李汇

日前，XM Cyber研究团队针对200万个本地、多云和混合环境中的端点、文件、文件夹和云资源进行分析，形成了《2022年攻击路径管理影响报告》（以下简称“报告”），揭示了在当前企业网络及云环境中危害企业关键资产的攻击技术、攻击路径和影响。通过调研，报告建议组织通过查看整个环境来了解攻击者如何实施攻击，重点不应仅聚焦在安全漏洞上，还有很多其他问题需要处理。调查数据显示，新一代攻击者仅需4个“跃点（hop）”，即攻击者从入侵点到破坏关键资产所采取的步骤数量），就能从初始攻击点破坏94 %的關键资产。孤立的安全工具只关注某些特定的安全工作，但多种攻击技术的组合才是组织面临的最大风险。安全团队需要仔细研究其环境中存在的混合云攻击、错误配置和身份问题。

为了更好了解攻击的变化，以及这些变化如何影响风险。对攻击路径进行建模来预测风险是一种值得尝试的方法。

报告的关键发现

攻击者最多只需4个“跃点”即可完成94 %的网络攻击；

一个组织75 %的关键资产在当时的安全状态下可能已经受到损害；

73 %的主流攻击技术涉及管理不善或被盗的凭据，27 %的主流技术涉及漏洞或配置错误；

企业中95 %的用户都拥有长期访问密钥，这可能会危及关键资产安全；

面对新的远程代码执行（RCE）技术，78 %的企业可能受到威胁；

75 %的企业拥有面向外部的EC2（AWS提供的一种计算服务，以EC2实例形式存在，一个EC2实例可以被认为是一个虚拟机）设备，对关键资产构成风险。

攻击技术

域凭据（利用受损凭据、哈希传递攻击等），占比23.7%；

“投毒”共享内容（文件共享问题、权限），占比14.2%；

组策略修改（域控制器妥协，滥用组策略），占比10.1%；

本地凭据，占比9.5%；

PrintNightmare漏洞，占比8.1%；

凭据中继攻击，占比7.2%；

Exe Share Hooking（可执行文件的权限），占比6%；

Microsoft SQL凭据，占比5.6%；

WPAD欺骗（中间人攻击技术），占比4.7%；

可达性（网络分段问题），占比4.2%；

凭据转储，占比3.9%；

虚拟机上的Azure运行命令，占比2.8%。

安全建议：强大的补丁管理将减少攻击向量并防止漏洞被利用。此外，通过使用操作系统本身的安全功能（如用户身份验证），也可以防止大量滥用不同凭证问题的攻击向量。需要注意的是，还应摒弃“修补漏洞就可以解决所有问题并阻止横向移动”这种错误认知。研究表明，近30 %的攻击技术利用错误配置和凭据来入侵和破坏组织。

常见的新攻击技术

XM网络研究团队将2021年针对企业使用的所有新攻击技术分为3组：云技术、远程代码执行（REC）技术以及将云和REC结合起来（REC+云）的技术，以了解攻击面的范围以及高级持续威胁（APT），即结合多种技术来破坏目标的使用情况。结果显示：

在测试环境中发现87 %的新型云技术；

在测试环境中发现70 %的新型REC技术；

在测试环境中发现82 %的新型REC+云技术。

而这些技术对企业的影响结果为：

32 %的企业可能会受到新型云技术的威胁；

78 %的企业可能会受到新型RCE技术的影响；

90 %的企业可能会受到新型RCE+云技术的影响。

安全建议：这些是企业需要关注并积极努力在其环境中消除的技术。当一种新的RCE技术出现时，近80 %的企业可能会受到威胁，而当它与云技术结合在攻击路径中，90 %的企业可能会受到威胁。显然，如果有这么多漏洞可以很轻松地被利用，那么企业的补丁管理是低于标准且无效的。

跨本地和云的攻击路径

在混合网络架构中，攻击路径可能会变得非常复杂。该研究揭示了跨本地和云环境中存在的安全漏洞和攻击技术，以及对所有环境中的关键资产保持全面可视性的重要意义。

企业在迁移至混合云环境时可能并没有明确定义战略。对此，企业可以允许各个部门采用自己的迁移策略。有时，缺乏统一迁移战略的原因可能涉及更广泛的业务事件，例如收购了拥有一个云服务供应商的企业，或是与其他使用不同云供应商的企业合并。这种计划外的大规模云环境的复杂性和攻击面数量会影响整个企业IT资源的安全性，包括：资产、网络、平台和应用程序安全。

XM网络研究团队还深入研究了专用于混合云、AWS和Azure环境中的攻击技术。

在混合云中，41 %的混合云组织（不止一个云供应商）在其环境中使用了本地到云技术；38 %的Azure组织在其环境中使用了云到本地技术；95 %的用户拥有长期访问密钥，这可能会增加关键资产面临的风险。

安全建议：研究表明，组织在云和本地网络之间存在脱节———在许多情况下，企业有管理X的devops团队，以及管理Y的团队，但它们之间缺乏连接的上下文，这些攻击揭示了它们之间的隐藏联系。只有通过查看跨混合网络的攻击路径，团队才能实现协作并有效地缩小缺口。