在2020年的最后幾周，太陽風(fēng)及其獵戶座平臺軟件的破壞引起了我們的集體關(guān)注。盡管可以說，它過去被認(rèn)為是，并將繼續(xù)被認(rèn)為是今年最重要的事件，但它并不是大多數(shù)組織應(yīng)該擔(dān)心的攻擊路徑。

正如Tenable的研究工程師Satnam Narang所說，雖然網(wǎng)絡(luò)安全軟件中的后門可能占據(jù)了頭條新聞，但攻擊者的戰(zhàn)術(shù)更具可預(yù)測性。威脅者是習(xí)慣的產(chǎn)物。他們喜歡做他們認(rèn)為可行的事情，利用未修補的漏洞為他們提供了一個豐富的脈絡(luò)。

當(dāng)您檢查數(shù)據(jù)時，令人不安的是，威脅參與者在其攻擊中依賴未修補的漏洞。這些“壞窗口”主要用于獲得對目標(biāo)網(wǎng)絡(luò)的初始訪問。從那里，攻擊者可以利用諸如Zerologon之類的嚴(yán)重漏洞來提升權(quán)限，從而使自己能夠訪問網(wǎng)絡(luò)中的域控制器。

[[384032]]

攻擊警告

去年，政府機構(gòu)發(fā)布了幾條警告，警告攻擊者利用漏洞進行攻擊，這些漏洞有可用的補丁，但仍然沒有得到緩解。然而，并非所有的漏洞都是平等的。事實上，根據(jù)Tenable在2020年對高知名度漏洞的研究，并非所有關(guān)鍵漏洞都有一個名稱和/或標(biāo)識。

相反，并不是每個指定了名稱和徽標(biāo)的漏洞都被視為嚴(yán)重漏洞。相反，在權(quán)衡漏洞的嚴(yán)重性時，還需要考慮其他因素，包括概念驗證(PoC)攻擊代碼的存在和攻擊的易用性。

鑒于COVID-19大流行所帶來的巨大變化，這種不確定性對網(wǎng)絡(luò)犯罪分子來說是一個額外的好處。隨著各國政府在全球范圍內(nèi)授權(quán)公民限制行動，企業(yè)向遠(yuǎn)程工作、學(xué)校向遠(yuǎn)程教育的轉(zhuǎn)變前所未有。

這帶來了一系列全新的安全挑戰(zhàn)，從依賴虛擬專用網(wǎng)和遠(yuǎn)程桌面協(xié)議(RDP)等工具，到引入新的視頻會議應(yīng)用程序。虛擬專用網(wǎng)解決方案中預(yù)先存在的漏洞很多最初是在2019年或更早的時候披露的，在2020年被證明是網(wǎng)絡(luò)犯罪分子和民族國家組織最喜歡的目標(biāo)。

雖然攻擊者喜歡已知的漏洞，但在2020年有一些零天被利用。網(wǎng)絡(luò)瀏覽器尤其是Google Chrome、Mozilla Firefox、internetexplorer和microsoftedge是主要攻擊目標(biāo)，占所有零日漏洞的35%以上?？紤]到瀏覽器是互聯(lián)網(wǎng)的網(wǎng)關(guān)，修補這些資產(chǎn)對企業(yè)網(wǎng)絡(luò)的安全至關(guān)重要。

這教會了我們什么

隨著攻擊面的擴大，漏洞管理在現(xiàn)代網(wǎng)絡(luò)安全戰(zhàn)略中扮演著核心角色。未修補的漏洞使敏感數(shù)據(jù)和關(guān)鍵業(yè)務(wù)系統(tǒng)暴露在外，并為勒索軟件參與者帶來了豐厚的機會。

在部署到實時環(huán)境之前，需要使用基于風(fēng)險的方法來處理補救，清楚地了解修補對業(yè)務(wù)運營的影響。對于任何規(guī)模的組織來說，這都是一項不小的任務(wù)，對于那些擁有大型和多樣化環(huán)境的組織來說，這可能尤其困難?，F(xiàn)代漏洞管理可分為以下關(guān)鍵階段：

• 識別并刪除不必要的服務(wù)和軟件
• 限制對第三方庫的依賴
• 實現(xiàn)安全的軟件開發(fā)生命周期

在整個攻擊面上實施精確的資產(chǎn)檢測，包括信息技術(shù)、操作技術(shù)和物聯(lián)網(wǎng)，無論它們是駐留在云中還是本地。

查找并修復(fù)

在查看要查找和修復(fù)的漏洞時，有五個漏洞在2020年期間主要是針對這些漏洞的。其中包括Citrix、Pulse Secure和Fortinet的虛擬專用網(wǎng)絡(luò)解決方案中自2019年以來的三個遺留漏洞：

(1) CVE-2020-1472–零登錄

(2) CVE-2019-19781–Citrix ADC/網(wǎng)關(guān)/SDWAN-OP

• CVE-2019-11510–Pulse Connect安全SSL 虛擬專用網(wǎng)
• CVE-2018-13379–Fortinet Fortigate SSL 虛擬專用網(wǎng)

(3) CVE-2020-5902–F5大IP

基于瀏覽器的漏洞很容易在修復(fù)過程中考慮優(yōu)先級，因為它們易于修補，但是它們不一定會帶來最大的風(fēng)險。防火墻、域控制器和虛擬專用網(wǎng)等設(shè)備如果受到危害，可能會產(chǎn)生更大的影響，在測試和應(yīng)用修補程序或緩解措施時需要更加小心。

[[384033]]

修補電子郵件服務(wù)器也應(yīng)該是一個優(yōu)先事項，以防止利用和保護機密信息。同時，對員工進行電子郵件最佳實踐方面的教育，并提高網(wǎng)絡(luò)釣魚等領(lǐng)域的安全意識，也應(yīng)是當(dāng)務(wù)之急。

基礎(chǔ)設(shè)施中的每一個設(shè)備、每一項資產(chǎn)都需要被視為有可能成為“流氓”。必須采取措施，盡量減少特權(quán)和他們可以訪問的攻擊面。雖然很少有組織會有必要的資金來防止像太陽風(fēng)這樣復(fù)雜的破壞，但謝天謝地，很少有組織需要這樣做。如上所述，健全的網(wǎng)絡(luò)衛(wèi)生做法有助于挫敗網(wǎng)絡(luò)犯罪分子實施的大多數(shù)攻擊。