五种视角下的漏洞威胁分析 自动化成为关键安全要素

当前，随着互联网的大范围普及和用户对数字化信息需求的不断增长，网络安全形势已然变得更加复杂，攻击手段更加多样，攻击者利用安全漏洞进行攻击的行为变本加厉，使得企业面临更为严重的安全风险和损失，加大了企业应用防护的难度。

为更好管理网络风险，Qualys通过挖掘在2022年全球范围内检测到的23亿个漏洞中最危险的163个漏洞，进一步分析以确定其对企业安全的影响和违规的可能性，并针对设备漏洞、网络应用程序的安全性、场内设备的错误配置以及云安全态势进行检测，最终揭示了普遍适用于各行业和组织的五大安全风险：

在过去的五年中，公开披露的漏洞增加了一倍，漏洞武器化进程的加快以及网络人才的短缺使得安全团队难以在堆积如山的漏洞中前行。因此，安全团队需要一个系统化的方法优先修复最关键的漏洞，从而降低风险。

根据数据显示，武器化漏洞能在30.6天内被修补，而这些漏洞被攻击者利用的时间平均为19.5天，这意味着有11.1天的空白期可能被攻击者利用。同时，根据防御者的平均修复时间 （MTTR）显示，已知漏洞的修复速度比未知漏洞快8天，但威胁参与者也可能滥用已知漏洞或 CISA的已知被利用漏洞列表，让组织“防不胜防”，构成重大风险。

补丁未能及时发布也可能导致组织陷入风险漩涡。一是，补丁管理涉及兼容性测试、安排停机时间以及多个团队协调，补丁无法立即被部署。二是，将一个漏洞归因于一个明确的威胁参与者是一个耗时且困难的过程，一般需要95天才可能找到真正的幕后黑手。实际上，寻找主要威胁参与者并不只是为了更快地修补漏洞，而是为网络安全团队提供更多资源，以根据漏洞的关键性和利用情况确定修补的优先级。三是，如果组织已知的威胁参与者不是主要针对其行业或领域，组织可能就会低估漏洞相关风险导致补丁部署速度变慢。最后，供应商无法立即提供针对特定漏洞的补丁也是导致修补延迟的主要原因之一。

分析发现，如下图所示，在2022年出现频率最高的10个CVE主要存在于微软的Windows和谷歌的Chrome浏览器中。

通过下方散点图中可以清晰看到漏洞暴露时间和修补情况之间的关系，将漏洞暴露时长设为X轴、修补完成度设为Y轴进行了比较，发现不同漏洞的修补速度也大不相同。

对数据进行过滤，筛选出最具代表性的漏洞（Windows 和 Chrome），分析漏洞被暴露时长与漏洞修复率之间关系，发现补丁率在90%左右趋于平稳，这表明在下一月度修补开始之前，90% 的补丁已部署到组织基础架构中。

通过上图可以发现，以上的Chrome/Windows武器化漏洞的补丁率较高，其主要原因可能在于，首先，这两种产品能被发现的关键漏洞数量明显高于其他产品，企业快速进行优先级排序，及时处理关键漏洞。其次，Windows和Chrome的补丁能够实现自动化管理，及时部署补丁，降低漏洞被利用风险。

然而，除去以上代表性漏洞，就会发现一个截然不同的情况（如下图）。大部分的漏洞都没有明确的优先级排序，部分漏洞甚至无法修补或者安全团队认为修补该漏洞并不重要等。

安全基础设施的自动化已成为每个网络武器库的必需品，使组织能够去除流程中的冗余环节，降低修复漏洞所需的时间和精力，将有限的资源投入到更紧迫的任务中。

由于Chrome浏览器和Windows系统的普及率较高且其武器化漏洞数量占数据库的三分之一，其中有75%已被威胁行为者利用，因此报告主要讨论这两类产品中的武器化漏洞。在全球范围内，这两类产品的平均修复时间为17.4天，有效补丁率为82.9%，补丁速度和频率是其他应用程序的两倍。

该研究表明，自动部署补丁的部署频率比手动部署高出45%，速度快36%；通过补丁管理解决方案自动执行的漏洞平均修复时长25.5天，手动修补漏洞的时长在 39.8 天；自动部署的补丁率为72.5%，而手动部署的补丁率为49.8%。

IAB（即初始访问代理）是指攻击者通过多种方式获得的受害者网络资产初始化访问权限，而后将其出售给犯罪组织实施犯罪的中间人行为，犯罪组织通常为勒索软件团伙或其附属机构。

IAB获取初始权限的路径示例由下图所示，一是通过目标服务器的外围设备，如防火墙和web应用程序等；二是通过系统错误配置（如默认密码），以利用未打补丁的漏洞进入系统；三是利用有效凭证直接进入系统，主要通过在暗网中购买凭证或者猜测/暴力破解密码。

此外，网络钓鱼攻击也是IAB的主要手段。IAB攻击者上传恶意软件，并通过网络钓鱼将其传递给预定目标，然后，非法访问入侵计算机系统以窃取有价值的数据，如访问活动目录或组织私密文件等。最后将信息出售给另一个犯罪团伙或被攻击者自己使用，进一步敲诈勒索。据Qualys调查显示，2022年IAB工具包中新增了17个CVE漏洞（见下图）。

