日前，專業網絡安全廠商Comcast Business發布了《2023年網絡威脅態勢報告》，旨在幫助企業及其他機構的技術和安全領導者們更深入地了解網絡安全威脅的趨勢，并采取正確措施應對威脅。報告研究認為，雖然攻擊者的工具和手法發生了變化，但其攻擊的底層邏輯并沒有變化，仍然是建立在情感操縱和社會工程的基礎上。因此，網絡安全攻防的本質并未改變。但是游戲的規則在不斷變化，非專業的攻擊者也能快速獲取到大量的漏洞信息、攻擊工具甚至攻擊服務，在一個“變化即現實”的網絡安全環境中，保持對各種攻擊信息的及時獲取和更新，將成為開展網絡安全防護建設時的最基礎要求。

內部漏洞威脅不斷加劇

每個企業，無論規模大小，都可能因一次點擊而遭受損失巨大的網絡攻擊。更糟糕的是，今天的黑客比以往更容易找到可利用的潛在漏洞。過去，大多數攻擊都是從利用暴露的外部網絡資產漏洞開始的，而如今，很多被攻擊者利用的漏洞源于企業內部員工或第三方合作伙伴。

對企業組織而言，攻擊者的攻擊企圖是不可避免的，且可能超出了企業的控制。但企業組織能控制的是，選擇在攻擊實際發生前做好防護計劃和準備，還是在攻擊發生后再去善后。為了應對不斷加劇的潛在漏洞威脅，報告研究人員給出了以下建議：

1、做好網絡邊界防護仍然重要

并不是所有的攻擊都發生在企業的網絡內部，但是大多數攻擊者都會將進入到企業的內部網絡作為一個重要目標，因為這是企業的“皇冠上的珠寶”所在。一旦進入企業的內部網絡，用于傳播和破壞的攻擊策略就會迅速升級，破壞的程度也會大幅提升。 

2、識別常見的入侵策略

攻擊者會使用一個策略完整的工具箱來攻擊企業的網絡，但最常使用的仍然是一些最流行的方法和策略，因為這些策略的適用范圍更廣，對攻擊者的專業要求也較低。在此次調查結果中，10次入侵嘗試就有9次是從網絡釣魚開始的，這與行業統計數據基本一致。此外，濫用憑據、遠程終端利用、弱口令等也是黑客們經常使用的入侵策略。

3、體系化縱深防御

對于企業組織而言，要想有效地檢測、阻止和緩解大數據量級別的攻擊活動，不僅需要專業的安全團隊和知識積累，還需要覆蓋一定的規模，同時要申請配備足夠的資源來進行保障。報告數據顯示，在2022年期間，Comcast Business威脅實驗室共檢測到235億次網絡攻擊企圖，按ATT&CK戰術具體細分，可分解為：2.428億次偵察嘗試；2470萬次資源獲取嘗試；20.3億次初始訪問嘗試；32億次策略執行嘗試；4930萬次持久化嘗試；2.228億次提權嘗試；8.317億次防御繞過嘗試；1.767億次憑據獲取嘗試；40萬次資產發現嘗試；1.553億次橫向移動嘗試；62.5億次非法命令和控制嘗試；1.439億次數據滲漏嘗試；101億次攻擊影響嘗試。

網絡攻擊的本質未變

報告研究發現，網絡釣魚仍然是攻擊者當前發起初始網絡攻擊的最流行手段，而獲取訪問憑證則是網絡釣魚攻擊者的最主要目標。在2022年，研究人員共檢測到近20億次（1,830,533,465次）網絡釣魚嘗試，其中大多數可以直接識別為試圖獲得初始訪問權限。盡管很多網絡釣魚在直接獲取憑證方面不一定有效，然而，攻擊者擅長利用人性弱點來獲得入侵網絡的初始立足點，這可以幫助他們后續訪問到大量產生憑據的域服務器和數據庫。

