抵御7种初始攻击方式的完整指南

2022年11月15日

        数字化转型和远程工作迅速扩大了攻击面。随着应用程序、网站、帐户、设备、云基础设施、服务器和操作技术(OT)的集合不断增加，攻击面管理也变得更具挑战性。不出所料，在趋势科技(Trend Micro)的一项全球研究中，73%的IT和商业领袖表示，他们担心数字攻击面的规模。

       有效的攻击面风险管理(ASRM)始于对初始攻击方式的主动防御，而不是在恶意行为者入侵您的网络后的被动防御。根据IBM的说法，花费较长的平均时间识别和遏制的攻击方式是最昂贵的入侵类型之一。在本博客中，我回顾了7个关键的初始攻击方式，以帮助首席安全官和安全领导者加强他们的攻击面风险管理安全策略，降低网络风险。

       7种初始攻击方式

• 电子邮件
• Web和Web应用程序
• 漏洞
• 设备
• 越岛战术
• 内部威胁
• 云

1.电子邮件

       风险：电子邮件仍然是网络罪犯最常见的初始攻击方式，因为本质上它很容易。2021年，趋势科技屏蔽的所有威胁中有74.1%(3360万)是电子邮件威胁，比2020年增加了101%。这些攻击的成本也在增长；根据Ponemon的《2021年网络钓鱼成本研究》，网络钓鱼攻击每年给企业造成近1500万美元的损失，即每位员工损失超过1500美元。

       企业可以做什么：通过选择具有分层防御能力的供应商，不仅限于本地电子邮件安全：

1. 电子邮件网关利用人工智能、机器学习、行为分析和来源分析（authorship analysis）。
2. 云应用安全代理(CASB)通过扫描链接/附件和同事之间的电子邮件来分析收件箱中的邮件，以防止泄露的帐户对其他员工进行网络钓鱼。
3. 如果恶意链接被点击，安全Web网关(SWG)提供额外的保护，可以检查流量、执行图像分析，并使用机器学习分析品牌元素，登录表单和其他网站内容，以识别虚假网站。
4. 使用内置的安全意识模拟和培训教育用户。理想情况下，供应商将提供基于从最近的、真实的网络钓鱼骗局中提取的模板进行网络钓鱼测试。

2. Web和Web应用程序

       风险：跨站脚本(XSS)攻击利用网站或Web应用程序的编码缺陷从用户那里生成输入。难怪XSS仍然是OWASP十大Web应用程序安全风险的主要威胁，Ivory Search中一个WordPress搜索插件，一个严重的XSS漏洞使60,000个网站被注入恶意代码。随着远程工作和向云服务的转移，导致网站和应用程序大量涌现，企业需要加强对这种初始攻击方式的防御。

       企业可以做什么：CASB可以帮助降低使用SaaS应用程序的风险，而不影响用户体验。它对抗影子IT，保护云账户的安全，并解决第三方服务(如Ivory Search)的安全空白。此外，CASB补充了安全Web 网关解决方案的威胁阻断能力，并得益于与扩展检测和响应(XDR)分析能力的集成。这些曾经分散的解决方案的不同日志结合起来提供了客户环境的更全面的视图，允许创建更全面的风险概况。

3.漏洞

       风险：漏洞可能会导致系统停电或关闭，从而扰乱业务运营。以瑞典食品连锁店为例；在恶意分子利用Kaseya VSA产品的多个零日漏洞发起勒索软件攻击后，Kaseya被迫关闭了800家门店。0日、N日、永久漏洞持续增加，趋势科技研究公司报告称，在2022年上半年，提交给我们“零日行动”漏洞赏金计划的重要和高严重性漏洞数量增加了23%。

       企业可以做什么：以下5个基于风险的补丁管理最佳实践可以帮助企业创建一个强大的防御程序，以对抗漏洞利用：

1. 使用优先补丁程序和检查首席安全官已知的被利用漏洞目录，确定哪些补丁是最相关的。

2. 通过持续监控网络可疑活动和利用全球威胁情报的bug赏金计划(如趋势科技“零日计划”)，制定一个随时、而不是如果的零日计划

3. 与供应商沟通回滚到软件以前版本的可能性

4. 在等待供应商发布补丁的同时，利用虚拟补丁来保护有漏洞的系统

5. 与利益相关者分享利益，以鼓励组织内的安全文化，并向董事会展示网络安全的投资回报率。

4.设备

       风险：向远程工作的转变暴露了VPN的危险——一种初始攻击方式，允许访问整个网络。虽然远程工作者只能访问合法的工作应用程序，但家中的其他设备可能通过连接到VPN的不安全机器传播恶意软件。考虑到82%的数据泄露与人为因素有关，能够访问一个组织的整个网络的设备越多，网络风险就越高。

