2022年攻击路径研究:94%的网络攻击仅需4步即可完成

已于 2023-10-14 22:24:47 修改
阅读量1k 收藏 2
点赞数
分类专栏: 网络安全 程序人生 黑客 文章标签: 程序人生 网络安全 web安全 安全
于 2022-11-14 10:12:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Button12138/article/details/127842235
版权
网络安全 同时被 3 个专栏收录
150 篇文章 22 订阅
订阅专栏
黑客
60 篇文章 0 订阅
订阅专栏
程序人生
16 篇文章 0 订阅
订阅专栏

日前,XM Cyber研究团队针对200万个本地、多云和混合环境中的端点、文件、文件夹和云资源进行分析,形成了《2022年攻击路径管理影响报告》(Attack Path Management Impact Report 2022,以下简称“报告”),揭示了在当前企业网络及云环境中危害企业关键资产的攻击技术、攻击路径和影响。

通过调研,报告建议组织通过查看整个环境来了解攻击者如何实施攻击,重点不应仅仅聚焦在安全漏洞上,还有很多其他问题需要处理。调查数据显示,新一代攻击者仅需4个“跃点(hop,即攻击者从入侵点到破坏关键资产所采取的步骤数量)”,就能从初始攻击点破坏94%的关键资产。孤立的安全工具只关注某些特定的安全工作,但多种攻击技术的组合才是组织面临的最大风险。安全团队需要仔细研究其环境中存在的混合云攻击、错误配置和身份问题。

报告认为,在应用更加广泛的云环境中,需要注意有许多看似合规的小问题,但当把它们累积时,会发现这是一个很大的风险,甚至会产生一种意想不到的后果。当企业将所有这些放在一起时,会发现本地和云以及它们之间的关系才是我们需要解决的关键领域。很多企业仍然不能清晰了解自身的安全状态,并了解所有可能危及在本地和云环境中业务的风险。为了更好了解攻击的变化,以及这些变化如何影响风险。对攻击路径进行建模来预测风险是一种值得尝试的方法。

报告的关键发现

攻击者最多只需4个“跃点”即可完成94%的网络攻击;

一个组织75%的关键资产在其当时的安全状态下可能已经受到损害;

73%的主流攻击技术涉及管理不善或被盗的凭据,27%的主流技术涉及漏洞或配置错误;

企业中95%的用户都拥有长期访问密钥,这可能会危及关键资产安全;

面对新的RCE(远程代码执行)技术,78%的企业可能受到威胁;

75%的企业拥有面向外部的EC2(AWS提供的一种计算服务,以EC2实例形式存在,一个EC2实例可以被认为是一个虚拟机)设备,对关键资产构成风险;

知道从哪里中断攻击路径,需要修复的问题会减少80%。

Top 12攻击技术

报告显示,73%的主流攻击技术涉及管理不善或被盗的凭据;而27%的主流技术涉及漏洞或配置错误。

1. 域凭据(利用受损凭据、哈希传递攻击等),占比23.7%;

2. “投毒”共享内容(文件共享问题、权限),占比14.2%;

3. 组策略修改(域控制器妥协,滥用组策略),占比10.1%;

4. 本地凭据,占比9.5%;

5. PrintNightmare漏洞,占比8.1%;

6. 凭据中继攻击,占比7.2%;

7. Exe Share Hooking(可执行文件的权限),占比6%;

8. Microsoft SQL凭据,占比5.6%;

9. WPAD欺骗(中间人攻击技术),占比4.7%;

10. 可达性(网络分段问题),占比4.2%;

11. 凭据转储,占比3.9%;

12. 虚拟机上的Azure运行命令,占比2.8%。

安全建议:强大的补丁管理将减少攻击向量并防止漏洞被利用。此外,通过使用操作系统本身的安全功能(如用户身份验证),也可以防止大量滥用不同凭证问题的攻击向量。需要注意的是,我们还应摒弃“修补漏洞就可以解决所有问题并阻止横向移动”这种错误认知。研究表明,近30%的攻击技术滥用错误配置和凭据来入侵和破坏组织。

