down arrow
TW
背景
背景

UNIT 42 攻擊範圍威脅報告

未知資產和雲端動態會對所有企業帶來攻擊範圍風險。

了解這些暴露有助於安全團隊縮小攻擊範圍,進而主動保護企業的安全。透過 Cortex Xpanse 在超過 12 個月所收集的大量暴露和威脅數據,以下調查結果可讓您深入了解這些可透過網際網路存取的暴露。

主動發現並修復未知的問題

Xpanse 是一種主動攻擊範圍管理平台,可以協助企業尋找並自動修復暴露在網際網路上的系統暴露。透過 Xpanse,企業通常會發現其環境中的資產比他們知道的多出 30-40%。

發現並修復未知的問題

沒有 Xpanse有 Xpanse有 Xpanse沒有 Xpanse
進一步了解
重設攻擊範圍
視訊重疊顯示
頂部角落邊框頂部角落邊框
0
紅線

錯誤設定數據庫

安全性薄弱的數據庫,容易發生數據洩露。例如:公開的 MongoDB 執行個體、不安全的 MySQL 伺服器等。

0
紅線

不安全的檔案共享系統

檔案傳輸系統缺乏適當的安全性,有數據洩露的風險。例如:未加密的 FTP、不安全的 Telnet 等。

0
0
0
紅線

錯誤設定 IT 和安全基礎結構

網路設定不正確,導致未經授權的存取。例如:防火牆管理頁面、VPN 設定不當等等。

紅線

假冒

假冒

紅線

暴露的遠端存取服務

不安全的遠端存取點,容易導致未經授權的進入。例如:開放的 RDP 連接埠、弱式 SSH 驗證等。

紅線

假冒

假冒

紅線

大樓控制系統

基礎結構管理系統,容易遭到網路攻擊。例如:易受攻擊的 HVAC 系統等等。

0

0 個問題自動解決。5 個問題等待輸入。

為了評估現代化 IT 環境的動態性質,我們已針對某家企業在六個月內透過不同雲端供應商執行的新增和現有服務的組合進行研究。

背景

雲端攻擊範圍通量

雲端動態造成安全控制的壓力

平均超過 20% 的外部存取雲端服務每個月都會發生變化。若是缺乏持續的可視性,您可能無法隨時掌握意外發生的錯誤設定以及影子 IT 在企業內部的持續散播。

見解

20%

關鍵雲端 IT 基礎結構每個月都會發生變化

45%

新增風險是由於每個月的通量所造成

Matt Kraning,Cortex Xpanse 技術長
企業應該積極地監控其經常變動的攻擊範圍,若是缺乏持續的可視性,可能會產生一些未知的經常性暴露遭到攻擊者利用。
Matt Kraning,Cortex Xpanse 技術長

Unit 42® 分析 30 個一般弱點和暴露 (CVE) 的威脅情報,以說明攻擊者可以在多短的時間內發動攻擊。

背景

攻擊者的速度和機器一樣快速

攻擊者可以在 CVE 公佈後的數小時內展開行動

值得注意的是 30 個弱點中有 3 個在 CVE 公開揭露後的數小時內就遭到利用。30 個弱點中有 19 個在公開揭露後的 12 週內遭到利用,凸顯與不完整和不一致修補程式有關的風險。

見解

3/30

CVE 相關暴露在
發佈後的一週內
遭到鎖定

19/30

CVE 相關暴露在
12 週內遭到鎖定

Greg Heon,Cortex Xpanse 產品資深總監
重要的是我們必須承認,儘管某個 CVE 可能不再受到注意,但其對於潛在的威脅行動者來說仍具有重要意義。因此,企業必須不斷發現並修復其暴露,以縮小其攻擊範圍。
Greg Heon,Cortex Xpanse 產品資深總監

Unit 42 分析勒索軟體操作者經常使用的 15 個遠端程式碼執行 (RCE) 弱點。這些 CVE 是根據情報資訊所選定,這些資訊則是與威脅行動者團體以及其在發佈後 12 個月內的主動入侵有關。

背景

勒索軟體遞送

當日勒索軟體遞送

威脅行動者在揭露後數小時內針對其中三個關鍵 RCE 弱點進行攻擊,其中六個弱點在發佈後八週內遭到利用。

見解

3/15

CVE 相關暴露在
CVE 發佈後的數小時內
遭到鎖定

6/15

CVE 相關暴露
在 CVE 發佈後的八週內
遭到威脅行動者利用

Marshall Kuypers,Cortex Xpanse 技術支援總監
防禦者應依賴自動補救功能,在攻擊者發現之前找到並且修復其關鍵攻擊範圍暴露。
Marshall Kuypers,Cortex Xpanse 技術支援總監

2022 年 Unit 42 事件回應報告研究顯示,20% 的成功勒索軟體攻擊是由暴力憑證破解攻擊所造成。根據美國政府最新的 CISA 和 NSA 報告證實,RDP 已持續成為網路罪犯最常鎖定的攻擊途徑。

背景

勒索軟體遞送通訊協定

遠端存取暴露導致勒索軟體

85% 本報告分析的企業在該月內至少有一個可經由網際網路存取的 RDP 執行個體。  根據 2022 年 Unit 42 事件回應報告,在 600 多個事件回應案例中,有 50% 遭鎖定的企業在關鍵的面向網際網路系統中缺乏多因素驗證 (MFA)。

見解

85%

本報告分析的企業在該月內至少有一個可經由網際網路存取的 RDP 執行個體。

Ross Worden,Unit 42 資深諮詢總監
RDP 容易遭到暴力破解。企業應該識別並消除其環境中的 RDP 暴露。如有必要,在未啟用 MFA 和其他補償性控制措施的情況下,不應使用 RDP。
Ross Worden,Unit 42 資深諮詢總監

世界各地的企業都可能會發生一些經常性的錯誤設定和意外,這也讓企圖透過網際網路入侵企業的攻擊者有了可乘之機。

背景

最常見的攻擊範圍暴露

經常性暴露讓攻擊者輕易入侵

Web 架構接管暴露、遠端存取服務暴露以及 IT 和安全基礎結構暴露合計佔全球所有攻擊範圍暴露的 60% 以上。企業必須每天處理並消除這些問題,以便能更有效率地控制及縮小攻擊範圍。

見解

23%

暴露屬於 Web 架構接管暴露,讓攻擊者能夠主動尋找並鎖定那些執行易受攻擊軟體的網站。

20%

暴露為遠端存取服務,此類型的暴露也容易遭到暴力破解攻擊。

Dominique Kilman,Unit 42 諮詢總監
暴露的 IT 和安全基礎結構對企業造成巨大風險。  攻擊者將攻擊重心放在這些系統上,藉此進入您的企業並破壞或停用您的安全措施。持續的可視性和自動化可以幫助您消除這些風險。
Dominique Kilman,Unit 42 諮詢總監
背景

2023 年 Unit 42 攻擊範圍威脅報告

了解攻擊範圍暴露在全球不同產業中的獨特性和持續性情況。下載最新 ASM 報告。