       企业可以做什么：63%的组织正在从VPN转移到零信任网络访问(ZTNA)，以减少跨攻击面的网络风险，这是更广泛的零信任战略的一部分。ZTNA持续验证用户和设备的信任，并且只授予访问Web门户前端的权限，这阻止了被入侵的设备跨越攻击面进行攻击。此外，ZTNA提供了支持不断发展的业务运营所需的可伸缩性。特定的应用程序到用户连接不需要使用VPN的带宽，支持高性能可用性和一致的交付，而不会对用户体验产生负面影响。

5.越岛战术（Island hopping）

（译注：跳岛战术（英语：Island hopping），或称跳岛战略、蛙跳战术（英语：Leapfrogging），是太平洋战争后期以美军为主的同盟国军队为加速进逼日本本土、结束战争并减少损失，而策略性跳过亚太地区某些日军占领岛屿的战术。引自知乎oushiyuyang，这样做的好处是具体就是向敌人防守坚固的主要据点的外围作跳跃式进攻，不正面攻击这些据点，而是迂回到敌人背后，将他们分割包围，用空军和海军切断敌人的补给来源，将他们困死。不等据点里的敌人被歼灭，其余部队又越过该地，再包围前面的敌军据点。在网络安全中，越岛战术指利用供应链、横向移动等间接攻击方式。）

       风险：越岛战术用于从外部环境转向您的网络。由于Kaseya、Log4j和SolarWinds的成功，软件供应链攻击正在增加。可以把它想象成一个俄罗斯套娃，在这个初始攻击方式中还有许多其他因素：数据分发服务(DDS)、开源代码、系统管理工具和购买的应用程序。趋势科技的一项全球调查报告称，52%的组织的供应链合作伙伴受到了勒索软件的攻击，这意味着他们的系统也面临着风险。

       企业可以做什么：CISA发布了ICT 软件供应链风险管理要素（SCRM Essentials），推荐了打造有效软件供应链安全的六个关键步骤：

1. 确定：确定谁需要参与
2. 管理：根据行业标准和最佳实践(如NIST)开发您的供应链安全政策和流程
3. 评估：了解您采购的硬件、软件和服务
4. 了解：绘制您的供应链，以更好地了解您采购的组件
5. 验证：确定您的组织将如何评估供应商的安全文化
6. 评测：根据指导方针建立检查供应链实践的时间框架和系统

6.内部人员

       风险：一份2022年的Ponemon全球报告发现，遏制内部威胁的时间从77天增加到85天，导致组织在遏制上花费最多。此外，花了90多天才控制住的事件的年化费用超过1719万美元。不管内部人员是偶然的、疏忽的还是恶意的，付出的代价仍然很高。

       企业可以做什么：通过安全意识培训改善网络健康，可以帮助企业避免意外或疏忽的内部人员。要解决其他类型的内部人员，必须持续监视入口和出口流量。如果这种初始攻击方式被利用，那么制定事件响应计划将有助于快速遏制威胁，限制其传播和财务影响。

7.云

       风险：数字化转型加速了云计算的采用，这带来了新的网络安全风险。《趋势科技2022年中网络安全报告》指出了给企业带来财务、运营和声誉风险的三个日益增长的趋势：加密货币挖矿、云通道攻击和云软件错误配置。根据IBM的数据，后者的成本平均为414万美元。

       企业可以做什么：利用支持多云和混合云环境的云原生安全平台是至关重要。寻找一个能够将尽可能多的事情自动化的平台，从扫描基础设施即代码(IaC)、开源代码、容器和云工作负载，到设置明确的安全策略和执行合规检查。

保护攻击方式的统一网络安全方法

       最后，您可能会被所需的新安全产品的数量压垮。实际上，在每一层部署和维护不同的安全工具是完全无法管理的，特别是在技能差距和人员流动的情况下。考虑一个统一的网络安全平台，以减少复杂性和增加现有资源，同时确保安全的成熟度。

       跨多个环境使用支持广泛第三方集成的统一平台可以确保从单个仪表板获得全面的可见性。自动化、持续监视和XDR等安全功能对ASRM非常重要。可见性和深度数据关联使安全团队能够发现、评估和减轻整个攻击面风险生命周期中的威胁。

(完)

原文始发于微信公众号（安全行者老霍）：抵御7种初始攻击方式的完整指南