上图中的漏洞均与 Windows 或 Chrome 无关，其中的大部分漏洞都会影响服务器外围设备或应用程序。这些CVE漏洞的修复时间远长于Windows和Chrome的漏洞，IAB 漏洞的平均修复时长为 45.5 天，而 Windows 和 Chrome 仅为 17.4 天。补丁率也相对较低，Windows和Chrome的漏洞修补率为82.9%，IAB漏洞为68.3%。

、

以上数据表明，由于组织在修补Windows和Chrome漏洞方面越来越快，威胁行为者（尤其是IAB）被迫利用“两大”之外的漏洞。数据还表明，当防御者拥有主动权时，威胁行为者会将策略、技术和程序转向更具挑战性的攻击路径。但发生这种情况时，威胁参与者往往会犯更多错误、攻击痕迹增多，为防御者创造更多检测机会。

Qualys 通过扫描37万个网络应用程序，发现了超过2500万个漏洞，其中33%的漏洞被列为OWASP类别 A05：错误配置。这些错误配置漏洞允许恶意行为者在大约24000个网络应用程序中传播恶意软件。

配置错误在很大程度上会导致用于保护 Web 应用程序的控制不当，通常，在未遵循安全最佳实践（例如不更改默认权限或密码）时，就会发生这种情况。另一种类型的错误配置可能是应用程序共享了太多信息，如详细的错误堆栈跟踪。例如，攻击者可能会使用异常堆栈信息来识别 Web 应用程序技术，并发起更高级的攻击来破坏站点。如果个人身份信息 （PII） 因配置错误而被暴露，即使是简单的错误（如未禁用目录列表）也可能引发长期问题。

其他检测到的最多的类别是 A02：加密故障、A01：访问控制中断和 A03：注入。加密故障可能通过弱加密控制暴露敏感数据，这种攻击可能导致会话劫持、窃取用户凭证以及静态或传输中的数据暴露。

访问控制中断错误则是通过侵犯权限来获取对 Web 应用程序或资源的访问权限，包括强制浏览页面、提升权限等。

最后，注入类是许多常见网络应用程序攻击的罪魁祸首，如SQL命令注入攻击、跨站脚本（XSS）、跨站请求伪造（CSRF）等。自20世纪90年代末第一批网络应用程序转向动态内容以来，这些攻击技术就已经存在，虽然这些攻击的机制仍在不断发展，但错误或未初始化的用户输入这一基本错误几十年来一直困扰着Web应用程序安全。

Qualys通过对客户使用的 200，000 个面向外部的 Web 应用程序扫描，发现了近 65，000 个恶意软件实例。攻击者通过恶意软件插入自定义源代码来感染客户端浏览器，以达到盗取支付卡信息、窃取证书、挖掘加密货币等目的，这些攻击给组织和网站访问者带来了巨大安全隐患。

错误配置——内部员工的意外行为，在很大程度上构成了网络应用程序的弱点，也是数据泄露的主要原因之一。错误配置会对企业云基础设施的安全性产生深远影响，根据对亚马逊网络服务（AWS）、谷歌云平台（GCP）和微软Azure控制措施在互联网安全中心（CIS）基准下的表现发现，控制基准有助于组织确保其在共同安全责任模式中的部分安全。

由于 S3 存储桶中的配置错误导致数据泄露是一个严重的问题，Amazon S3 云存储桶中的弱访问控制是导致数据泄漏的主要原因。CIS 基准测试提供了多种安全控制措施来衡量对 S3 存储桶中数据的公有访问。虽然其中两个控制措施（检查对 S3 存储桶的公有访问）在存储桶仅公开 1% 的情况下表现良好，但有两个预防性控制措施仅在 50% 的时间内实施，这意味着某人很有可能在无意中打开 S3 存储桶。

尽管保护整个存储桶至关重要，但保护存储桶中存储的文件不被公开访问也同样重要。但目前，只有 40% 的组织正在使用预防性控制来防止文件被公开访问，这使得 S3 存储桶的很大一部分面临配置错误风险，并使敏感数据面临潜在的合规风险。因此，培养组织员工正确了解S3 存储桶配置和相关安全措施，以防止数据泄露和潜在的安全事件。

根据GCP的数据调查数据显示，主要是针对BigQuery 配置的担忧。BigQuery中包含的大型云数据集通常用于AI/ML模型训练，其中可能包含大量敏感信息，这些信息可能会像上述的S3场景一样被暴露。

另一个发现是未能利用客户管理的密钥来加密数据。在GCP中，云服务提供商的密钥只有1%的时间用于加密，如果不使用用户密钥进行加密将会给数据安全带来巨大风险，威胁者可以通过特权访问来获取加密数据。

从安全角度来看，使用客户管理的密钥进行加密可以维持对加密过程的完全控制，还能够增加一个额外的保护层，从而使未经授权的个人更难访问敏感信息，以最大程度地降低数据泄露的风险并确保数据的最高安全性。

