不是一個小時,不是30分鐘,不,是15分鐘。此時系統管理員通常必須對安全漏洞的發布做出反應,從而套用可能的安全性修補程式。
15分鐘開始行動…
在此之後,他們的基礎設施可能已經成為惡意攻擊者的目標。根據專門從事網路安全帕洛阿爾托網路公司的專家團隊Unit 42的最新報告,駭客正在警惕並不斷監控安全公告的發布。他們的目標顯然是獲得一種簡單快速的方法來存取公司網路並嘗試遠端執行程式碼。
然而,我們希望安全經理在缺陷發布和正式化後至少有幾個小時的時間。但在他的2022 年第 42 單元事件回應報告,團隊解釋說“攻擊者通常會在宣布 CVE 後 15 分鐘內開始掃描漏洞”。
警惕駭客的生態系統
掃描器實際上並不需要大量的專業知識,因此對所有類型的駭客開放,甚至是最初學者和訓練最少的駭客。然而,如果找到訪問權限,這項活動可能會非常有利可圖。攻擊者要么將其用於自己的目的,要么決定在暗網上將其出售給其他知道如何使用它的駭客。
如果攻擊性掃描從前 15 分鐘開始,則很快就會發生第一次攻擊。幾個小時內,攻擊開始被記錄,顯然是針對沒有時間修補的系統。
第 42 單元以一個嚴重缺陷為例,該缺陷允許在未經身份驗證的情況下執行遠端命令。該漏洞於 2022 年 5 月 4 日公佈,在 10 小時內已被掃描和利用(不一定成功)不少於 2,552 次。
Palo Alto Networks 的專家強調,用於糾正已公佈的缺陷的時間逐年減少。
然而,被動反應並不是一切。最有吸引力和最好的保護系統將簡單地使用零日漏洞進行攻擊,因此未列出。這顯然大大減少了攻擊面和能夠攻擊系統的駭客類型。
軟體和人類是攻擊的核心
有一點似乎是肯定的,軟體缺陷代表了攻擊的一個非常重要的部分。其中超過31%。過時的系統也是一種流行的網關。某些版本的 Apache 伺服器不再打補丁,但仍然是許多 Web 伺服器的基礎,並且都是電腦系統中的漏洞。因此,必須始終確保所有軟體平台都是最新的。對於基礎設施複雜且由或多或少舊的和添加的層組成的系統管理員來說,這種負擔可能會非常沉重。
有趣的是,人為因素仍然是攻擊者的最佳切入點。 2022 年上半年,網路釣魚佔攻擊的 37%。我們可以添加 5%社會工程形成一個PEBKAC類別(鍵盤和椅子之間存在問題)
如果新功能激發了人們的興趣,Unit 42 仍然指出,從邏輯上講,代表大部分攻擊量的缺陷是相當古老的。除了暴露時間問題之外,這還可以透過與漏洞的新鮮程度無關的其他標準來解釋,例如它們所代表的攻擊面、實施攻擊的難度及其具體影響。
一些建議...
帕洛阿爾托網路網路專家小組建議系統管理員盡可能讓裝置保持離線狀態,並且僅透過 VPN 或安全存取將它們連接到企業網路。同樣,對伺服器的存取必須盡可能受到限制和控制。這不僅降低了攻擊風險,還讓您有更多時間應用緊急安全更新。
最終,在不惜一切代價維持服務永久可存取和快速應用修補程式(即使這意味著中斷它)之間,最好選擇第二個選項。 Unit 42 建議,其後果將更容易管理。
來源 : 電腦發出蜂鳴聲
