down arrow
CN
背景
背景

UNIT 42 攻击面威胁报告

未知资产和云活力给所有企业带来了攻击面风险。

了解这些暴露有助于安全团队缩小攻击面,从而主动保护企业的安全。以下调查发现通过 Cortex Xpanse 在 12 个月内收集的大量暴露和威胁数据,提供了对可通过互联网访问的这些暴露的洞察。

主动发现并解决未知

Xpanse 是一个主动攻击面管理平台,可帮助企业查找并自动修复互联网暴露系统上的漏洞。有了 Xpanse,企业在其环境中发现的资产通常比原来多 30-40%。

发现并解决未知问题

没有 Xpanse有了 Xpanse有了 Xpanse没有 Xpanse
了解更多
重置攻击面
视频叠加
顶角边框顶角边框
0
红线

配置错误的数据库

数据库安全性弱,容易发生数据泄露。例如:开放 MongoDB 实例、不安全的 MySQL 服务器等

0
红线

不安全的文件共享系统

文件传输系统缺乏适当的安全性,存在遭到破坏的风险。例如:未加密的 FTP、不安全的 Telnet 等

0
0
0
红线

IT 和安全基础设施配置错误

网络设置不正确,导致未经授权的访问。例如:防火墙管理页面、VPN 配置不当等

红线

伪造

伪造

红线

暴露的远程访问服务

不安全的远程访问点,容易出现未经授权的进入。例如:开放 RDP 端口、弱 SSH 身份验证等

红线

伪造

伪造

红线

构建控制系统

基础设施管理系统,可能容易受到网络攻击。例如:脆弱的 HVAC 系统等

0

0 自动解决的问题。5 等待建议的问题。

为了评估现代 IT 环境的动态性质,我们研究了企业在六个月内使用的不同云提供商上运行的新服务和现有服务的构成。

背景

云攻击表面波动

云的活力正在给安全控制带来压力

平均每月有超过 20% 的外部可访问云服务发生变化。如果没有持续的可视性,就很容易忽视意外的错误配置以及影子 IT 在企业内部的不断蔓延。

洞察

20%

基于云的关键 IT 基础设施每月发生变化

45%

每个月都有 45% 的新风险因这种波动而产生

Matt Kraning,Cortex Xpanse 首席技术官
企业应积极监控其攻击面,因为攻击面在不断变化,如果没有持续的可视性,就会有一些未知的例行漏洞被攻击者利用。”
Matt Kraning,Cortex Xpanse 首席技术官

Unit 42 分析了 30 个常见漏洞和暴露 (CVE) 的威胁情报,重现了对手开始利用它们的速度。

背景

攻击者以机器速度移动

CVE 公布后数小时内,攻击者就开始利用漏洞

值得注意的是,30 个漏洞中有 3 个在 CVE 公开披露后数小时内就被利用。30 个漏洞中有 19 个在公开披露后 12 周内被利用,凸显了与不完整和不一致的修补程序相关的风险。

洞察

3/30

CVE 相关暴露
在发布后一周内
被锁定

19/30

CVE 相关暴露在 12 周内
被锁定

Greg Heon,Cortex Xpanse 产品高级总监
重要的是要承认,虽然 CVE 可能会淡出公众视野,但它仍然与潜在的威胁行为者相关。因此,企业必须不断发现并修复自身的漏洞,缩小自己的攻击面。”
Greg Heon,Cortex Xpanse 产品高级总监

Unit 42 分析了勒索软件经营者经常使用的 15 个远程代码执行 (RCE) 漏洞。这些 CVE 是根据有关威胁行为者团伙的情报信息及其在发布后 12 个月内被积极利用的情况选出的。

背景

勒索软件投放

当日勒索软件投放

在这些关键的 RCE 漏洞中,有 3 个在披露后数小时内就被威胁行为者盯上,有 6 个在披露后 8 周内被利用。

洞察

3/15

CVE 相关暴露
在 CVE 发布后数小时内
成为攻击目标

6/15

CVE 相关暴露
在 CVE 被发布后 8 周内
被这些威胁行为者利用

Marshall Kuypers,Cortex Xpanse 技术支持总监
防御者应该依靠自动修复功能,在攻击者发现之前找到并修复其关键攻击面暴露。”
Marshall Kuypers,Cortex Xpanse 技术支持总监

2022 年 Unit 42 事件响应报告显示,暴力破解凭证攻击占成功勒索软件攻击的 20%。美国政府信息安全管理局 (CISA) 和美国国家安全局 (NSA) 最近发布的公告证实,网络犯罪分子一直将 RDP 作为高度脆弱的攻击载体。

背景

勒索软件投放协议

远程访问暴露导致勒索软件

在本报告分析的企业中,有 85% 在本月至少有一个可通过互联网访问的 RDP 实例在线。  在 600 多个事件响应案例中,2022 Unit 42 事件响应报告发现,50% 的目标企业在面向互联网的关键系统上缺乏多因素身份验证 (MFA)。

洞察

85%

在本报告分析的企业中,有 85% 在本月至少有一个可通过互联网访问的 RDP 实例在线。

Ross Worden,Unit 42 高级咨询总监
RDP 很容易被暴力破解。企业应识别并消除其环境中的 RDP 暴露。如果需要,在未启用 MFA 和其他补偿控制的情况下,不应使用 RDP。”
Ross Worden,Unit 42 高级咨询总监

世界各地的企业都会经历一些例行的错误配置和事故,这为通过互联网危害企业提供了便捷的途径。

背景

头号攻击面暴露

例行暴露提供了便捷的访问

Web 框架接管暴露、远程访问服务暴露以及 IT 和安全基础设施暴露合计占全球攻击面所有暴露的 60% 以上。企业需要每天处理并消灭这些问题,才能更好地控制和缩小攻击面。

洞察

23%

在所有暴露中,23% 属于 Web 框架接管暴露,允许攻击者主动寻找并锁定运行脆弱软件的网站。

20%

在所有暴露中,20% 属于远程访问服务,容易受到暴力破解攻击。

Dominique Kilman,Unit 42 咨询总监
暴露的 IT 和安全基础设施给企业带来巨大风险。  攻击者会将重点放在这些系统上,进入企业并破坏或禁用安全措施。持续的可视性和自动化可以帮助消除这些暴露。”
Dominique Kilman,Unit 42 咨询总监
背景

2023 年 Unit 42 攻击面威胁报告

了解攻击面暴露在全球不同行业中如何独树一帜并且经久不息。下载最新的 ASM 报告。