目前常见的新攻击技术

XM网络研究团队将2021年针对企业使用的所有新攻击技术分为三组:云技术、远程代码执行(REC)技术以及将云和REC结合起来(REC+云)的技术,以了解攻击面的范围以及高级持续威胁(APT,即结合多种技术来破坏目标)的使用情况。结果显示:

在测试环境中发现87%的新型云技术;

在测试环境中发现70%的新型REC技术;

在测试环境中发现82% 的新型REC+云技术。

而这些技术对企业的影响结果为:

32%的企业可能会受到新型云技术的威胁;

78%的企业可能会受到新型RCE技术的影响;

90%的企业可能会受到新型RCE+云技术的影响。

安全建议:这些是企业需要关注并积极努力在其环境中消除的技术。当一种新的RCE技术出现时,近80%的企业可能会受到威胁,而当它与云技术结合在攻击路径中,90%的企业可能会受到威胁。显然,如果有这么多漏洞可以很轻松地被利用,那么企业的补丁管理是低于标准且无效的。

跨本地和云的攻击路径

在混合网络架构中,攻击路径可能会变得非常复杂。该研究揭示了跨本地和云环境中存在的安全漏洞和攻击技术,以及对所有环境中的关键资产保持全面可视性的重要意义。

企业在迁移至混合云环境时可能并没有明确定义战略。对此,企业可以允许各个部门采用自己的迁移策略。有时,缺乏统一迁移战略的原因可能涉及更广泛的业务事件,例如收购了拥有一个云服务供应商的企业,或是与其他使用不同云供应商的企业合并。这种计划外的大规模云环境的复杂性和攻击面数量会影响整个企业IT资源的安全性,包括:资产、网络、平台和应用程序安全。

XM网络研究团队还深入研究了专用于混合云、AWS和Azure环境中的攻击技术:

在混合云中,41%的混合云组织(不止一个云供应商)在其环境中使用了“本地到云”(On-prem to Cloud)技术;38%的Azure组织在其环境中使用了“云到本地”(Cloud to On-prem)技术;95%的用户拥有长期访问密钥,这可能会增加关键资产面临的风险。

安全建议:研究表明,组织在云和本地网络之间存在脱节——在许多情况下,企业有管理X的devops 团队,以及管理Y的团队,但它们之间缺乏连接的上下文——这些攻击揭示了它们之间的隐藏联系。只有通过查看跨混合网络的攻击路径,团队才能实现协作并有效地缩小缺口。

