当谈到入侵者如何进入网络时,这取决于组织的位置。Mandiant 首席执行官 Kevin Mandia 在 RSA Conference 2023 上向观众表示,鱼叉式网络钓鱼是欧洲最主要的攻击媒介,而基于凭证盗窃的攻击是亚洲第一大攻击类型。在美国,威胁行为者更喜欢利用漏洞以获得对系统的访问权限。
“目前,大约 32% 的情况下,零号受害者,当我们知道零号受害者时,这是一个漏洞。不一定是零日,而是一天、两天,”曼迪亚说。这是一个世界性的观点。仅在美国,这一比例就占已检测事件的 38%。
零日攻击
Mandiant 的研究显示,虽然零日漏洞的数量从 2021 年的高位 81 个下降到 2022 年的 55 个,但仍比 2020 年的数量增加了近一倍。网络犯罪团伙和民族国家行为者越来越多地使用零日漏洞,我们才刚刚开始看到其损害的严重性和广泛影响。
例如,2023 年 5 月,俄罗斯勒索软件团伙被指控通过名为MOVEit Transfer的托管文件传输软件中的缺陷发起零日攻击。正如零日漏洞的典型特征一样,它不是一个目标或受影响的公司,而是攻击可以影响使用该软件的任何组织。在这个特殊案例中,由于 SQL 注入问题,勒索软件的传播可能已经袭击了数百个组织,包括联邦政府机构、大学、银行和主要医疗网络。事实上,根据Security Boulevard 的说法,网络安全和基础设施安全局 (CISA) 和联邦调查局“都希望看到这项服务被大规模利用” 。
5 月份发现的另一起零日攻击利用了 Microsoft Exchange 中的漏洞。据信,这次袭击是由中国间谍组织实施的。据《安全周刊》报道,这种特殊的攻击通过电子邮件活动传播,“数百个组织的电子邮件安全设备受到攻击”。这与 Mandiant 的另一项发现相吻合——最常被利用的供应商是科技界的三巨头(微软、谷歌和苹果),而中国是零日漏洞利用的新兴参与者。
修补零日漏洞
运营 MOVEit 软件的 Progress Software发布了两个补丁来修复这些漏洞。但这可能还没有结束修补的需要。威胁行为者继续寻找并利用软件中的漏洞。
这引出了 Mandia 在 RSA 主题演讲中提出的一个观点:你必须修补你能修补的东西,但也要意识到并非所有东西都能修补。(MOVEit 漏洞是否满足后一个问题还有待观察。)
总体而言,补丁管理需要成为组织的首要任务。正如 Mandia 对 RSA 观众所说,如果您的组织没有识别并修补过去一年中发现的零日漏洞,“其他人会为您找到它。” 而其他人很可能是网络犯罪集团。
补丁管理失败
补丁管理长期以来一直是组织面临的一个问题。原因之一是补丁数量巨大。2021年,修复漏洞超过2万个。仅此一点就使得跟上步伐变得越来越困难。
即使掌握所有补丁很容易,用户也往往会忽略它们,认为在补丁发布后几天(或几周)内更新软件没什么大不了的。太多用户根本没有意识到不良补丁管理实践所涉及的风险。更糟糕的是,这是一个在安全意识培训中经常被忽视或很少关注的领域。尽管国土安全部建议在发布后 15 天内应用关键补丁,但情况仍然如此。
这导致了补丁管理中的另一个困境:什么才是真正关键的?许多安全团队在向整个组织推送补丁之前都有自己的程序。有时补丁发布得太快,以至于存在错误或无效,从而造成更大的危害。IT 团队希望首先在内部测试补丁,这可能会取代关键补丁警告。还有适当的程序来跟踪补丁部署并确保没有遗漏任何设备或系统。
紧跟零日趋势
为了掌握补丁管理的最新情况,IT 和安全团队还需要随时掌握现有的零日漏洞。CISA 提供了已知被利用漏洞的文档,其中包含潜在威胁的描述以及解决该漏洞所需采取的措施。
但这只是一个开始。由于零日仍然是一种流行的攻击媒介以及勒索软件和其他邪恶民族国家活动的门户,组织需要重新考虑其补丁管理流程。这可以包括重组部署以逐步应用补丁并监控问题,以及围绕补丁重要性进行更有条理的意识培训。提高对整个组织使用的设备的可见性也将有助于确保不会遗漏任何内容——这对于拥有远程工作人员的组织来说至关重要。
像 MOVEit 上的零日攻击这样的零日攻击不仅会对一个组织造成严重破坏,还会对许多组织造成严重破坏。由于正在开发的产品如此之多,似乎可能存在无数的漏洞,并且及时为所有这些漏洞提供补丁可能是不可能的。但当补丁可用时,请尽快部署。公司必须将补丁管理作为更高的优先级,因为零日攻击不会很快消失。