2023年网络威胁态势报告：攻防的本质未变，但游戏的规则在不断演变！

日前，专业网络安全厂商Comcast Business发布了《2023年网络威胁态势报告》，旨在帮助企业及其他机构的技术和安全领导者们更深入地了解网络安全威胁的趋势，并采取正确措施应对威胁。报告研究认为，虽然攻击者的工具和手法发生了变化，但其攻击的底层逻辑并没有变化，仍然是建立在情感操纵和社会工程的基础上。因此，网络安全攻防的本质并未改变。但是游戏的规则在不断变化，非专业的攻击者也能快速获取到大量的漏洞信息、攻击工具甚至攻击服务，在一个“变化即现实”的网络安全环境中，保持对各种攻击信息的及时获取和更新，将成为开展网络安全防护建设时的最基础要求。

内部漏洞威胁不断加剧

每个企业，无论规模大小，都可能因一次点击而遭受损失巨大的网络攻击。更糟糕的是，今天的黑客比以往更容易找到可利用的潜在漏洞。过去，大多数攻击都是从利用暴露的外部网络资产漏洞开始的，而如今，很多被攻击者利用的漏洞源于企业内部员工或第三方合作伙伴。

对企业组织而言，攻击者的攻击企图是不可避免的，且可能超出了企业的控制。但企业组织能控制的是，选择在攻击实际发生前做好防护计划和准备，还是在攻击发生后再去善后。为了应对不断加剧的潜在漏洞威胁，报告研究人员给出了以下建议：

1、做好网络边界防护仍然重要

并不是所有的攻击都发生在企业的网络内部，但是大多数攻击者都会将进入到企业的内部网络作为一个重要目标，因为这是企业的“皇冠上的珠宝”所在。一旦进入企业的内部网络，用于传播和破坏的攻击策略就会迅速升级，破坏的程度也会大幅提升。

2、识别常见的入侵策略

攻击者会使用一个策略完整的工具箱来攻击企业的网络，但最常使用的仍然是一些最流行的方法和策略，因为这些策略的适用范围更广，对攻击者的专业要求也较低。在此次调查结果中，10次入侵尝试就有9次是从网络钓鱼开始的，这与行业统计数据基本一致。此外，滥用凭据、远程终端利用、弱口令等也是黑客们经常使用的入侵策略。

3、体系化纵深防御

对于企业组织而言，要想有效地检测、阻止和缓解大数据量级别的攻击活动，不仅需要专业的安全团队和知识积累，还需要覆盖一定的规模，同时要申请配备足够的资源来进行保障。报告数据显示，在2022年期间，Comcast Business威胁实验室共检测到235亿次网络攻击企图，按ATT&CK战术具体细分，可分解为：2.428亿次侦察尝试；2470万次资源获取尝试；20.3亿次初始访问尝试；32亿次策略执行尝试；4930万次持久化尝试；2.228亿次提权尝试；8.317亿次防御绕过尝试；1.767亿次凭据获取尝试；40万次资产发现尝试；1.553亿次横向移动尝试；62.5亿次非法命令和控制尝试；1.439亿次数据渗漏尝试；101亿次攻击影响尝试。

网络攻击的本质未变

报告研究发现，网络钓鱼仍然是攻击者当前发起初始网络攻击的最流行手段，而获取访问凭证则是网络钓鱼攻击者的最主要目标。在2022年，研究人员共检测到近20亿次（1,830,533,465次）网络钓鱼尝试，其中大多数可以直接识别为试图获得初始访问权限。尽管很多网络钓鱼在直接获取凭证方面不一定有效，然而，攻击者擅长利用人性弱点来获得入侵网络的初始立足点，这可以帮助他们后续访问到大量产生凭据的域服务器和数据库。

研究人员在网络钓鱼攻击活动中，检测到大量的凭证盗窃恶意软件，主要类型包括：

34%为财务信息和凭据：包含假冒银行网址的网络钓鱼活动，旨在窃取实施信用卡盗窃所需的信息；
60%为其他凭据盗窃：利用社交媒体页面中的实际帖子进行网络钓鱼活动。这些帖子使用网址缩短器链接到钓鱼网站，以避免被社交媒体平台标记和删除；
6%涉及恶意文件的盗窃：使用需要用户交互的恶意文档进行网络钓鱼活动。

凡是能够获得“合法”凭据的攻击者，都将是强大而危险的敌人，因为他们可以对应用程序进行身份验证、安全绕过、提升特权并随意进行恶意活动。调查发现了超过5400万次滥用初始访问凭证的尝试，包括暴力破解以及失败的登录尝试。在暗网市场上，目前最抢手的是远程桌面协议（RDP）访问的有效凭据。研究发现，大约68%的暗网帖子与销售RDP访问凭据有关。

在新冠疫情大流行期间，许多组织急于为员工启用远程访问，这也导致了大量未使用的端口暴露。数据显示，攻击者利用易受攻击的RDP配置，进行了超过1.85亿次尝试，以获得对目标网络的远程访问。RDP漏洞也越来越多地被用于通过勒索软件（如Maze、Venus和Ryuk）感染网络。

不过，RDP漏洞并非唯一流行的选项。未经身份验证的用户也在利用传输控制协议（TCP）中的漏洞，并进行了1.39亿次尝试来与目标服务器建立TCP连接。研究数据显示，网络钓鱼、RDP漏洞和凭据滥用媒介占所有初始访问尝试的95%。停放域名、MitM活动和恶意url占剩余的5%。

