派拓网络发布2021年Cortex Xpanse攻击面威胁报告

全球领先企业在攻击面管理方面的经验教训

每当一个新的安全漏洞出现时，攻击者就会疯狂地扫描互联网以识别易受攻击的系统，而防御者则争分夺秒地打补丁和实施其他缓解措施以保护他们的网络。

计算已经变得非常廉价，潜在攻击者只需花费大约10美元租用云计算能力，就可以对整个互联网进行粗略扫描，找出易受攻击的系统。从激增的成功攻击事件即可获知，攻击者经常在修补新漏洞的竞赛中获胜。我们很难忽视越来越常见的扰乱我们数字生活的亲身经历，以及不断涌现的关于网络勒索的新闻报道。

为了帮助企业在这场战斗中取得优势，Palo Alto Networks（派拓网络）Cortex® Xpanse™研究团队研究了一些全球大型企业对外公开的互联网攻击面。从1月到3月，该团队监测了与50家全球企业相关的针对5000万个IP地址进行的扫描，以了解攻击者如何快速识别易受攻击的系统，从而进行快速入侵。

研究发现，近三分之一的漏洞来自于广泛使用的远程桌面协议（RDP）问题，自2020年初以来，由于企业在新冠疫情期间加速向云端迁移以支持远程办公人员，RDP的使用量激增。这会带来麻烦，因为RDP可以提供对服务器的直接管理访问，使其成为勒索软件攻击的最常见通道之一。对于攻击者来说，目标更容易实现。然而，依旧有理由保持乐观：已发现的大多数漏洞都可以轻松修复。

以下是本次研究的主要发现：

攻击者一刻不停

攻击者夜以继日地在企业网络上寻找暴露在开放互联网上的易受攻击的系统。在过去一年中，企业系统的暴露程度急剧扩大，以支持远程办公人员。在通常情况下，攻击者每小时进行一次新扫描，而全球企业则需要花费数周时间。

攻击者急于利用新漏洞

一旦有新的漏洞公布，攻击者就会争先恐后地加以利用。在今年1月至3月期间，通用漏洞库（CVE）公告发布后15分钟内攻击者就开始扫描互联网。攻击者对微软Exchange服务器零日漏洞的反应速度更快，在微软3月2日公布后5分钟内就开始扫描。

易受攻击的系统广泛存在

Cortex Xpanse发现，全球企业每12小时就会发现新的严重漏洞，或者每天两次。

RDP占所有安全问题的三分之一

远程桌面协议（RDP）约占整体安全问题的三分之一（32%）。其他经常暴露的漏洞包括错误配置的数据库服务器，来自微软和F5等供应商的高知名度零日漏洞，以及通过Telnet、简单网络管理协议（SNMP）、虚拟网络计算（VNC）和其他协议的不安全远程访问。这些高风险漏洞如果被利用，许多都可以提供直接的管理访问。在大多数情况下，这些漏洞可以轻松修复，但它们对攻击者来说是唾手可得的目标。

云是最重要的安全问题

本次研究发现，全球企业中最重要的安全问题有79%由云足迹引起。这说明云计算的速度和特性会为现代基础设施带来风险，特别是过去一年，随着企业在新冠疫情期间将计算转移到外部以实现远程办公的激增，云环境的增长速度逐渐加快。

结论与建议

在现实中，数字化转型带来了新的风险平衡，而使攻击者受益。IT与大多数安全工具，即资产和漏洞管理，只侧重于评估，而不是发现。换句话说，这些工具在管理已知资产的同时，对未知资产视而不见。更糟糕的是，常见的发现未知资产方法（如抗渗透测试）每季度才进行一次。

这些计划需要从基础做起：

● 全球互联网可视性：建立一个记录系统，以跟踪您在公共互联网上拥有的每一项资产、系统和服务，包括所有主要CSP以及动态租用（商业和住宅）的ISP空间，范围涵盖常用和通常会配置错误的端口/协议（不仅限于跟踪HTTP和HTTPS网站的传统观点）。

● 深入归因：使用完整的协议握手来检测企业的系统和服务，以验证在给定IP地址上运行的特定服务的详细信息。通过将这些信息与大量公有和私有数据集融合，可以将完整且正确的面向互联网系统和服务集与特定组织或部门进行匹配。