3 个被忽视的网络安全漏洞

以下是 2022 年最严重的三种违规行为、攻击者策略和技术，以及可以为他们提供有效企业安全保护的安全控制措施。

#1：2个月内发生13次RaaS攻击#

勒索软件即服务是一种将勒索软件软件和基础设施出租给攻击者的攻击类型。这些勒索软件服务可以在暗网上从其他威胁行为者和勒索软件团伙处购买。常见的购买计划包括购买整个工具，使用现有基础设施同时为每次感染付费，或者让其他攻击者在与他们分享收入的同时执行服务。

在这次攻击中，威胁行为者由最普遍的勒索软件组织之一组成，专门通过第三方进行访问，而目标公司是一家在美国拥有数十个站点的中型零售商。

威胁行为者使用勒索软件作为服务来破坏受害者的网络。他们能够利用第三方凭据获得初始访问权限，横向推进并赎回公司，所有这些都在短短几分钟内完成。

这次攻击的速度是不同寻常的。在大多数 RaaS 案例中，攻击者通常会在网络中停留数周和数月，然后才要求赎金。这次攻击特别有趣的是，该公司在几分钟内就被赎回了，不需要发现或数周的横向移动。

日志调查显示，攻击者的目标是该系统中不存在的服务器。事实证明，受害者最初在第二次勒索软件攻击前 13 个月遭到破坏并勒索。随后，第一个攻击者组不仅通过他们获得的赎金，而且还通过将公司的网络信息出售给第二个勒索软件组来将第一次攻击货币化。

在两次攻击之间的13个月内，受害者更改了其网络并删除了服务器，但新的攻击者并不知道这些架构修改。他们开发的脚本是为以前的网络图设计的。这也解释了他们如何能够如此迅速地攻击 - 他们拥有大量有关网络的信息。这里的主要教训是，勒索软件攻击可以由不同的群体重复，尤其是在受害者支付高价的情况下。

“像这样的RaaS攻击是一个很好的例子，说明完全可见性如何允许早期警报。支持所有边缘的全球融合云原生 SASE 平台（如 Cato Networks）提供对网络事件的完整网络可见性，这些事件对其他提供商不可见或可能作为良性事件被忽视。而且，能够完全将事件置于上下文中，可以及早发现和补救。

#2：对辐射警报网络的关键基础设施攻击#

对关键基础设施的攻击正变得越来越普遍和危险。供水厂、污水处理系统和其他此类基础设施的破坏可能使数百万居民面临人类危机的风险。这些基础设施也变得越来越脆弱，像Shodan和Censys这样的OSINT攻击面管理工具允许安全团队轻松找到这些漏洞。

2021年，两名黑客涉嫌针对辐射警报网络。他们的攻击依赖于为第三方工作的两名内部人士。这些内部人员禁用了辐射警报系统，大大削弱了他们监测辐射攻击的能力。然后，攻击者能够删除关键软件并禁用辐射计（这是基础设施本身的一部分）。

“不幸的是，扫描关键基础设施中的易受攻击的系统比以往任何时候都容易。虽然许多此类组织具有多层安全性，但他们仍在使用单点解决方案来尝试保护其基础架构，而不是一个可以全面查看整个攻击生命周期的系统。违规行为从来都不仅仅是网络钓鱼问题，凭据问题或易受攻击的系统问题 - 它们始终是威胁行为者执行的多种妥协的组合，“Cato Networks安全战略高级总监Etay Maor说。

#3：从网络钓鱼开始的三步勒索软件攻击#

第三次攻击也是勒索软件攻击。这一次，它由三个步骤组成：

1. 渗透 - 攻击者能够通过网络钓鱼攻击获得对网络的访问权限。受害者点击了一个链接，该链接生成了与外部站点的连接，从而导致下载了有效载荷。

2. 网络活动 - 在第二阶段，攻击者在网络中横向推进了两周。在此期间，它收集了管理员密码并使用了内存中的无文件恶意软件。然后在除夕夜，它执行了加密。之所以选择这个日期，是因为它（正确地）假设安全团队将休假。

3.渗透 - 最后，攻击者将数据上传到网络之外。

除了这三个主要步骤外，攻击期间还使用了其他子技术，受害者的点安全解决方案无法阻止这次攻击。

“多阻塞点方法，一种横向（可以这么说）看待攻击而不是一组垂直的、脱节的问题的方法，是加强检测、缓解和预防此类威胁的方法。与普遍的看法相反，攻击者需要多次正确，而防御者只需要正确一次。实施多阻塞点方法的基础技术是通过云原生骨干网实现全面的网络可见性，以及基于 ZTNA 的单通道安全堆栈，“Cato Networks 安全战略高级总监 Etay Maor 说。

安全点解决方案如何叠加？

安全专业人员屈服于“单点故障谬误”是很常见的。但是，网络攻击是复杂的事件，很少只涉及一种策略或技术，这是导致违规的原因。因此，需要全方位的前景来成功缓解网络攻击。安全点解决方案是针对单点故障的解决方案。这些工具可以识别风险，但它们不会连接点，这可能并且已经导致违规。

以下是未来几个月的注意事项

根据Cato Networks安全团队正在进行的安全研究，他们已经确定了另外两个漏洞和漏洞利用尝试，他们建议将其包含在您即将推出的安全计划中：

1. Log4j

虽然 Log4j 早在 2021 年 4 月就首次亮相，但它发出的噪音并没有消失。攻击者仍在使用Log4j来利用系统，因为并非所有组织都能够修补其Log4j漏洞或检测Log4j攻击，即所谓的“虚拟修补”。他们建议优先考虑 Log<>j 缓解措施。

2. 防火墙和 VPN 配置错误

防火墙和VPN等安全解决方案已成为攻击者的接入点。修补它们变得越来越困难，尤其是在架构云化和远程工作的时代。建议密切关注这些组件，因为它们越来越脆弱。

如何最大限度地减少攻击面并获得对网络的可见性

为了减少攻击面，安全专业人员需要了解其网络。可见性依赖于三大支柱：

可操作信息 - 可用于缓解攻击

可靠的信息 - 最大限度地减少误报次数

及时的信息 - 确保在攻击产生影响之前进行缓解

一旦组织完全了解其网络上的活动，他们就可以将数据上下文化，决定是否应该允许、拒绝、监控、限制（或任何其他操作）目睹的活动，然后有能力执行此决定。所有这些元素都必须应用于每个实体，无论是用户、设备、云应用等。无时无刻不在。这就是 SASE 的全部意义所在。