6個(gè)真實(shí)的網(wǎng)絡(luò)攻擊路徑實(shí)例簡(jiǎn)析
在不斷發(fā)展的網(wǎng)絡(luò)安全領(lǐng)域,攻擊者總是在尋找組織環(huán)境中的安全防護(hù)薄弱環(huán)節(jié),并且他們所覬覦的不只是某些單獨(dú)安全弱點(diǎn),而是相互結(jié)合的暴露面風(fēng)險(xiǎn)和攻擊路徑,以達(dá)到攻擊目的。因此,企業(yè)網(wǎng)絡(luò)安全防護(hù)需要從確定薄弱環(huán)節(jié)入手,了解公司可能被攻擊的路徑,并實(shí)施適當(dāng)?shù)念A(yù)防和檢測(cè)方法,這有助于增強(qiáng)企業(yè)網(wǎng)絡(luò)的安全彈性。在本文中,列舉了6個(gè)真實(shí)的網(wǎng)絡(luò)攻擊路徑實(shí)例,可以幫助企業(yè)組織了解不斷變化的網(wǎng)絡(luò)威脅。
實(shí)例一、某大型金融業(yè)機(jī)構(gòu)
一家大型金融公司因未采取安全措施的DHCP v6廣播而受到惡意中間人攻擊。攻擊者利用該漏洞侵入了大約200個(gè)Linux系統(tǒng)。這些攻擊可能導(dǎo)致客戶數(shù)據(jù)泄露、勒索攻擊或其他后果嚴(yán)重的惡意活動(dòng)。
攻擊路徑:利用DHCP v6廣播執(zhí)行中間人攻擊,進(jìn)而攻擊終端計(jì)算設(shè)備上的Linux系統(tǒng)。
攻擊影響:危及該組織約200個(gè)Linux服務(wù)器系統(tǒng),可能導(dǎo)致數(shù)據(jù)泄露或遭到勒索攻擊。。
防護(hù)建議:禁用DHCP v6協(xié)議,給易受攻擊的Linux系統(tǒng)打上安全補(bǔ)丁,同時(shí)對(duì)開發(fā)人員加強(qiáng)SSH密鑰安全方面的意識(shí)教育。
實(shí)例二、某大型國(guó)際化旅游公司
一家大型國(guó)際化旅游公司在完成對(duì)某企業(yè)的并購(gòu)后,對(duì)其IT基礎(chǔ)設(shè)施進(jìn)行了整合。在此過程中,由于資產(chǎn)識(shí)別不全面,未能在一臺(tái)被忽視的業(yè)務(wù)服務(wù)器上打關(guān)鍵安全補(bǔ)丁。這個(gè)疏忽導(dǎo)致該公司受到了PrintNightmare和EternalBlue等已知漏洞利用的攻擊,并危及其他關(guān)鍵數(shù)據(jù)資產(chǎn)安全。
攻擊路徑:利用未及時(shí)安裝補(bǔ)丁的服務(wù)器缺陷,包括PrintNightmare和EternalBlue等在內(nèi)的已知安全漏洞。
攻擊影響:獲取非法訪問權(quán)限,竊取關(guān)鍵數(shù)據(jù)資產(chǎn)。
防護(hù)建議:全面梳理網(wǎng)絡(luò)資產(chǎn),禁用不必要的服務(wù)器,開展攻擊面管理。
實(shí)例三、某全球性金融機(jī)構(gòu)
一家全球性金融機(jī)構(gòu)在日常性開展面向客戶的語(yǔ)音呼叫服務(wù)時(shí),發(fā)現(xiàn)其員工服務(wù)賬戶、SMB端口、SSH密鑰和IAM角色被非法攻擊者利用的復(fù)雜攻擊。
攻擊路徑:涉及服務(wù)賬戶、SMB端口、SSH密鑰和IAM角色等復(fù)雜路徑。
攻擊影響:危及關(guān)鍵數(shù)據(jù)資產(chǎn)安全,可能釀成災(zāi)難性數(shù)據(jù)泄露事件。
防護(hù)建議:刪除SSH私鑰,重置IAM角色權(quán)限,并刪除不安全的用戶賬戶。
實(shí)例四、某公共交通運(yùn)輸服務(wù)公司
一家公共交通運(yùn)輸公司在其遠(yuǎn)程會(huì)議系統(tǒng)中,發(fā)現(xiàn)了一條從DMZ服務(wù)器到域均被非法攻擊者控制的直接攻擊路徑,這最終導(dǎo)致了和該會(huì)議系統(tǒng)相關(guān)的整個(gè)域被攻陷。
攻擊路徑:從DMZ服務(wù)器到域被攻陷的直接路徑。
攻擊影響:域控制器被攻陷,整個(gè)域都被攻擊者控制。
防護(hù)建議:限制管理員用戶的權(quán)限,刪除可疑的用戶賬戶。
實(shí)例五、某大型醫(yī)療衛(wèi)生機(jī)構(gòu)
一家醫(yī)院的客戶服務(wù)中心呼叫系統(tǒng)中,因Active Directory配置錯(cuò)誤導(dǎo)致了安全漏洞產(chǎn)生并被攻擊者所利用。這種錯(cuò)誤配置允許任何經(jīng)過身份驗(yàn)證的用戶輕易重置密碼,這就為攻擊者提供了一條更便捷的攻擊路徑。
攻擊路徑:利用Active Directory配置錯(cuò)誤重置密碼,非法獲取合法用戶的賬戶訪問權(quán)限。
攻擊影響:合法賬戶的非法接管,業(yè)務(wù)數(shù)據(jù)泄露。
防護(hù)建議:Active Directory安全加固,部署更安全的多因素認(rèn)證機(jī)制。
實(shí)例六、某大型航運(yùn)物流公司
一家大型航運(yùn)物流公司,已經(jīng)實(shí)施了相對(duì)充分的安全措施,并制定了安全防護(hù)要求。然而在一次風(fēng)險(xiǎn)排查活動(dòng)中,安全團(tuán)隊(duì)仍然在其客服系統(tǒng)中,發(fā)現(xiàn)了一條復(fù)雜的攻擊路徑,從服務(wù)人員的工作站到Azure云上系統(tǒng),多個(gè)員工賬戶被非法獲取,攻擊者可以利用該路徑進(jìn)入到整個(gè)企業(yè)的網(wǎng)絡(luò)環(huán)境中。
攻擊路徑:從工作站系統(tǒng)到Azure的復(fù)雜攻擊路徑。
攻擊影響:可能危及整個(gè)企業(yè)環(huán)境。
防護(hù)建議:定期調(diào)整用戶角色,增強(qiáng)對(duì)訪問活動(dòng)的監(jiān)控,提升網(wǎng)絡(luò)可見性。
原文來源:安全牛