和新资产组成,它们的部署也充满漏洞。”
大多数组织都意识不到此问题。对其攻击面及其互连、入口点、配置和策略没有全局视图。阻碍这种统一观点的不仅仅是不可扫描的OT 和网络设备等盲点;它也是IT 和OT部门之间的组织孤岛,并且在各个团队中。通常每个小组只负责拼图的一小部分,但没有人掌握大局。如果没有可见性,就很难检测到策略违规、漏洞、配置错误、错误设计或计划外或未经授权的更改。识别和应对复杂的攻击也很困难;个人团队可能只看到孤立的事件,而没有全局意识。
这就是为什么现代漏洞管理策略必须从整体视图开始,对整个攻击面进行建模和可视化,包括IT和 OT环境以及它们之间的所有连接。这意味着超越主动扫描,包括无扫描检测技术。无扫描检测通过将来自通用CMDB 解析器和补丁管理存储库的资产信息与来自威胁情报源的更新漏洞数据相关联来扩大覆盖范围。
结果是对不可扫描资产(路由器、交换机和敏感的OT设备)进行连续的非侵入式发现,并填补了可扫描资产上活动扫描事件之间的空白。可以在整个网络环境的模型中分析收集到的信息。团队可以使用模型进行路径分析,
攻击模拟和暴露分析。通过这样做,他们可以比以前更准确地识别和评估风险。改进的风险评估反过来又使组织能够确定资源的优先级并实施最有效的补救措施:不仅是打补丁(这可能是不可能或不切实际的),而且还应用减少暴露和缩小攻击面的方法,同时保持正常运行时间。此类措施的示例包括分段网络或断开不需要连接的OT 设备;调整配置;执行政策;并应用IPS(入侵防御系统)签名。目标不仅是在可能的情况下切断初始漏洞,而且还防止横向移动,使攻击者能够从IT 跳到OT 系统,反之亦然,或者从不太关键的设备跳到核心系统。
网络设备漏洞稳步攀升
对2021年网络设备中的933 个新漏洞进行了统计。网络设备漏洞的增长自2018 年以来波动不大,当时新漏洞增加了35%。虽然脆弱性继续增加,但增长率似乎已经稳定下来。这可能是因为网络设备创新已经放缓,或者是因为供应商在检测和消除漏洞方面做得越来越好。与OT 设备一样,许多网络设备难以或无法扫描,这一事实放大了风险。
为支持远程工作人员而快速部署VPN加剧了这个问题,导致配置错误和其他安全故障,为漏洞打开了大门。一些网络设备缺陷很普遍,例如2021 年报告的一些企业数千人使用的BIG-IP 服务器设备存在严重漏洞,应用暴露分析来对问题进行分类至关重要。
网络设备中超过5年的漏洞
多阶段攻击呈上升趋势
威胁行为者越来越多地采用多阶段攻击来规避防御并深入组织。一旦仅限于最老练的黑客,这些连锁攻击现在甚至可以由相对新手执行,这要归功于现成的漏洞利用工具包和MaaS,使没有经验的黑客能够在没有专业知识的情况下执行复杂的攻击。
通常,当威胁行为者利用窃取的凭据或常见漏洞获得对系统(例如用户工作站或网络设备)的初始访问权限时,多阶段攻击就开始了。一旦他们占领了滩头阵地,他们就可以使用一系列本地漏洞利用将他们的权限提升到管理员状态,进行侦察,并危及目录和硬盘驱动器等高价值资源包含敏感信息。这允许加密或泄露关键数据作为勒索软件攻击的一部分。
恶意软件激增,尤其是加密挖矿和勒索软件
恶意软件开发人员在2021年忙于创建各种新软件。加密劫持和勒索软件程序的增加。新的加密劫持程序同比增长75%,而勒索软件程序增长了42%。这两个案例都说明了恶意软件行业如何更好地利用新兴商机,为经验丰富的网络犯罪分子和缺乏经验的新手提供一系列工具和服务。
