威脅您組織的最新網(wǎng)絡(luò)攻擊很可能來自公司網(wǎng)絡(luò)外部。根據(jù) Mandiant 的M-Trends 2023 報告，63% 的違規(guī)行為來自外部實體，較前一年的 47% 大幅上升。

當(dāng)談到入侵者如何進(jìn)入網(wǎng)絡(luò)時，這取決于組織的位置。Mandiant 首席執(zhí)行官 Kevin Mandia 在 RSA Conference 2023 上向觀眾表示，魚叉式網(wǎng)絡(luò)釣魚是歐洲最主要的攻擊媒介，而基于憑證盜竊的攻擊是亞洲第一大攻擊類型。在美國，威脅行為者更喜歡利用漏洞以獲得對系統(tǒng)的訪問權(quán)限。

“目前，大約 32% 的情況下，零號受害者，當(dāng)我們知道零號受害者時，這是一個漏洞。不一定是零日，而是一天、兩天，”曼迪亞說。這是一個世界性的觀點。僅在美國，這一比例就占已檢測事件的 38%。

零日攻擊

Mandiant 的研究顯示，雖然零日漏洞的數(shù)量從 2021 年的高位 81 個下降到 2022 年的 55 個，但仍比 2020 年的數(shù)量增加了近一倍。網(wǎng)絡(luò)犯罪團(tuán)伙和民族國家行為者越來越多地使用零日漏洞，我們才剛剛開始看到其損害的嚴(yán)重性和廣泛影響。

例如，2023 年 5 月，俄羅斯勒索軟件團(tuán)伙被指控通過名為MOVEit Transfer的托管文件傳輸軟件中的缺陷發(fā)起零日攻擊。正如零日漏洞的典型特征一樣，它不是一個目標(biāo)或受影響的公司，而是攻擊可以影響使用該軟件的任何組織。在這個特殊案例中，由于 SQL 注入問題，勒索軟件的傳播可能已經(jīng)襲擊了數(shù)百個組織，包括聯(lián)邦政府機(jī)構(gòu)、大學(xué)、銀行和主要醫(yī)療網(wǎng)絡(luò)。事實上，根據(jù)Security Boulevard 的說法，網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 和聯(lián)邦調(diào)查局“都希望看到這項服務(wù)被大規(guī)模利用” 。

5 月份發(fā)現(xiàn)的另一起零日攻擊利用了 Microsoft Exchange 中的漏洞。據(jù)信，這次襲擊是由中國間諜組織實施的。據(jù)《安全周刊》報道，這種特殊的攻擊通過電子郵件活動傳播，“數(shù)百個組織的電子郵件安全設(shè)備受到攻擊”。這與 Mandiant 的另一項發(fā)現(xiàn)相吻合——最常被利用的供應(yīng)商是科技界的三巨頭（微軟、谷歌和蘋果），而中國是零日漏洞利用的新興參與者。

修補(bǔ)零日漏洞

運營 MOVEit 軟件的 Progress Software發(fā)布了兩個補(bǔ)丁來修復(fù)這些漏洞。但這可能還沒有結(jié)束修補(bǔ)的需要。威脅行為者繼續(xù)尋找并利用軟件中的漏洞。

這引出了 Mandia 在 RSA 主題演講中提出的一個觀點：你必須修補(bǔ)你能修補(bǔ)的東西，但也要意識到并非所有東西都能修補(bǔ)。（MOVEit 漏洞是否滿足后一個問題還有待觀察。）

總體而言，補(bǔ)丁管理需要成為組織的首要任務(wù)。正如 Mandia 對 RSA 觀眾所說，如果您的組織沒有識別并修補(bǔ)過去一年中發(fā)現(xiàn)的零日漏洞，“其他人會為您找到它。” 而其他人很可能是網(wǎng)絡(luò)犯罪集團(tuán)。

補(bǔ)丁管理失敗

補(bǔ)丁管理長期以來一直是組織面臨的一個問題。原因之一是補(bǔ)丁數(shù)量巨大。2021年，修復(fù)漏洞超過2萬個。僅此一點就使得跟上步伐變得越來越困難。

即使掌握所有補(bǔ)丁很容易，用戶也往往會忽略它們，認(rèn)為在補(bǔ)丁發(fā)布后幾天（或幾周）內(nèi)更新軟件沒什么大不了的。太多用戶根本沒有意識到不良補(bǔ)丁管理實踐所涉及的風(fēng)險。更糟糕的是，這是一個在安全意識培訓(xùn)中經(jīng)常被忽視或很少關(guān)注的領(lǐng)域。盡管國土安全部建議在發(fā)布后 15 天內(nèi)應(yīng)用關(guān)鍵補(bǔ)丁，但情況仍然如此。

這導(dǎo)致了補(bǔ)丁管理中的另一個困境：什么才是真正關(guān)鍵的？許多安全團(tuán)隊在向整個組織推送補(bǔ)丁之前都有自己的程序。有時補(bǔ)丁發(fā)布得太快，以至于存在錯誤或無效，從而造成更大的危害。IT 團(tuán)隊希望首先在內(nèi)部測試補(bǔ)丁，這可能會取代關(guān)鍵補(bǔ)丁警告。還有適當(dāng)?shù)某绦騺砀櫻a(bǔ)丁部署并確保沒有遺漏任何設(shè)備或系統(tǒng)。

緊跟零日趨勢

為了掌握補(bǔ)丁管理的最新情況，IT 和安全團(tuán)隊還需要隨時掌握現(xiàn)有的零日漏洞。CISA 提供了已知被利用漏洞的文檔，其中包含潛在威脅的描述以及解決該漏洞所需采取的措施。

但這只是一個開始。由于零日仍然是一種流行的攻擊媒介以及勒索軟件和其他邪惡民族國家活動的門戶，組織需要重新考慮其補(bǔ)丁管理流程。這可以包括重組部署以逐步應(yīng)用補(bǔ)丁并監(jiān)控問題，以及圍繞補(bǔ)丁重要性進(jìn)行更有條理的意識培訓(xùn)。提高對整個組織使用的設(shè)備的可見性也將有助于確保不會遺漏任何內(nèi)容——這對于擁有遠(yuǎn)程工作人員的組織來說至關(guān)重要。

像 MOVEit 上的零日攻擊這樣的零日攻擊不僅會對一個組織造成嚴(yán)重破壞，還會對許多組織造成嚴(yán)重破壞。由于正在開發(fā)的產(chǎn)品如此之多，似乎可能存在無數(shù)的漏洞，并且及時為所有這些漏洞提供補(bǔ)丁可能是不可能的。但當(dāng)補(bǔ)丁可用時，請盡快部署。公司必須將補(bǔ)丁管理作為更高的優(yōu)先級，因為零日攻擊不會很快消失。