研究人員在網絡釣魚攻擊活動中，檢測到大量的憑證盜竊惡意軟件，主要類型包括：

• 34%為財務信息和憑據：包含假冒銀行網址的網絡釣魚活動，旨在竊取實施信用卡盜竊所需的信息；
• 60%為其他憑據盜竊：利用社交媒體頁面中的實際帖子進行網絡釣魚活動。這些帖子使用網址縮短器鏈接到釣魚網站，以避免被社交媒體平臺標記和刪除；
• 6%涉及惡意文件的盜竊：使用需要用戶交互的惡意文檔進行網絡釣魚活動。

凡是能夠獲得“合法”憑據的攻擊者，都將是強大而危險的敵人，因為他們可以對應用程序進行身份驗證、安全繞過、提升特權并隨意進行惡意活動。調查發現了超過5400萬次濫用初始訪問憑證的嘗試，包括暴力破解以及失敗的登錄嘗試。在暗網市場上，目前最搶手的是遠程桌面協議（RDP）訪問的有效憑據。研究發現，大約68%的暗網帖子與銷售RDP訪問憑據有關。

在新冠疫情大流行期間，許多組織急于為員工啟用遠程訪問，這也導致了大量未使用的端口暴露。數據顯示，攻擊者利用易受攻擊的RDP配置，進行了超過1.85億次嘗試，以獲得對目標網絡的遠程訪問。RDP漏洞也越來越多地被用于通過勒索軟件（如Maze、Venus和Ryuk）感染網絡。

不過，RDP漏洞并非唯一流行的選項。未經身份驗證的用戶也在利用傳輸控制協議（TCP）中的漏洞，并進行了1.39億次嘗試來與目標服務器建立TCP連接。研究數據顯示，網絡釣魚、RDP漏洞和憑據濫用媒介占所有初始訪問嘗試的95%。停放域名、MitM活動和惡意url占剩余的5%。

利用率最高的10大安全漏洞

在報告中，研究人員總結了在2022年被攔截次數最多的10大漏洞利用企圖：

允許未經身份驗證的遠程攻擊者連接到監聽端口8888的“CloudMe Sync”客戶端應用程序，并發送惡意負載，導致緩沖區溢出，存在顯著的信息披露風險。

研究人員特別指出，早在2021年就已經被發現的Log4j漏洞直至現在仍然流行。研究表明，到目前為止，五分之三的組織都經歷過Log4j漏洞攻擊，并實際發生了后門惡意軟件安裝，系統憑據和數據盜竊，以及植入加密礦工惡意軟件等惡意結果。Log4j漏洞之所以流行，是因為它被廣泛部署在數百萬個java應用程序中，這使得72%的組織容易受到攻擊。而在2022年10月時，只有28%的易受攻擊的組織已經修復或修補了易受攻擊的應用程序。即便是許多修復了該漏洞的組織，在將新系統引入其網絡環境時還會再次引入Log4j漏洞。

DDoS攻擊出現新變化 

報告數據顯示，全球DDoS攻擊數量在2022年略有下降。然而，這并不意味著它們不再是企業的主要網絡威脅關注點。報告觀察到DDoS活動的起伏和變化，在某些行業甚至發生了更大的集中。在2022年，研究人員共檢測到51915次DDoS攻擊。

【2022年Comcast Business每月檢測到的DDoS攻擊次數】

調查顯示，大部分DDoS攻擊的時間都在10分鐘以內完成。自2022年以來，短爆發型DDoS攻擊的趨勢一直在持續。短－爆發攻擊更難被企業組織檢測到，特別是如果組織試圖使用防火墻速率限制策略，而非運營商級服務來阻止它們時。多個短時間攻擊就能夠快速耗盡企業IT團隊的資源，攻擊者可以將分散IT團隊注意力作為煙幕，執行更危險的攻擊。

教育行業（46%）是DDoS攻擊的重要目標領域，而IT和技術服務（25%）細分市場也出現了DDoS攻擊增長趨勢，取代了政府部門，成為2022年遭受攻擊的前四大行業。最近另一個引人注目的DDoS攻擊目標是醫療保健行業（13%），這也促使美國政府在2023年初發布了一份特別公告。

