表面处理攻击漏洞

很好地理解攻击表面至关重要的测量和优先考虑的风险。这是站不住脚的数据如何允许安全专家有一个更为现实的敞口。

标准化分类主导网络安全专业人士的方式描述和讨论系统的安全。常见的漏洞和风险敞口(CVE)严重程度得分成为主要的方法测量系统及其安全的攻击表面。我们相信关注cf和严重性评级未能占到所有服务,港口,和功能系统,仍然是广泛开放的攻击,以及任何未来潜在的攻击机会。

减少暴露的攻击表面和环境包括不仅相关修补漏洞,也意识到环境的特性。这大致翻译为运行服务及其配置,然后硬化或关闭他们如果有必要,以减少他们的机会成为一个攻击向量。测量攻击表面也特别有用,当试图回答问题的暴露水平给定环境的两个州。

除了丰富的脆弱性数据使用威胁情报、安全专家需要更广泛的可见性漏洞id和成绩之外,包括系统的其他重要方面,攻击者将试图妥协。站不住脚的广泛的发现使的更准确表示攻击表面,和相关的风险环境,不能只表达的漏洞。这篇文章解释了定义攻击表面和礼物的一个例子如何站得住脚的数据允许安全专家有一个更为现实的敞口。

表面的攻击是什么?

大多数攻击表面的描述来定义这些属性的系统,是最可能感兴趣的潜在攻击者,数可数,然后可能映射到防御措施最有可能最小化。短语迈克尔·霍华德在MSDN杂志在2003年,他计算的相对攻击表面不同版本的Windows操作系统,讨论了为什么用户应该只安装所需产品的特性,以减少代码的数量开未来的攻击。

内表面的属性攻击通常被认为是一组维度或主题。这些代表的关注和解释攻击表面测量。例如,在2011年的论文攻击表面度规,作者测量了他们称之为系统的attackability,即。系统被成功攻击的可能性,以及三个维度:方法,通道和数据。攻击表面测量需要识别的入口点和出口点的集合(内部和外部的方法),开放的沟通渠道,集和数据项的集合,攻击者可以从系统中发送或接收。

还有其他各种各样的攻击表面的定义和解释。在2018年的论文攻击表面定义:一个系统的文献综述,作者进行了系统的文献综述(SLR)使用短语“攻击表面。“除了一个抽样的一些现有的定义,他们确定了六个主题代表所有的攻击表面的解释文学;这是:

• 方法;

• 敌人;

• 流;

• 功能;

• 障碍;和

• 可获得的漏洞。


的主题“可获得的漏洞”,其重点是暴露与已知的漏洞攻击者可以利用在一个系统中,占主导地位的方式安全专家描述的安全环境。不过单反的研究发现,“方法”和“敌人”的主题在文献中是最普遍,而“漏洞”主题的引用,以及“壁垒”的主题,关注安全控制的攻击者必须克服违反一个系统。

尽管不同的方式来思考和衡量攻击表面,不断在所有研究的是社区的思维方式;即。的攻击机会。最终,攻击表面被认为是最好的资源或功能在系统的nexus -在任何上述维度——既可被视为潜在用户中获益,相反,帮助攻击者,结合其可达性或相关的环境问题。下一节将讨论由站得住脚的产生non-CVE数据的重要性,以及它如何帮助推理攻击表面。

攻击向量

网络威胁并不仅仅依靠软件漏洞。有许多额外的攻击向量只是特性的系统,但可以通过进一步的枚举,导致违反数据泄漏,错误(在配置或人为错误),等。例如,根据2020年的Verizon数据违反调查报告(DBIR)三分之二的违反了黑客或错误行为,和80%的黑客行为涉及被盗密码或强力。恶意软件和黑客利用漏洞(在操作)患病率较低,在根据DBIR数据呈下降趋势(在2020和2021年的报告)。使用事件数据作为一个代理,将站得住脚的结果映射到威胁行为和攻击向量,帮助防守他们的风险敞口计算并提供清晰的见解和攻击表面。

事件和违约行为将突出特定服务的接触,例如,蛮力攻击与远程登录服务,或任何其他服务或API凭证/关键攻击的潜在风险。这样的服务也公开攻击的未来仍未被发现的弱点和缺点,并能促进攻击者的post-exploitation活动。他们可能攻击分,应该是这次袭击的一部分表面测量不管他们的脆弱性现状。下面的表1介绍功能的例子中发现环境,构成潜在的攻击向量。

