【安全资讯】80% 的安全风险来自 Active Directory 帐户

来自对众多关键业务实体构成高影响风险的 4000 多万次暴露的数据显示，Active Directory 通常占组织中识别的所有安全风险的 80%。

XM Cyber 与 Cyentia Institute 合作进行的研究发现，身份和凭据配置错误导致了组织中绝大多数的安全风险。在这些风险中，三分之一直接危及关键资产，成为寻求利用漏洞的对手的主要目标。

Active Directory 暴露在攻击面中占主导地位

根据 XM Cyber 的报告，Active Directory 占所有环境中识别的实体的一半以上。

因此，很大一部分安全风险存在于公司的 Active Directory 中，Active Directory 是用户与网络资源连接的重要组成部分。然而，这种关键基础设施也为攻击者提供了一个有吸引力的目标，因为它对他们感兴趣，并拥有额外的提升权限。

XM Cyber解释说：“入侵Active Directory帐户的攻击者可以使用它来提升权限，隐藏网络中的恶意活动，执行恶意代码，甚至访问云环境。

“其中许多风险源于Active Directory中动态配置问题的固有性质以及保持更新的挑战。这创造了一个盲点，表面上看起来很安全，但隐藏着许多安全工具看不到的问题，“报告说。

错误配置和凭据攻击是导致这些风险暴露的主要原因，引入了传统安全工具经常忽视的漏洞，例如成员管理和密码重置问题。这些问题“几乎对每个组织都构成了挑战，”XM Cyber说。

凭证收集、转储、中继和域凭证等技术在 AWS、Azure 和 GCP 的攻击路径分析确定的顶级技术列表中占有重要地位，而 Mimikatz 等工具使这些技术更易于执行，因此使其非常受欢迎。

不良做法还会使与凭据相关的攻击路径更加简单和有效。XM Cyber 表示，它在 79% 的组织中发现了缓存在多台机器上的高特权 Active Directory 凭据，其中五分之一的组织在 100 台或更多设备上拥有管理员级权限。

此外，大多数环境都存在端点卫生状况不佳的问题，超过 25% 的设备缺乏 EDR 覆盖或包含缓存凭据，这为攻击者提供了充足的入口点来建立立足点。这些被忽视的身份和端点安全漏洞为黑客提供了肥沃的土壤，需要组织紧急关注。

XM Cyber 安全研究副总裁 Zur Ulianitzky 强调，有必要将暴露管理扩展到漏洞之外，以涵盖所有潜在的对手途径，包括错误配置和用户行为。研究显示，只有2%的风险暴露存在于关键的“阻塞点”上，即攻击者利用漏洞访问关键资产。

CVE 只是沧海一粟

尽管组织专注于管理由 CVE 标识符跟踪的传统软件漏洞，但这些努力几乎没有触及表面。XM Cyber 的分析发现，每个组织大约有 15,000 次暴露，基于 CVE 的漏洞占这一广泛暴露情况的不到 1%。

即使涉及影响关键资产的风险，CVE 也只占一小部分，凸显了仅专注于漏洞修补的安全计划中的重大盲点。

云中暴露的关键资产

据XM Cyber称，Active Directory是最大的攻击面，但关键资产暴露的最大份额是在云中。

在组织快速采用的情况下，云环境也无法幸免于暴露风险。超过一半 （56%） 影响关键资产的风险可追溯到云平台，当攻击者在本地和云环境之间无缝遍历时，这构成了重大威胁。

这种流动对基于云的资产构成了重大风险，使攻击者能够以最小的努力破坏关键资源。

各行业的风险敞口

报告中针对特定行业的分析揭示了各行业风险敞口的差异。与金融服务组织相比，能源和制造业等行业受风险敞口影响的关键资产比例更高，尽管后者的数字足迹更大。

医疗保健提供商在最大限度地降低风险方面面临固有挑战，其风险敞口中位数是能源和公用事业部门的五倍，因此需要量身定制的风险敞口管理策略。

暴露管理目前不仅仅是解决漏洞和 CVE 的问题。组织需要采用全面且持续的风险暴露管理方法，结合攻击路径建模来查明和解决基础设施薄弱环节。

重点应放在解决身份问题、Active Directory 暴露和云网络卫生上，同时倡导根据行业和规模量身定制的解决方案。

安全资讯推荐