与微软Azure类似，加密是一组常失败的控制。磁盘类别中有两项检查未通过扫描检测，一个是"确保'操作系统和数据'磁盘使用客户管理的密钥进行加密 "，另一个是 "确保所有未连接的虚拟机磁盘都进行了加密"。除了SQL数据库加密（97.8%通过）和使用最新版本TLS的Web应用程序（85.4%通过）外，加密检查有一半以上都是失败的。

安全从业人员还必须评估企业本地错误配置的风险，在2022年，排名前10位的失败控件（见下图）分别用于的密码设置、用户权限和Windows更新协议。

将安全控制与ATT&CK框架模型相联系，以便更好地了解其对ATT&CK知识库中威胁的安全覆盖范围。在这项研究中， Qualys检查了所有未通过50%以上扫描的对照组，以及与这些特定对照组相关的ATT和CK技术。

基于云计算错误配置，与失败控制相关的前三项技术分别是T1210：利用远程服务，1485：数据销毁，以及1530：云存储对象的数据。数据表明，云中的错误配置会导致企业面临利用、加密和渗出的风险，这三种技术也是当今勒索软件的主要运作方式。

失败的本地错误配置与T1110：暴力破解、T1021.001：远程桌面协议和T1548：滥用提升控制机制有关。当这些结合在一起时，攻击者就能够通过破解或窃取的密码登录到暴露的远程桌面协议（RDP）系统并提升其权限。这是初始访问代理的一个主要攻击媒介，也是进入其目标受害服务器的一个入口点。

该研究基于Windows 10 系统，将其与本报告分析的匿名数据的整体状态进行比较。Qualys通过评估发现，在默认Windows 10安装中，有五项安全配置的设置失败率超过50%。失败率最高的两项控制是针对攻击面减少的设置，这表明组织可能依赖其他安全工具来帮助防止与网络钓鱼有关的攻击。其它三项与密码和 RDP 设置相关，与企业本地控件的总体故障率一致;这些设置能够让密码的使用时间更长，更换频率更低，但也暴露了RDP。虽然有时对管理员而言，这些控件是一个有价值的工具，但在连接到互联网时仍存在着被滥用的可能。

2022年Windows 10中5种默认设置的通过率

但目前，越来越多的组织开始关注配置的正确，其中包括 16 个默认配置错误的设置，组织在将在最短的时间内纠正设置以提高安全性。在另一层面上，通用命名约定 （UNC） 路径、网络访问和 Windows 防火墙等控件将有效降低威胁参与者在网络环境中横向移动的能力。同时，密码设置启用保护措施，能够防止威胁参与者通过提高攻击复杂性和自动锁定进程来实现密码的暴力破解。

Windows 10 中配置正确的 16 个默认设置的通过率

2022年，威胁行为者仍然具有高度的适应性，不断调整战术、技术和程序以实现其目标。因此，防御者必须随着威胁形势的变化而持续发展，采取积极行动以减少和管理其环境中的风险。基于上文研究得出的组织目前面临的五个最严重的风险，Qualys提出了以下几点建议，供安全团队参考实践以提高其组织弹性：

面对漏洞数量的指数级增长，组织网络安全管理人员将肩负更重的责任，漏洞优先级排序成为重点。高效的漏洞管理必须过滤所有漏洞噪音，帮助组织确定优先级并制定补救计划。基于风险的漏洞管理能够为安全/IT 团队搭建共享信息的环境，并能够创建工作流以快速调整和响应威胁。因此，将威胁情报源纳入漏洞管理计划或平台对于组织持续掌握最新威胁至关重要。

通过自动修补Microsoft、 Windows和Google Chrome等软件漏洞，平台和应用程序能够快速限制对手利用已知漏洞的能力。自动化还能够大幅度降低人力资源，专注于修补最高级别风险漏洞。此外，使用基于风险的自动化策略还可以将高度可利用漏洞的情报与环境中的上下文叠加在一起，降低组织的总体风险。换句话说就是，修补有价值系统上可利用的内容，而不仅仅是易受攻击的内容，并在系统风险较低的部分使用自动化。

威胁参与者将持续寻找外围设备的入口点，任何暴露在外的 Web 应用程序都会带来巨大的风险。为了降低这种威胁，组织必须尽可能减少不必要的攻击面，可以持续监测其外部攻击面，跟踪异常变化并维持系统的最新状态。

Web 应用程序经常被用于处理或存储敏感信息，即使是非关键系统也可能被当做攻击的发射台或存储恶意工具，用于针对次要受害者的恶意活动。因此，扫描 Web 应用程序中的漏洞和配置问题对于增强IT环境的安全态势、以防攻击者恶意利用至关重要。

一个配置错误的系统可能会因各种因素而被滥用，据2022年的研究发现，许多配置问题都与勒索软件有关。利用CIS基准可以有效识别、完善和验证安全最佳实践，是应对威胁和改善安全态势的有效起点。此外，了解云基础设施的共享安全模式也同样关键，利用CIS加固基准或其他最佳实践来保护云工作负载，将有效降低企业的整体风险。