Cryptojacking恶意软件会劫持毫无戒心的用户的计算资源,以从事有利可图的加密货币挖掘活动。黑客可以使用这样的利用很少的努力和前期投资就能快速获得回报。随着加密货币估值的上升,矿工的利润也在上升。事实上,比特币矿工的收入同比增长206%,达到150亿美元。受害者的计算性能下降可能会对生产力产生负面影响。但可能会被忽视。一旦加密劫持恶意软件感染了企业系统,它也可以重新用于其他类型的攻击,例如勒索软件攻击。近年来,加密货币劫持攻击呈滚雪球式增长,到2021 年翻了两番。
与加密劫持一样,勒索软件可以产生高投资回报率和低进入门槛,这要归功于承担繁重工作的现成产品和服务。网络犯罪分子正以前所未有的速度使用方便易用的工具发起勒索软件攻击。在IDC 的一项调查中,超过三分之一的全球组织表示在2021 年遇到了勒索软件泄露事件,据Forrester 称,“自2020年以来,勒索软件攻击增加了三倍,攻击者以相同的方式针对不同的部门和垂直领域,并且经常攻击他们知道更愿意支付的组织。”
有趣的是,发现新的恶意软件越来越多地针对最近的漏洞。这表明恶意软件开发人员正在更迅速地利用最新的弱点。这通常是通过简单地调整现有的恶意软件来执行新的攻击来实现的。实际上,恶意软件像病毒一样进化,随着环境的变化,新的变体会随机出现。漏洞利用工具包和恶意软件包包含针对最广泛漏洞的工具是有道理的。下一页的表格列出了数量最多的恶意程序针对的新漏洞。
Log4Shell 聚焦供应链风险
每年似乎都会带来一些新的网络安全威胁的消息,这些威胁在其范围和潜在影响方面打破了以往的所有先例。2020年是太阳风袭击。2021 年是Log4Shell。Log4Shell 于去年12 月首次报告,是一款名为Log4j 的基于Java 的开源日志记录软件中的一个严重漏洞,该软件由Apache 软件基金会管理。
Log4Shell的发现在网络安全社区引起了轰动,不仅因为该漏洞的严重性,还因其无处不在。Log4j 用于无数企业产品和Web应用程序,使数亿设备处于危险之中。黑客很快就利用了该漏洞。据一个消息来源称,在该漏洞公开宣布后的第一周内,就有超过一百万次与Log4j 相关的攻击,并且正如Skybox Research Lab 所记录的以及上面详述的那样,Log4Shell迅速成为新攻击的首要目标之一恶意软件。
Log4Shell凸显了开源软件和供应链带来的日益增长的危险。易受攻击或受恶意软件感染的组件可能会以难以检测且极难根除的方式进入广泛使用的软件产品。Solar Winds 黑客就是这种情况,易受攻击的Log4j 库也隐藏在众多企业软件中,无法快速有效地找到所有库。
使用传统的主动扫描来查找漏洞的所有实例,然后在所有地方应用补丁非常耗时且成本高昂。幸运的是,这也是不必要的。无扫描检测可用于识别受影响的资产,而不会受到主动扫描的成本和性能影响,并且暴露分析可以查明实际上容易受到攻击的通常很小的设备子集。然后安全团队可以在应用补丁之前或在补丁不可用的情况下,应用适当的缓解措施来阻止风险。
新漏洞的利用加速
随着2021 年新漏洞的出现,威胁行为者毫不犹豫地利用它们。2021 年发布的168 个漏洞在这一年内被迅速利用,比2020 年发布并随后被利用的漏洞数量多24%。换句话说,威胁参与者和恶意软件开发人员越来越擅长将最近的漏洞武器化.这让安全团队陷入困境,缩短了从最初发现漏洞到出现针对这些漏洞的主动攻击之间的时间。这个缩小的窗口意味着主动的漏洞管理方法比以往任何时候都更加重要。
高级风险评分对于当今的攻击面管理至关重要
