Palo Alto Networks Cortex Xpanse 研究小組公佈一份新的報告,當中詳述了一些世界上最大的企業面向公眾的互聯網攻擊面。調查發現,近三分之一的漏洞是由於廣泛使用的遠端桌面協定 (RDP, Remote Desktop Protocol) 問題,自 2020 年初以來,隨著企業在 COVID-19 大流行期間加快遷移至雲端以支援遠端員工,該協定的使用激增。
(新聞稿)
不幸的是,因為 RDP 可以提供對伺服器的直接管理接入,使其成為勒索軟件攻擊最常見的網關之一。 這意味著對於攻擊者來說,更容易實現目標。然而,企業依舊可保持樂觀:因為已發現的大多數漏洞都可以輕鬆修復。
Cortex Xpanse 是全球互聯網收集和歸因平台,協助企業的資訊安全總監 (CISO) 持續發現、評估和緩解其外部攻擊面。
從一月到三月期間,該團隊監測了與 50 家全球企業相關針對 5000 萬個 IP 位址進行的掃描,以了解攻擊者如何快速識別易受攻擊的系統從而進行快速入侵。
以下是本次研究的主要發現:
攻擊者一刻不停
攻擊者夜以繼日地在企業網絡上尋找暴露在開放互聯網上的易受攻擊的系統。在過去一年中,企業系統的暴露程度急劇擴大,以支持遠端辦公人員。在通常情況下,攻擊者每小時進行一次新掃描,而全球企業則需要花費數周時間。
攻擊者急於利用新漏洞
一旦有新的漏洞公佈,攻擊者就會爭先恐後地加以利用。在今年一月至三月期間,通用漏洞揭露 (Common Vulnerabilities and Exposures, CVE) 公告發佈後 15 分鐘內攻擊者就開始掃描互聯網。攻擊者對微軟 Exchange Server 零日漏洞的反應速度更快,在微軟三月二日公佈後五分鐘內就開始掃描。
易受攻擊的系統廣泛存在
Cortex Xpanse 發現全球企業每 12 小時就會發現新的嚴重漏洞,或者每天兩次。
RDP 佔所有安全問題的三分之一
遠端桌面協議 (RDP) 約佔整體安全問題的三分之一 (32%)。其他經常暴露的漏洞包括錯誤配置的數據庫伺服器,來自微軟和 F5 等供應商的高知名度零日漏洞,以及通過 Telnet、簡單網絡管理協定 (Simple Network Management Protocol, SNMP)、虛擬網絡運算 (Virtual Network Computing, VNC) 和其他協定的不安全遠端存取。這些高風險漏洞如果被利用,許多都可以提供直接的管理接入。在大多數情況下,這些漏洞可以輕鬆修復,但它們對攻擊者來說是唾手可得的目標。
雲是最重要的安全問題
是次研究發現,全球企業中最重要的安全問題有 79% 由雲足跡引起。這說明雲運算的速度和特性為現代基礎設施帶來風險,特別是過去一年,隨著企業在新冠肺炎疫情期間將運算轉移到外部以實現遠端辦公的激增,雲環境的增長速度逐漸加快。
結論與建議
在現實中,數碼轉型為風險平衡帶來沖擊,使攻擊者受益。大多數 IT 與安全工具,即資產和漏洞管理,只側重於評估,而不是發現。換句話說,這些工具在管理已知資產的同時,對未知資產視而不見。更糟糕的是,常見的發現未知資產方法,如滲透測試 (Pen Testing) 每季度才進行一次。
這些計劃需要從基礎做起:
- 全球互聯網可視性:建立記錄系統,以跟蹤企業在公共互聯網上擁有的每一項資產、系統和服務,包括所有主要 CSP 以及動態租用 (商業和住宅) 的 ISP 空間,範圍涵蓋常用和通常會配置錯誤的埠/協定(不僅限於跟蹤 HTTP 和 HTTPS 網站的傳統觀點)。
- 深入歸因:使用完整的協定握手來檢測企業的系統和服務,以驗證在指定 IP 位址上運行的特定服務的詳細資訊。通過將這些資訊與大量公有和私有資料集融合,可以將完整且正確的面向互聯網系統和服務與特定組織或部門進行匹配。