卡巴斯基2017年企业信息系统的安全评估报告

卡巴斯基实验室的安然办事部门每年都邑为举世的企业开展数十个收集安然评估项目。在本文中,我们供给了卡巴斯基实验室2017年开展的企业信息系统收集安然评估的总体概述和统计数据。

本文的主要目的是为今世企业信息系统的破绽和进击向量领域的IT安然专家供给信息支持。

我们已经为多个行业的企业开展了数十个项目,包括政府机构、金融机构、电信和IT公司以及制造业和能源业公司。下图显示了这些企业的行业和地区散播环境。

目标企业的行业和地区散播环境

破绽的概括和统计信息是根据我们供给的每种办事分手总结的:

外部渗透测试是指针对只能造访公开信息的外部互联网入侵者的企业收集安然状况评估

内部渗透测试是指针对位于企业收集内部的具有物理造访权限但没有特权的进击者进行的企业收集安然状况评估。

Web利用安然评估是指针对Web利用的设计、开拓或运营历程中呈现的差错导致的破绽(安然破绽)的评估。

本出版物包孕卡巴斯基实验室专家检测到的最常见破绽和安然缺陷的统计数据,未经授权的进击者可能使用这些破绽渗透公司的根基举措措施。

针对外部入侵者的安然评估

我们将企业的安然等级划分为以下评级:

异常低

中等偏下

中等偏上

我们经由过程卡巴斯基实验室的自有措施进行总体的安然等级评估,该措施斟酌了测试时代得到的造访级别、信息资本的优先级、获取造访权限的难度以及花费的光阴等身分。

安然级别为异常低对应于我们能够穿透内网的界限并造访内网关键资本的环境(例如,得到内网的最高权限,得到症毕营业系统的完全节制权限以及得到关键的信息)。此外,得到这种造访权限不必要特殊的技能或大年夜量的光阴。

安然级别为高对应于在客户的收集界限只能发明无关紧要的破绽(不会对公司带来风险)的环境。

目标企业的经济成分散播

目标企业的安然等级散播

根据测试时代得到的造访级别来划分目标企业

用于穿透收集界限的进击向量

大年夜多半进击向量成功的缘故原由在于不充分的内网过滤、治理接口可公开造访、弱密码以及Web利用中的破绽等。

只管86%的目标企业应用了逾期、易受进击的软件,但只有10%的进击向量使用了软件中的未经修复的破绽来穿透内网界限(28%的目标企业)。这是由于对这些破绽的使用可能导致回绝办事。因为渗透测试的特殊性(保护客户的资本可运行是一个优先事变),这对付模拟进击造成了一些限定。然而,现实中的犯罪分子在提议进击时可能就不会斟酌这么多了。

建议:

除了进行更新治理外,还要加倍重视设置设置设备摆设摆设收集过滤规则、实施密码保护步伐以及修复Web利用中的破绽。

使用Web利用中的破绽提议的进击

我们的2017年渗透测试结果明确注解,对Web利用安然性的关注仍旧不敷。Web利用破绽在73%的进击向量中被用于获取收集外围主机的造访权限。

在渗透测试时代,随意率性文件上传破绽是用于穿透收集界限的最广泛的Web利用破绽。该破绽可被用于上传敕令行说冥器并得到对操作系统的造访权限。SQL注入、随意率性文件读取、XML外部实体破绽主要用于获取用户的敏感信息,例如密码及其哈希。账户密码被用于经由过程可公开造访的治理接口来提议的进击。

建议:

应按期对所有的公开Web利用进行安然评估;应实施破绽治理流程;在变动利用法度榜样代码或Web办事器设置设置设备摆设摆设后,必须反省利用法度榜样;必须及时更新第三方组件和库。