披荆斩棘的GG
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一种网络攻击路径的分析方法.docx
09-30
一种网络攻击路径的分析方法.docx
虚拟专题:知识图谱 | 基于网络防御知识图谱的0day攻击路径预测方法
weixin_45585364的博客
04-18 1345
来源:网络与信息安全学报基于网络防御知识图谱的0day攻击路径预测方法孙澄,胡浩,杨英杰,张红旗信息工程大学摘要:针对 0day 漏洞未知性造成的攻击检测难问题,提出了一种基于知识图谱的 0day 攻击路径预测方法。通过从现有关于网络安全领域本体的研究成果及网络安全数据库中抽取“攻击”相关的概念及实体,构建网络防御知识图谱,将威胁、脆弱性、资产等离散的安全数据提炼...
溯源(二)之 windows-还原攻击路径
最新发布
A_991128a的博客
04-10 1025
我们可以通过这些敏感id去排查攻击者的一些操作,攻击者通过一些web漏洞,控制了我们的主机,那他会不会进行一些远程登录,或者是创建一些用户,留下一些后门,这些我们都可以通过Windows的安全日志去查看,我们在护网中,如果去溯源出了攻击者留下的账号或者后门,那这也是溯源的一部分,同时也是加分项,在日常的应急响应中,也要我们去排查,排查攻击者对服务器做的一些权限维持等操作,我们要去排查并清理这些出权限维持。这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。
论文研究-一种基于攻击图的攻击路径预测方法 .pdf
08-16
一种基于攻击图的攻击路径预测方法,王辉,王云峰,现有攻击图的路径预测方法,存在着因路径冗余而导致的节点置信度错误计算问题。这些问题降低了节点置信度的准确性,影响了路径
面向APT家族分析的攻击路径预测方法研究.pdf
05-08
APT攻击现状; 基于APT恶意软件基因的可靠数据获取; 还原预测攻击者的战术意图及主攻方向; APT家族分析;
网络安全-攻击路径
qinden的博客
01-26 1355
仔细寻找后发现网站后台存在模板配置,并且模板文件名及内容均可控,于是通过抓包修改注入PHP探针,最终可以获取网站的WebShell,获得网站的控制权。通过WebShell,攻击者可以进一对内网其他系统进行渗透。
攻击路径管理(APM)影响力报告》‘Attack Path Management Impact Report 2022 _X’
09-30
XM Cyber Research 团队对2021攻击路径管理平台的分析和见解。影响力报告开始于仔细研究攻击路径的方法,然后揭示了攻击技术用于破坏组织间的关键资产的影响,无论是混合云,还是On-PREM还是多云架构。
基于因果知识网络的攻击路径预测方法
01-14
针对现有攻击路径预测方法无法准确反映攻击攻击能力对后续攻击路径的影响,提出了基于因果知识网络的攻击路径预测方法。借助因果知识网络,首先通过告警映射识别已发生的攻击行为;然后分析推断攻击者能力等级,...
高速网络中可控攻击源追踪标记方法研究
01-13
在高速网络环境下对可控攻击源进行追踪,采用传统方法难以重构攻击路径,导致方法研究效果较差,针对现有的攻击问题,提出了高速网络中可控攻击源追踪标记方法研究。分析可控攻击攻击过程,使用IMCP协议定位报文,...
基于概率属性网络攻击图的攻击路径预测方法
07-07
为准确预测网络攻击路径信息,提出一种基于概率属性网络攻击图(PANAG)的攻击路径预测方法。利用通用漏洞评分系统对弱点属性进行分析,设计节点弱点聚类算法以减少弱点数目,同时提出概率属性网络攻击图生成算法...
基于攻击路径威胁分析的网络安全度量技术的研究.pdf
09-19
基于攻击路径威胁分析的网络安全度量技术的研究.pdf
用于网络路径规划中寻找端到端(点到点)最短路径的蚁群算法.rar
08-19
这个算法是用于网络拓扑矩阵中端到端寻址的蚁群算法。 CSDN上面的蚁群算法基本都是南京某大学老师写的算法,用于旅行商问题(TSP问题)。 目前已有很多研究将蚁群算法用于网络路由寻址,比如波分复用网络和弹性光网络的路由分配问题经常用到蚁群算法,然而网络上的蚁群算法只能用于遍历全局寻找最短遍历路径,不能用于寻找网络中的最短路由路径。因为在网络驯鹿中不要遍历整个网络节点。 这个matlab程序使用的是弹性光网络中常见的NSFNET网络拓扑(不懂这个网络拓扑的请自己百度……)。 使用方法: 在matlab中直接打开并运行Ant_Colony_net_rout2.m文件。 具体骤解释在代码中已经详细写出。 由于这个算法感觉跑的太慢了…………懒得测试了……所以不能完全保证寻到的路都对…… 为了保证最后寻路的最短路径没错,附带一个ksp网络路由寻路算法(这个是网上找的)。自己跑的几个测试结果是没错的。 KSP算法使用方法: 在KSP-algorithm文件夹中,打开并运行gen_k_shortest_path.m,输出结果保存在ouput_1.txt中,注释已经写了……自己看吧……不想一个个解释