事件数据的一个例子是真实社区数据库(VCDB),这是一个努力捕捉安全事件公开和共享的社区。它是基于真实的框架,这是一组指标旨在提供一个共同的语言来描述安全事故在一个结构化的和可重复的方式。

表1。测量的系统数据相关的攻击表面。

攻击阶段	发现	可能的行动在VCDB类别
侦察 初始入口	远程登录服务(例如,vnc, rdp) 远程文件共享(例如,ftp) 服务/ api /关键攻击与潜在的凭证 空会话管道和股票 匿名FTP SNMP社区字符串 SMTP / POP / IMAP暴露出来 VBA / OLE启用 面向公众的web应用程序: 动态网页(底层技术?例如,php, asp) 其他的web技术(如jscript、vbscript / activex,闪光灯) Web框架或CMS(例如,drupal, laravel, django) 其他门户网站	行动。<目录> .Variety。蛮力 Action.Social.Variety.Phishing Action.Hacking.Vector.WebApplication
海拔的特权 扩张的控制	不安全的或弱acl权限 路径拦截(例如,非上市路径) 服务作为根用户运行/系统(例如,哪一个有多少?)	Action.Hacking.Vector.Command

来源:成立,2021年5月。

测量表面的攻击

最安全运营团队使用标签的警报和事件。这可能是基于度量类似于用于真实的框架,为了创造更好的洞察力或帮助自动化。上下文的事件——特别是回答这个问题“影响资产什么行动?”— is what helps in risk calculation by deducing the prevalence of the threat action and associated attack vector. Each attack vector will then have a weight. For instance, based on the global prevalence noted in both the 2020 and 2021 DBIR, we can presume that externally exposed services would have a high weight in the attack surface calculation given the prevalence of brute-forcing and the use of leaked credentials.

所有结果的映射,包括更广泛的系统上的功能发现,变成威胁行动出现在事件报告,提供了一个更精确的测量比如果我们只考虑漏洞的风险。这也是重要的识别系统的不同部分,需要优先缓解或进一步的保护。的整体测量攻击表面可以是一个简单的加权和,的重量(基于流行)乘以一个简单的计数功能的系统暴露在攻击向量。

的例子如何站得住脚的数据可以用来测量攻击表面

测量攻击表面下面的例子是基于匿名聚合数据从20环境的分析,认为四攻击向量(见表2)。

每个攻击载体所示与活动围绕一组确定的站得住脚的插件。例如,点击从插件关联到一个VNC服务都与第一个攻击向量(远程登录服务)。每种攻击向量给出重量。事件数据和风险情况的严重程度可以用来推断攻击向量的重量。例如,远程登录服务将有最高的体重,鉴于这是一个主要候选人攻击。注意权重设置手动对于这个例子,可以改变,随着攻击向量,如果事件/违反数据显示特定的向量是在给定的环境中比其他人更相关。

表2。攻击向量和可能的威胁行为。

四个攻击向量	可能的威胁行为
1。远程登录服务	蛮力,泄露的凭证,或者可以让认证绕过一个弱点,信息泄漏,或代码执行。
2。其他远程服务,例如,文件共享、邮件、数据库等。	信息泄漏,蛮力,嗅探或注射可能导致代码执行。
3所示。Web应用程序中,例如,CMS框架	蛮力、弱访问控制、注入。
4所示。钓鱼/鱼叉式网络钓鱼附件	代码执行。

来源:成立,2021年5月。

图1所示。绝对的攻击表面。

图2。规范化的攻击表面——考虑资产的数量。

来源:成立,2021年5月。

结论

实现有意义的和实用的风险和安全测量,要考虑知识从攻击者景观以及后卫景观。虽然标准化分类提供一种有用的方式呈现和分享信息,它们提供了更大的灵活性,使其难以实现的方方面面的一个完整的视图系统攻击者可以尝试妥协。

我们认为重要的是网络安全专业人员重新考虑攻击表面是如何定义的。除了考虑已知的漏洞的影响,防守还需要更广泛的所有可能的攻击点和使用数据驱动的方法来测量的重要性,每一个在其环境改善补救措施,降低网络风险的优先级。

了解更多

• 查看网络研讨会也许是时候停止对太多的漏洞
• 读站得住脚的2021脆弱性情报报告
• 下载站得住脚的景观回顾2020年的威胁