在不斷發展的網絡安全領域，攻擊者總是在尋找組織環境中的安全防護薄弱環節，并且他們所覬覦的不只是某些單獨安全弱點，而是相互結合的暴露面風險和攻擊路徑，以達到攻擊目的。因此，企業網絡安全防護需要從確定薄弱環節入手，了解公司可能被攻擊的路徑，并實施適當的預防和檢測方法，這有助于增強企業網絡的安全彈性。在本文中，列舉了6個真實的網絡攻擊路徑實例，可以幫助企業組織了解不斷變化的網絡威脅。

實例一：某大型金融業機構

一家大型金融公司因未采取安全措施的DHCP v6廣播而受到惡意中間人攻擊。攻擊者利用該漏洞侵入了大約200個Linux系統。這些攻擊可能導致客戶數據泄露、勒索攻擊或其他后果嚴重的惡意活動。

• 攻擊路徑：利用DHCP v6廣播執行中間人攻擊，進而攻擊終端計算設備上的Linux系統。
• 攻擊影響：危及該組織約200個Linux服務器系統，可能導致數據泄露或遭到勒索攻擊。。
• 防護建議：禁用DHCP v6協議，給易受攻擊的Linux系統打上安全補丁，同時對開發人員加強SSH密鑰安全方面的意識教育。

實例二：某大型國際化旅游公司

一家大型國際化旅游公司在完成對某企業的并購后，對其IT基礎設施進行了整合。在此過程中，由于資產識別不全面，未能在一臺被忽視的業務服務器上打關鍵安全補丁。這個疏忽導致該公司受到了PrintNightmare和EternalBlue等已知漏洞利用的攻擊，并危及其他關鍵數據資產安全。

• 攻擊路徑：利用未及時安裝補丁的服務器缺陷，包括PrintNightmare和EternalBlue等在內的已知安全漏洞。
• 攻擊影響：獲取非法訪問權限，竊取關鍵數據資產。
• 防護建議：全面梳理網絡資產，禁用不必要的服務器，開展攻擊面管理。

實例三：某全球性金融機構

一家全球性金融機構在日常性開展面向客戶的語音呼叫服務時，發現其員工服務賬戶、SMB端口、SSH密鑰和IAM角色被非法攻擊者利用的復雜攻擊。

• 攻擊路徑：涉及服務賬戶、SMB端口、SSH密鑰和IAM角色等復雜路徑。
• 攻擊影響：危及關鍵數據資產安全，可能釀成災難性數據泄露事件。
• 防護建議：刪除SSH私鑰，重置IAM角色權限，并刪除不安全的用戶賬戶。

實例四：某公共交通運輸服務公司

一家公共交通運輸公司在其遠程會議系統中，發現了一條從DMZ服務器到域均被非法攻擊者控制的直接攻擊路徑，這最終導致了和該會議系統相關的整個域被攻陷。

• 攻擊路徑：從DMZ服務器到域被攻陷的直接路徑。
• 攻擊影響：域控制器被攻陷，整個域都被攻擊者控制。
• 防護建議：限制管理員用戶的權限，刪除可疑的用戶賬戶。

實例五：某大型醫療衛生機構

一家醫院的客戶服務中心呼叫系統中，因Active Directory配置錯誤導致了安全漏洞產生并被攻擊者所利用。這種錯誤配置允許任何經過身份驗證的用戶輕易重置密碼，這就為攻擊者提供了一條更便捷的攻擊路徑。

• 攻擊路徑：利用Active Directory配置錯誤重置密碼，非法獲取合法用戶的賬戶訪問權限。
• 攻擊影響：合法賬戶的非法接管，業務數據泄露。
• 防護建議：Active Directory安全加固，部署更安全的多因素認證機制。

實例六：某大型航運物流公司

一家大型航運物流公司，已經實施了相對充分的安全措施，并制定了安全防護要求。然而在一次風險排查活動中，安全團隊仍然在其客服系統中，發現了一條復雜的攻擊路徑，從服務人員的工作站到Azure云上系統，多個員工賬戶被非法獲取，攻擊者可以利用該路徑進入到整個企業的網絡環境中。

• 攻擊路徑：從工作站系統到Azure的復雜攻擊路徑。
• 攻擊影響：可能危及整個企業環境。
• 防護建議：定期調整用戶角色，增強對訪問活動的監控，提升網絡可見性。

參考鏈接：

https://thehackernews.com/2023/10/unraveling-real-life-attack-paths-key.html。