用于穿透收集界限的Web利用破绽

使用Web利用破绽和可公开造访的治理接口获取内网造访权限的示例

第一步

使用SQL注入破绽绕过Web利用的身份验证

第二步

使用敏感信息泄露破绽获取Web利用中的用户密码哈希

第三步

离线密码预测进击。可能使用的破绽:弱密码

第四步

使用获取的凭证,经由过程XML外部实体破绽(针对授权用户)读取文件

第五步

针对获取到的用户名提议在线密码预测进击。可能使用的破绽:弱密码,可公开造访的远程治理接口

第六步

在系统中添加su敕令的又名,以记录输入的密码。该敕令要求用户输入特权账户的密码。这样,治理员在输入密码时就会被截获。

[1] [2] [3] [4] [5] [6] [7] [8]下一页

第七步

获取企业内网的造访权限。可能使用的破绽:不安然的收集拓扑

使用治理接口提议的进击

虽然“对治理接口的收集造访不受限定”不是一个破绽,而是一个设置设置设备摆设摆设上的掉误,但在2017年的渗透测试中它被一半的进击向量所使用。57%的目标企业可以经由过程治理接口获取对信息资本的造访权限。

经由过程治理接口获取造访权限平日使用了以下要领得到的密码:

使用目标主机的其它破绽(27.5%)。例如,进击者可使用Web利用中的随意率性文件读取破绽从Web利用的设置设置设备摆设摆设文件中获取明文密码。

应用Web利用、CMS系统、收集设备等的默认凭证(27.5%)。进击者可以在响应的文档中找到所需的默认账户凭证。

提议在线密码预测进击(18%)。当没有针对此类进击的防护步伐/对象时,进击者经由过程预测来得到密码的时机将大年夜大年夜增添。

从其它受感染的主机获取的凭证(18%)。在多个系统上应用相同的密码扩大年夜了潜在的进击面。

在使用治理接口获取造访权限时使用逾期软件中的已知破绽是最不常见的环境。

使用治理接口获取造访权限

经由过程何种要领获取治理接口的造访权限

治理接口类型

建议:

按期反省所有系统,包括Web利用、内容治理系统(CMS)和收集设备,以查看是否应用了任何默认凭证。为治理员帐户设置强密码。在不合的系统中应用不合的帐户。将软件进级至最新版本。

大年夜多半环境下,企业每每忘怀禁用Web远程治理接口和SSH办事的收集造访。大年夜多半Web治理接口是Web利用或CMS的治理节制面板。造访这些治理节制面板平日不仅可以得到对Web利用的完备节制权,还可以得到操作系统的造访权。得到对Web利用治理节制面板的造访权限后,可以经由过程随意率性文件上传功能或编辑Web利用的页面来获取履行操作系统敕令的权限。在某些环境下,敕令行解释法度榜样是Web利用治理节制面板中的内置功能。

建议:

严格限定对所有治理接口(包括Web接口)的收集造访。只容许从有限数量的IP地址进行造访。在远程造访时应用VPN。

使用治理接口提议进击的示例

第一步

检测到一个只读权限的默认社区字符串的SNMP办事

第二步

经由过程SNMP协议检测到一个逾期的、易受进击的思科IOS版本。破绽:cisco-sa-20170629-snmp(https://tools.cisco. com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170629-snmp)。该破绽容许进击者经由过程只读的SNMP社区字符串进行提权,获取设备的完全造访权限。使用思科宣布的公开破绽信息,卡巴斯基专家Artem Kondratenko开拓了一个用来演示进击的破绽使用法度榜样(https://github.com/artkond/cisco-snmp-rce)。

第三步

使用ADSL-LINE-MIB中的一个破绽以及路由器的完全造访权限,我们可以得到客户的内网资本的造访权限。完备的技巧细节请参考https://kas.pr/3whh

最常见破绽和安然缺陷的统计信息

最常见的破绽和安然缺陷

针对内部入侵者的安然评估

我们将企业的安然等级划分为以下评级:

异常低

中等偏下

中等偏上

我们经由过程卡巴斯基实验室的自有措施进行总体的安然等级评估,该措施斟酌了测试时代得到的造访级别、信息资本的优先级、获取造访权限的难度以及花费的光阴等身分。安然级别为异常低对应于我们能够得到客户内网的完全节制权的环境(例如,得到内网的最高权限,得到症毕营业系统的完全节制权限以及获取关键的信息)。此外,得到这种造访权限不必要特殊的技能或大年夜量的光阴。

