最近發(fā)布的網(wǎng)絡(luò)安全公告警告稱，攻擊者正在利用錯(cuò)誤配置和薄弱的安全控制來獲得對(duì)企業(yè)網(wǎng)絡(luò)的初始訪問權(quán)限。

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)與來自加拿大、新西蘭、荷蘭和英國的網(wǎng)絡(luò)安全當(dāng)局一起，詳細(xì)介紹了在攻擊開始階段被利用最多的控制和做法。

該公告稱：“網(wǎng)絡(luò)攻擊者經(jīng)常利用糟糕的安全配置(配置錯(cuò)誤或不安全)、控制薄弱和其他糟糕的網(wǎng)絡(luò)做法來獲得初始訪問權(quán)限，或作為其他策略的一部分來破壞受害者的系統(tǒng)?！?

該公告總共列出了五種技術(shù)：利用面向公眾的應(yīng)用程序、外部遠(yuǎn)程服務(wù)、網(wǎng)絡(luò)釣魚、受信任關(guān)系和有效帳戶。受信任的關(guān)系是指一種危險(xiǎn)的技術(shù)，攻擊者破壞第二方或第三方以獲取對(duì)目標(biāo)受害者的訪問權(quán)限。濫用遠(yuǎn)程服務(wù)(例如VPN和Microsoft的遠(yuǎn)程桌面協(xié)議)已成為攻擊者越來越受歡迎的目標(biāo)。

該公告稱，配置錯(cuò)誤的云服務(wù)是另一個(gè)受歡迎的目標(biāo)。與本地網(wǎng)絡(luò)相比，保護(hù)云可能更加復(fù)雜。該公告警告說，未受保護(hù)的云服務(wù)通常會(huì)在采用初始訪問技術(shù)之前被攻擊者利用，并可能導(dǎo)致可怕的后果。

該公告指出：“糟糕的配置可能會(huì)導(dǎo)致敏感數(shù)據(jù)被盜，甚至是加密劫持。”

最難防范的技術(shù)之一是利用較差的端點(diǎn)檢測和響應(yīng)。該公告警告稱，攻擊者使用“混淆的惡意腳本和PowerShell攻擊”來訪問目標(biāo)端點(diǎn)設(shè)備。

TrendMicro發(fā)現(xiàn)AvosLocker勒索軟件攻擊者最近使用PowerShell腳本來禁用防病毒軟件并逃避檢測。AvosLocker團(tuán)伙采用的相對(duì)較新的技術(shù)還掃描了易受攻擊的端點(diǎn)，這是該公告中強(qiáng)調(diào)的另一個(gè)威脅。

該公告稱，暴露的開放端口和錯(cuò)誤配置的服務(wù)，是最常見的漏洞發(fā)現(xiàn)之一，這可以將攻擊者直接引向易受攻擊的組織。

該公告指出：“網(wǎng)絡(luò)攻擊者使用掃描工具來檢測開放端口，并經(jīng)常將它們用作初始攻擊媒介?！?

Shadowserver Foundation也在周二發(fā)表的一篇博文中進(jìn)一步強(qiáng)調(diào)了這種風(fēng)險(xiǎn)。這個(gè)非營利性信息安全組織最近開始掃描可訪問的Kubernetes API實(shí)例，發(fā)現(xiàn)在超過450,000個(gè)實(shí)例中，超過380,000個(gè)允許某種形式的訪問。Shadowserver進(jìn)一步細(xì)分它，指出暴露的API占所有實(shí)例的近84%。

該博客文章稱：“雖然這并不意味著這些實(shí)例完全開放或容易受到攻擊，但這種訪問級(jí)別很可能不是故意的，這些實(shí)例是不必要的暴露攻擊面。它們還允許有關(guān)版本和構(gòu)建的信息泄漏?！?

很多弱點(diǎn)歸結(jié)為安全條件差，并突出了企業(yè)安全的持續(xù)問題，例如未修補(bǔ)的軟件，同時(shí)該聯(lián)合公告還提供了詳細(xì)的緩解步驟。例如，采用零信任模型，通過網(wǎng)絡(luò)分段來減少攻擊范圍。

很多緩解措施都集中在身份驗(yàn)證和保護(hù)第三方設(shè)備上，因?yàn)楣粽呤褂玫淖畛Ｒ娂夹g(shù)涉及暴露的應(yīng)用程序和濫用憑據(jù)。在啟用外部訪問之前，該公告敦促企業(yè)安裝防火墻，并與其他安全帳戶和主機(jī)(如域控制器)隔離。

此外，該聯(lián)合公告建議采取緩解措施來保護(hù)控制訪問和強(qiáng)化登錄憑據(jù)，例如部署多因素身份驗(yàn)證和限制管理員帳戶的遠(yuǎn)程功能。其他重要做法包括漏洞掃描、更改第三方提供的默認(rèn)登錄憑據(jù)和建立集中式日志管理。最后一點(diǎn)對(duì)于取證調(diào)查和記錄攻擊技術(shù)至關(guān)重要。