2022年期間，DDoS攻擊的戰術并沒有太大改變。大多數攻擊仍然使用低復雜性、高影響力的泛洪技術。總流量、UDP和TCP Sync是目前使用最多的三個攻擊向量。不過多向量攻擊將DDoS提升到一個新的水平，允許攻擊者創建更復雜的攻擊。它們的使用量正在上升。然而，它們需要專業知識才能實現，這就是為什么研究人員認為“行之有效”的技術仍然占主導地位。

降低網絡安全風險的最佳實踐

了解過去的安全威脅和數據泄露趨勢只是成功的一半。沒有哪個組織是完美的，但每個企業都需要一個明確的網絡安全戰略和路線圖。許多組織仍然采用分散的安全控制措施，并留下了大量的缺口和殘留的風險。隨著攻擊者開始使用多種媒介來破壞安全控制，防御者也需要采取“縱深防御”的方法來降低風險。在本次報告中，研究人員也給出了一些指導性建議，以幫助企業組織改善當前的安全態勢。

• 網絡釣魚：開展持續性的全員安全意識培訓，并部署新一代郵件安全網關服務來檢查每封郵件中的危險附件和url。
• 憑據安全：企業應該通過具有多因素身份驗證的集中式身份代理對所有資源進行身份驗證；在整個組織中集中目錄管理，并創建將目錄列表與人力資源部門聯系起來的流程；要對域名和特權賬戶進行安全審計。
• 零信任訪問：企業應積極實施零信任策略，在沒有適當身份驗證的情況下阻止不安全用戶對網絡、主機和應用程序資源的訪問，特別是對關鍵基礎設施和關鍵數據的訪問。
• 特權訪問管理：企業應創建一個安全的保管庫，專門用于管理和存儲用于訪問跳轉服務器等關鍵系統的特權賬號憑據；并在硬件安全模塊（HSM）中存儲證書私鑰。
• 遠程訪問管理：企業應該使用MFA為所有的外圍遠程資產（如域控制器、VPN控制器、公開的遠程桌面協議和遠程桌面管理系統）實現基于身份的憑據訪問。
• 數據安全：企業應該使用即使管理員也無法修改的不可變數據備份計劃，并保護和加密備份解決方案。
• 漏洞管理：企業應該定期進行漏洞掃描；盡快為組織更新和修補所有軟件；將已知的高風險漏洞與利用嘗試相關聯，以優先考慮補丁管理；在補丁管理計劃中跟蹤開源和第三方軟件庫；定期進行安全性滲透測試。
• 配置管理：用標準的“黃金映像（gold image）”配置鎖定服務器和桌面，以減少攻擊面；使用集中式配置和補丁管理推送更新，防止配置漂移情況發生。
• 端點安全：實現全面、一體化的端點威脅檢測和響應；將傳統的防病毒系統進行優化改進，加強對無文件惡意軟件的防護能力。
• 網絡分段：企業應該對辦公網絡進行分段，以最大限度地減少攻擊者可以達到的潛在攻擊半徑，例如，在前臺和后臺事務處理系統或機密數據庫之間劃分獨立的IP地址端。
• 網絡邊界安全：在網絡邊界和每個網段部署UTM防火墻檢查，以幫助阻止橫向移動；實施DNS安全措施，以幫助阻止DGA（域名生成算法），防止受損的用戶和主機被鏈接到惡意域和IP地址。
• 威脅監控：企業要持續監控整個數字化環境中的安全事件和危險行為；考慮使用管理檢測和響應（MDR）服務來外包安全事件檢測、事件響應和威脅搜索；盤點安全日志源，并將其合并到一個中央位置進行監控。
• 事件響應：制定明確的事件響應計劃，為數據泄露做好準備，包括恢復系統、數據和業務流程的步驟；讓每個人都參與進來，包括高級組織領導、法律顧問和關鍵業務職能部門，而不僅僅是IT團隊；要將響應計劃詳細記錄在紙上，并定期舉行桌面演練和培訓。

參考鏈接：

https://business.comcast.com/community/docs/default-source/default-document-library/ccb_threatreport_071723_v2.pdf?sfvrsn=c220ac01_2。