为什么外部攻击面很重要:亚太地区相关威胁活动分析

最后更新于2024年3月21日星期四23:41:49 GMT

合著者是Robin Long和Raj Samani

网络安全行业已经将相当多的焦点放在了组织的攻击面上, 从而产生了外部攻击面管理(EASM)技术，作为监控攻击面的一种手段. It would appear a reasonable approach, 在减少与外部攻击面相关的暴露风险的前提下，减少了针对特定地区和部门的无数勒索软件组织的妥协和潜在破坏的可能性.

But things are never quite that simple. The challenge, of course, 暴露的外部风险是否超出了被扫描的端点. 访问经纪人为勒索软件附属机构收集信息进行艰苦的工作, 确定初始入口向量不仅仅是简单地抓取横幅.

Rapid7 Labs最近的分析着眼于2023年下半年亚太地区多个行业的外部访问面, 除了开放的RDP和未打补丁的系统之外，还有大量可用的数据. 数据的规模似乎在帮助访问代理，这揭示了什么, 例如将测试系统或未维护的主机暴露给Internet, 或者泄露凭证的可用性. 这些都给了大量的勒索软件参与者进行成功攻击的机会，同时利用了访问代理的辛勤工作.

当我们考虑这些以区域为目标的活动时，有趣的是威胁团体的范围相当广泛, 但最普遍的群体确实因目标地理或行业而异. (请注意，此数据早于可能的 exit scam 报告，因此不考虑它.)

下图显示了目标部门, 以及针对他们的各种威胁组织, within Australia:

然而，如果我们比较日本最普遍的群体，情况确实有所不同:

所有这些都将注意力集中在可操作情报上. Typically organizations have taken a one-size-fits-all approach to risk prioritization; however, 一种更微妙的方法可能是将针对组织特定部门的威胁团体视为更高的优先级.

进入这个情报主导的安全行动新世界的必要性是非常明确的, and it’s felt on an almost daily basis. 在一年内，我们目睹了威胁组织的能力水平有了根本性的提高，这些组织以前的工作方式是识别泄露的凭证, 然而，现在却能安然无恙地度过0天.

在Rapid7实验室中，我们的方法是尽可能提供上下文. 我们强烈建议读者利用资源，如 AttackerKB 以便更好地理解这些cve的背景, 或者Metasploit之类的工具，以验证来自外部扫描的报告是否保证不定期的安全更新. These, of course, are just the tip of the iceberg, 但我们的方法始终如一:环境至关重要, as is agility. 我们面临着比以往任何时候都多的噪音, 任何可以用来过滤掉这些信息的措施都应该是安全操作的关键部分.