利用率最高的10大安全漏洞

在报告中，研究人员总结了在2022年被拦截次数最多的10大漏洞利用企图：

允许未经身份验证的远程攻击者连接到监听端口8888的“CloudMe Sync”客户端应用程序，并发送恶意负载，导致缓冲区溢出，存在显著的信息披露风险。

研究人员特别指出，早在2021年就已经被发现的Log4j漏洞直至现在仍然流行。研究表明，到目前为止，五分之三的组织都经历过Log4j漏洞攻击，并实际发生了后门恶意软件安装，系统凭据和数据盗窃，以及植入加密矿工恶意软件等恶意结果。Log4j漏洞之所以流行，是因为它被广泛部署在数百万个java应用程序中，这使得72%的组织容易受到攻击。而在2022年10月时，只有28%的易受攻击的组织已经修复或修补了易受攻击的应用程序。即便是许多修复了该漏洞的组织，在将新系统引入其网络环境时还会再次引入Log4j漏洞。

DDoS攻击出现新变化

报告数据显示，全球DDoS攻击数量在2022年略有下降。然而，这并不意味着它们不再是企业的主要网络威胁关注点。报告观察到DDoS活动的起伏和变化，在某些行业甚至发生了更大的集中。在2022年，研究人员共检测到51915次DDoS攻击。

【2022年Comcast Business每月检测到的DDoS攻击次数】

调查显示，大部分DDoS攻击的时间都在10分钟以内完成。自2022年以来，短爆发型DDoS攻击的趋势一直在持续。短－爆发攻击更难被企业组织检测到，特别是如果组织试图使用防火墙速率限制策略，而非运营商级服务来阻止它们时。多个短时间攻击就能够快速耗尽企业IT团队的资源，攻击者可以将分散IT团队注意力作为烟幕，执行更危险的攻击。

教育行业（46%）是DDoS攻击的重要目标领域，而IT和技术服务（25%）细分市场也出现了DDoS攻击增长趋势，取代了政府部门，成为2022年遭受攻击的前四大行业。最近另一个引人注目的DDoS攻击目标是医疗保健行业（13%），这也促使美国政府在2023年初发布了一份特别公告。

2022年期间，DDoS攻击的战术并没有太大改变。大多数攻击仍然使用低复杂性、高影响力的泛洪技术。总流量、UDP和TCP Sync是目前使用最多的三个攻击向量。不过多向量攻击将DDoS提升到一个新的水平，允许攻击者创建更复杂的攻击。它们的使用量正在上升。然而，它们需要专业知识才能实现，这就是为什么研究人员认为“行之有效”的技术仍然占主导地位。

降低网络安全风险的最佳实践

了解过去的安全威胁和数据泄露趋势只是成功的一半。没有哪个组织是完美的，但每个企业都需要一个明确的网络安全战略和路线图。许多组织仍然采用分散的安全控制措施，并留下了大量的缺口和残留的风险。随着攻击者开始使用多种媒介来破坏安全控制，防御者也需要采取“纵深防御”的方法来降低风险。在本次报告中，研究人员也给出了一些指导性建议，以帮助企业组织改善当前的安全态势。

网络钓鱼：开展持续性的全员安全意识培训，并部署新一代邮件安全网关服务来检查每封邮件中的危险附件和url。
凭据安全：企业应该通过具有多因素身份验证的集中式身份代理对所有资源进行身份验证；在整个组织中集中目录管理，并创建将目录列表与人力资源部门联系起来的流程；要对域名和特权账户进行安全审计。
零信任访问：企业应积极实施零信任策略，在没有适当身份验证的情况下阻止不安全用户对网络、主机和应用程序资源的访问，特别是对关键基础设施和关键数据的访问。
特权访问管理：企业应创建一个安全的保管库，专门用于管理和存储用于访问跳转服务器等关键系统的特权账号凭据；并在硬件安全模块（HSM）中存储证书私钥。
远程访问管理：企业应该使用MFA为所有的外围远程资产（如域控制器、VPN控制器、公开的远程桌面协议和远程桌面管理系统）实现基于身份的凭据访问。
数据安全：企业应该使用即使管理员也无法修改的不可变数据备份计划，并保护和加密备份解决方案。
漏洞管理：企业应该定期进行漏洞扫描；尽快为组织更新和修补所有软件；将已知的高风险漏洞与利用尝试相关联，以优先考虑补丁管理；在补丁管理计划中跟踪开源和第三方软件库；定期进行安全性渗透测试。
配置管理：用标准的“黄金映像（gold image）”配置锁定服务器和桌面，以减少攻击面；使用集中式配置和补丁管理推送更新，防止配置漂移情况发生。
端点安全：实现全面、一体化的端点威胁检测和响应；将传统的防病毒系统进行优化改进，加强对无文件恶意软件的防护能力。
网络分段：企业应该对办公网络进行分段，以最大限度地减少攻击者可以达到的潜在攻击半径，例如，在前台和后台事务处理系统或机密数据库之间划分独立的IP地址端。
网络边界安全：在网络边界和每个网段部署UTM防火墙检查，以帮助阻止横向移动；实施DNS安全措施，以帮助阻止DGA（域名生成算法），防止受损的用户和主机被链接到恶意域和IP地址。
威胁监控：企业要持续监控整个数字化环境中的安全事件和危险行为；考虑使用管理检测和响应（MDR）服务来外包安全事件检测、事件响应和威胁搜索；盘点安全日志源，并将其合并到一个中央位置进行监控。
事件响应：制定明确的事件响应计划，为数据泄露做好准备，包括恢复系统、数据和业务流程的步骤；让每个人都参与进来，包括高级组织领导、法律顾问和关键业务职能部门，而不仅仅是IT团队；要将响应计划详细记录在纸上，并定期举行桌面演练和培训。