theNet by Cloudflare

多手段攻击成为常态,风险随之增加

统一集成平台如何化解这些挑战


攻击手段越多,成功的几率越高

当攻击者同时瞄准多个攻击面或手段时,他们成功入侵的几率会显著提升。

过去,只有最老练、资金最充足的攻击者,才会使用“多手段”攻击,即:尝试通过多个入侵点进行网络渗透。但这种情况开始发生变化。如今,攻击者同时使用多种战术的情况变得越来越常见,有时是对各种防御措施进行压力测试,有时是利用不易察觉的安全漏洞,有时只是为了压垮企业的响应能力。

随着多手段攻击的频率不断增加,需要采用一种更集成、更精简的安全方法,从而减少专用安全服务和解决方案的数量。



为什么攻击者会采用这种多手段攻击?

利用两种或多种攻击手段,可以提高攻击成功率。如果针对网络中的多个入口点发起攻击,例如,使用电子邮件网络钓鱼、语音网络钓鱼和利用 VPN 漏洞,则只需其中一种尝试取得成功,整体攻击就能成功。正因如此,网络钓鱼成为多手段攻击的常见组成部分,它通常是利用人为错误而非软件缺陷,导致难以阻止。

遗憾的是,混合办公模式的兴起导致更有可能遭受此类攻击。有据可查的自带设备 (BYOD) 增多,以及对公共云、SaaS 应用和不受信任的无线网络的日益依赖,导致传统安全边界遭到侵蚀。越来越多不太受信任的身份和设备访问网络中存储和共享的敏感数据,不仅会带来更多安全漏洞,而且削弱对企业网络和系统的可见性与控制。

因此,勒索软件在 2021 年创下记录不足为奇,而且 2022 年前三个季度发生了 3.384 亿次勒索软件尝试



无需精明老练

规模足够大、复杂程度足够高的组织掌握了可能的攻击手段,即:攻击者用于访问网络或设备的路径或方式。开源 MITRE ATT&CK 矩阵详细列出了攻击者的各种攻击手段,以及他们利用的战术和策略。

最近的示例表明,攻击者在一次攻击活动中组合运用各种手段。2022 年,名为 0ktapus 的攻击团体组合运用了短信网络钓鱼和后台下载远程访问恶意软件,针对超过 160 个组织发起攻击,其中许多公司遭到不同程度的入侵。至关重要的是,对此次攻击的独立分析表明,发动此次攻击的个人或团体经验不足,与多手段攻击预期的复杂程度相差甚远,这着实令人惊讶。

与此类似,最近一系列 Royal 勒索软件攻击也组合运用了网络钓鱼、远程桌面协议入侵和恶意软件下载等手段,瞄准关键基础设施企业发起攻击。而广泛传播的 Log4j 漏洞则为攻击者提供了机会,让其可以组合运用供应链入侵和其他几种手段。



缓解多手段攻击面临的挑战

由于种种原因,难以阻止针对企业网络的多手段攻击。其中之一是基于边界的安全策略的持续流行。例如,如果攻击者利用一种手段来访问某企业的 VPN,他们可能可以不受限制地访问整个网络。

另一个常见原因是人员和资源有限。许多企业难以配备人员扩充其安全团队,而且可能没有足够的预算将未完成的工作外包给托管服务提供商。大多数企业几十年来一直采用传统防御措施,但如今随着混合办公和混合云环境的增加,传统防御措施已不堪重负,因为本地部署的防火墙、网关甚至单点云安全解决方案都无法为这两种情况提供保护。

当攻击者针对个人设备或云部署发起攻击,尤其是攻击者已经进入网络内部时(这种情况屡见不鲜),仅仅依靠防火墙和网关不足以保护网络边界安全。一个由不可互操作的单点产品构成的复杂、碎片化安全技术栈(即使是同类最佳产品),可能存在安全团队未察觉的漏洞。此外,如果某个单点产品可以检测恶意活动但无法自动向其他解决方案发出警报,这反而会导致安全警报增加,以及随之而来的警报疲劳



推动利用云原生平台,抵御威胁

过去,企业有充分的理由使用独立的单点产品来保护其网络,防范每一种攻击手段。但这种方法不适用于现代的多手段攻击。相反,企业需要采用一种原生的集成式方法,这种方法应具备以下特点:

  1. 云原生和分布式平台,以便监测和分析平台上流经的所有流量,无论其使用的协议、来源或目的地是什么。通过公司控制的网络连接来访问公司资源和数据,这种设想已不再安全。

  2. 通过身份验证、授权和审计,紧密集成访问控制。如果账户拥有过多的访问权限,攻击者更容易进行横向移动。验证身份和上下文至关重要。例如,不自动信任任何用户角色或设备类型。

  3. 防网络钓鱼。网络钓鱼和社会工程学都是攻击者广泛使用的技术,企图获取初始访问权限。很多攻击都是从网络钓鱼电子邮件开始,因此,部署全面的防御措施至关重要,以防范针对性和规避性活动,这些活动企图通过各种通信方式(例如电子邮件、Web、社交媒体、即时通讯和短信)来吸引用户,然后建立信任并发起攻击。

  4. 无缝连接最终用户。暴露于各种基于浏览器的威胁,例如恶意脚本、路过式下载和凭据收集工具,已不可避免。远程浏览器隔离可以提供一张安全网,将用户与未知的和不受信任的 Web 内容隔离开来;但是,只有在体验与使用本地浏览器没有区别时,这种方法才有效。

  5. 经济实惠。企业必须利用有限的资源来缓解威胁。通过减少供应商数量来优化安全成本,优先考虑集成式安全平台是一个清晰的方向。

单点产品和本地硬件设备无法辅助实施上述原则。如今,企业需要实施广泛的安全措施和实践,应对各种攻击手段和网络内外部的威胁。

Cloudflare One 整合了威胁防御机制以及混合办公所需的入口(网络连接的途径或方法)。Cloudflare One 原生集成安全 Web 网关以及云电子邮件安全服务,提供远程浏览器隔离和数据丢失防护功能,可抵御各种威胁。此平台不仅注重威胁防御,而且将前述这些服务与 Zero Trust 网络访问 (ZTNA) 和云访问安全代理 (CASB) 集成在一起,后两者都是确保访问安全的服务。

Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。



关键要点

阅读本文后,您将能够了解:

  • 当今使用的各种攻击手段

  • MITRE ATT&CK 矩阵

  • 缓解多手段攻击面临的挑战

  • 统一集成平台如何化解这些挑战



相关资源


深入探讨这个话题

欢迎阅读《互联网原生转换参考架构》白皮书,了解关于阻止多手段攻击威胁的更多信息。

接收有关最流行互联网见解的每月总结。