随着攻击面的扩大,安全团队快速准确地识别最大风险并相应地确定补救工作的优先级比以往任何时候都更加重要。主要关注由CVSS(通用漏洞评分系统)衡量的漏洞严重性的传统方法没有达到目标。无论漏洞有多严重,它都可能免受攻击,因为它没有暴露或因为没有主动尝试利用它。在另一方面,如果威胁行为者可以轻松访问并被积极利用,那么即使是低度或中度严重性的漏洞也可能构成严重风险。攻击者越来越多地利用这一事实,将攻击严重性较低的漏洞作为复杂的多阶段攻击活动的第一步。CISA最近提出了这一点,并解释说“通用漏洞评分系统(CVSS)基本评分并未说明该漏洞是否确实被用于攻击系统,已知被利用的漏洞应该是修复的重中之重。根据对截至2019 年的历史漏洞数据的研究,仅占总数的4%许多漏洞已在野外被利用。
全团队需要一个客观的框架来衡量任何给定漏洞对其组织构成的实际风险。这需要使用严格的评分系统,该系统可用于确定补救工作的优先级并将宝贵的资源分配到最需要的地方。这意味着根据四个关键变量计算资产的风险评分:
测量的 CVSS 严重性
剥削的可能性
暴露级别基于网络上的安全控制和配置
资产的重要性
传统的风险评分方法缺失风险分析这一重要部分。
暴露分析可识别漏洞及其可利用潜力,并将此数据与企业独特的网络配置和安全控制相关联,以确定系统是否可能会受到网络攻击。这个过程包括路径分析,它映射了数据包在企业网络(包括复杂的混合网络)中可能采用的所有可能路径,考虑到影响这种移动的策略、安全控制、端口、协议和应用程序。路径分析反过来又支持应用高级算法的攻击模拟探索潜在的攻击场景并揭示各种资产可能受到损害的程度。只有当不同的数据存储库被规范化并整合到一个多维网络模型中时,这种级别的分析和模拟才有可能,包括补丁和资产管理系统、漏洞数据、威胁情报源以及云和网络设备配置。
转变范式:从检测和响应到优先考虑和预防
本报告中描述的趋势指向一个不可避免的结论:传统的漏洞管理策略完全不符合当代现实。以扫描和修补为中心的方法太慢、太分散、太费力且成本太高。未能捕捉到许多实际威胁,同时将宝贵的资源浪费在误报上。因此,安全专业人员正在与越来越多的威胁和对手打一场后卫战。
扭转局面并改变动态
从被动到主动 从孤立到整体
从以严重性为中心到以风险为中心 从手动到自动化
从间歇到连续
漏洞生命周期管理可以做到该点,它有四个关键部分:
1.整体发现:聚合来自所有资产(包括IT、OT和云)和网络每个角落的漏洞数据。除了主动扫描之外,这还需要无扫描检测。结果是攻击面的360 度视图。
2.精确的优先级排序:漏洞数据被纳入网络模型。然后分析这些数据以揭示暴露情况。风险、严重性、可利用性和资产重要性被一起分析,以计算允许严格优先级排序的准确风险评分。
3.有针对性的缓解和补救:自动化工具识别并推荐有效、实用的措施来解决和降低风险。这些措施远远超出了打补丁的范畴,还包括配置更改、网络分段等。这使组织能够防止或限制攻击(包括零日攻击),即使补丁不切实际或不可用。
4.持续监督:自动化工具协助安全人员实施和维护补救措施。这些工具会自动生成工单,根据SLA(服务水平协议)跟踪性能,让团队了解需要更新的变更,并确保及时解决问题。
生命周期方法将漏洞管理从一个零星的、拼凑的过程转变为一个持续的、全面的过程。最重要的是,它使组织能够从反应转变为预防,不再局限于事后应对威胁,而是为可能发生的一切做好准备。
声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