常见网络安全攻击路径分析与防护建议
网络安全
11-15 2426
攻击路径是指网络攻击者潜入到企业内部网络应用系统所采取的路径,换句话说,也就是攻击者进行攻击时所采取的相关措施。攻击途径通常代表着有明确目的性的威胁,因为它们会经过详细的准备和规划。从心怀不满的内部人员到恶意黑客、间谍团伙,都可能会利用这些攻击路径,窃取公司技术、机密信息或敲诈钱财。
网络安全的学习方向和路线是怎么样的?
MachineGunJoe666
09-29 6186
大家好,我是周杰伦! 最近有同学问我,网络安全的学习路线是怎么样的? 废话不多说,先上一张图镇楼,看看网络安全有哪些方向,它们之间有什么关系和区别,各自要学习哪些东西。 在这个圈子技术门类中,工作岗位主要有以下三个方向: 安全研发 安全研究:二进制方向 安全研究:网络渗透方向 下面逐一说明一下。 下面的卡片可以免费领取网络安全相关的学习资料,帮助大家在学习的过程中少走弯路: 【你要的网络安全知识,戳这里!!!】 ...
数据结构之网络攻击路径(深度优先搜索)
lwcwam的博客
01-09 937
数据结构之网络攻击路径(深度优先搜索)
攻击路径溯源
m0_73803866的博客
10-09 769
攻击意图理解的含义是基于大规模、依赖复杂、跨长时间周期的原始日志、检测日志等基本数据线索, 从能力水平、攻击阶段、攻击目标等角度,取、标注、归纳攻击者的战术意图,以明确线索之间的高 层次逻辑关联,跟踪、预测攻击者的行为。
8 个顶级网络攻击地图以及如何使用它们
ZY_Eliza的博客
01-12 1638
今天在线的大多数网络攻击地图只是令人眼花缭乱,但有一些创造性的方法可以使用它们。 网络攻击地图看起来很有趣,但它们有用吗?像往常一样,当谈到安全上下文是关键时,CSO 研究了网络上最流行的八种网络攻击地图。虽然地图本身大多是在有限的上下文中吸引眼球,但也有一些创造性的方式可以使用它们。 根深蒂固的安全专业人员用有点疲惫的眼睛查看网络攻击地图。他们称它们为“pew pew”地图,在玩玩具时模仿孩子般的声音来代表枪声。事实上,一张地图实际上使用这些声音来产生一种有趣的效果。 与 CSO 交谈过的一些...
黑客在云环境中寻找攻击路径
w3cschools的博客
04-13 220
无数优势充分证明了云基础设施的大规模采用是合理的。因此,今天,组织最敏感的业务应用程序、工作负载和数据都在云中。 黑客,无论好坏,都注意到了这一趋势,并有效地改进了他们的攻击技术,以匹配这个新的诱人目标环境。由于威胁参与者的高反应性和适应性,建议假设组织受到攻击并且某些用户账户或应用程序可能已经受到损害。 要准确找出哪些资产因账户受损或资产被泄露而面临风险,要在资产之间所有关系的综合地图上绘制潜在的攻击路径。(欢迎分享转载) ...
使用Web日志还原攻击路径
热门推荐
01-08 2万+
日志文件是服务器提供的非常有价值的信息,几乎所有的服务器、服务和应用程序都提供某种类型的日志记录,用来记录服务或应用程序运行时发生的事件和操作。日志文件为我们提供了服务器行为的精确视图以...
DQN解决网络攻击路径问题
07-28
DQN(Deep Q-Network)是一种使用神经网络来近似Q值的强化学习算法。在DQN中,神经网络被称为Q网络,用于表示Q值。Q网络的训练过程要提供有标签的样本。这些标签可以直接使用目标Q值来作为训练的目标,因为我们的最终目标是让Q值趋近于目标Q值。因此,Q网络的训练损失函数可以通过计算Q值的均方误差来定义。 然而,DQN算法主要用于解决单智能体的强化学习问题,无法有效利用其他智能体的全局状态和动作信息。这意味着在网络攻击路径问题中,DQN可能无法准确评估每个动作的价值。为了解决这个问题,MADDPG(Multi-Agent Deep Deterministic Policy Gradient)算法被提出。MADDPG算法通过引入多个智能体的策略网络和Q网络,可以更好地利用全局信息来评估每个动作的价值,从而解决网络攻击路径问题。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* [强化学习实战 --- 用DQN让Ai玩吃豆子游戏吧](https://blog.csdn.net/qq_45414559/article/details/109081370)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [论文阅读-基于深度强化学习的方法解决多智能体防御和攻击问题](https://blog.csdn.net/aaaccc444/article/details/129770860)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值