安然级别为高对应于在渗透测试中只能发明无关紧要的破绽(不会对公司带来风险)的环境。

在存在域根基举措措施的所有项目中,有86%可以得到活动目录域的最高权限(例如域治理员或企业治理员权限)。在64%的企业中,可以得到最高权限的进击向量跨越了一个。在每一个项目中,匀称有2-3个可以得到最高权限的进击向量。这里只统计了在内部渗透测试时代实践过的那些进击向量。对付大年夜多半项目,我们还经由过程bloodhound等专有对象发清楚明了大年夜量其它的潜在进击向量。

这些我们实践过的进击向量在繁杂性和实践步骤数(从2步到6步)方面各不相同。匀称而言,在每个企业中获取域治理员权限必要3个步骤。

上一页[1] [2] [3] [4] [5] [6] [7] [8]下一页

获取域治理员权限的最简单进击向量的示例:

进击者经由过程NBNS诈骗进击和NTLM中继进击拦截治理员的NetNTLM哈希,并使用该哈希在域节制器长进行身份验证;

使用HP Data Protector中的破绽CVE-2011-0923,然后从lsass.exe进程的内存中提取域治理员的密码

获取域治理员权限的最小步骤数

下图描述了使用以下破绽获取域治理员权限的更繁杂进击向量的一个示例:

应用包孕已知破绽的逾期版本的收集设备固件

应用弱密码

在多个系统和用户中重复应用密码

应用NBNS协议

SPN账户的权限过多

获取域治理员权限的示例

第一步

使用D-Link收集存储的Web办事中的破绽。该破绽容许以超级用户的权限履行随意率性代码。创建SSH地道以造访治理收集(直接造访受到防火墙规则的限定)。

破绽:逾期的软件(D-link)

第二步

检测到思科互换机和一个可用的SNMP办事以及默认的社区字符串“Public”。思科IOS的版本是经由过程SNMP协议识别的。

破绽:默认的SNMP社区字符串

第三步

使用思科IOS的版本信息来发明破绽。使用破绽CVE-2017-3881获取具有最高权限的敕令说冥器的造访权。

破绽:逾期的软件(思科)

第四步

提取本地用户的哈希密码

第五步

离线密码预测进击。

破绽:特权用户弱密码

第六步

NBNS诈骗进击。拦截NetNTLMv2哈希。

破绽:应用NBNS协议

第七步

对NetNTLMv2哈希进行离线密码预测进击。

破绽:弱密码

第八步

应用域帐户履行Kerberoasting进击。得到SPN帐户的TGS票证

第九步

从思科互换机获取的本地用户帐户的密码与SPN帐户的密码相同。

破绽:密码重用,账户权限过多

关于破绽CVE-2017-3881(思科IOS中的远程代码履行破绽)

在CIA文件Vault 7:CIA中发清楚明了对此破绽的引用,该文档于2017年3月在维基解密上宣布。该破绽的代号为ROCEM,文档中险些没有对其技巧细节的描述。之后,该破绽被分配编号CVE-2017-3881和cisco-sa-20170317-cmp。

该破绽容许未经授权的进击者经由过程Telnet协议以最高权限在思科IOS中履行随意率性代码。在CIA文档中只描述了与开拓破绽使用法度榜样所需的测试历程相关的一些细节; 但没有供给实际破绽使用的源代码。只管如斯,卡巴斯基实验室的专家Artem Kondratenko使用现有的信息进行实验钻研重现了这一高危破绽的使用代码。

关于此破绽使用的开拓历程的更多信息,请造访 https://kas.pr/fk8g, https://kas.pr/amv7。

最常用的进击技巧

经由过程阐发用于在活动目录域中获取最高权限的进击技巧,我们发明:

用于在活动目录域中获取最高权限的不合进击技巧在目标企业中的占比

NBNS/LLMNR诈骗进击

我们发明87%的目标企业应用了NBNS和LLMNR协议。67%的目标企业可经由过程NBNS/LLMNR诈骗进击获取活动目录域的最大年夜权限。该进击可拦截用户的数据,包括用户的NetNTLMv2哈希,并使用此哈希提议密码预测进击。

安然建议:

建议禁用NBNS和LLMNR协议

检测建议:

一种可能的办理规划是经由过程蜜罐以不存在的谋略机名称来广播NBNS/LLMNR哀求,假如收到了相应,则证实收集中存在进击者。示例:https://blog.netspi.com/identifying-rogue-nbns-spoofers/,https://github.com/Kevin-Robertson/Conveigh 。

假如可以造访全部收集流量的备份,则应该监测那些发出多个LLMNR/NBNS相应(针对不合的谋略机名称发出相应)的单个IP地址。

NTLM中继进击

在NBNS/LLMNR 诈骗进击成功的环境下,一半的被截获的NetNTLMv2哈希被用于进行NTLM中继进击。假如在NBNS/LLMNR 诈骗进击时代拦截了域治理员帐户的NetNTLMv2哈希,则可经由过程NTLM中继进击快速得到活动目录的最高权限。

42%的目标企业可使用NTLM中继进击(结合NBNS/LLMNR诈骗进击)获取活动目录域的最高权限。47%的目标企业无法抵御此类进击。

安然建议:

防护该进击的最有效措施是阻拦经由过程NTLM协议的身份验证。但该措施的毛病是难以实现。

身份验证扩展协议(EPA)可用于防止NTLM中继进击。

另一种保护机制是在组策略设置中启用SMB协议署名。请留意,此措施仅可防止针对SMB协议的NTLM中继进击。

检测建议:

此类进击的范例踪迹是收集登录事故(事故ID4624,登录类型为3),此中“源收集地址”字段中的IP地址与源主机名称“事情站名称”不匹配。这种环境下,必要一个主机名与IP地址的映射表(可以应用DNS集成)。

或者,可以经由过程监测来自非范例IP地址的收集登录来识别这种进击。对付每一个收集主机,应网络最常履行系统登录的IP地址的统计信息。来自非范例IP地址的收集登录可能意味着进击行径。这种措施的毛病是会孕育发生大年夜量误报。

使用逾期软件中的已知破绽

上一页[1] [2] [3] [4] [5] [6] [7] [8]下一页

逾期软件中的已知破绽占我们实施的进击向量的三分之一。

大年夜多半被使用的破绽都是2017年发明的:

思科IOS中的远程代码履行破绽(CVE-2017-3881)

VMware vCenter中的远程代码履行破绽(CVE-2017-5638)

Samba中的远程代码履行破绽(CVE-2017-7494 – Samba Cry)

Windows SMB中的远程代码履行破绽(MS17-010)

大年夜多半破绽的使用代码已公开(例如MS17-010、Samba Cry、VMwarevCenter CVE-2017-5638),使得使用这些破绽变得加倍轻易

常见的内部收集进击是使用Java RMI收集办事中的远程代码履行破绽和Apache Common Collections(ACC)库(这些库被利用于多种产品,例如思科局域网治理办理规划)中的Java反序列化破绽实施的。反序列化进击对许多大年夜型企业的软件都有效,可以在企业根基举措措施的关键办事器上快速获取最高权限。

Windows中的最新破绽已被用于远程代码履行(MS17-010 永恒之蓝)和系统中的本地权限提升(MS16-075 烂土豆)。在相关破绽信息被公开后,整个企业的60%以及吸收渗透测试的企业的75%都存在MS17-010破绽。该当指出的是,该破绽不仅在2017年第一季度末和第二季度在这些企业中被发明(此时检测到该破绽并不令人惊疑,由于破绽补丁刚刚宣布),而且在2017年第四时度在这些企业中被检测到。这意味着更新/破绽治理步伐并没有起到感化,并且存在被WannaCry等恶意软件感染的风险。

安然建议:

监控软件中被公开表露的新破绽。及时更新软件。应用包孕IDS/IPS模块的终端保护办理规划。

检测建议:

以下事故可能意味着软件破绽使用的进击考试测验,必要进行重点监测:

触发终端保护办理规划中的IDS/IPS模块;

办事器利用进程大年夜量天生非范例进程(例如Apache办事器启动bash进程或MS SQL启动PowerShell进程)。为了监测这种事故,应该从终端节点网络进程启动事故,这些事故该当包孕被启动进程及其父进程的信息。这些事故可从以下软件网络获得:收费软件EDR办理规划、免费软件Sysmon或Windows10/Windows 2016中的标准日志审计功能。从Windows 10/Windows 2016开始,4688事故(创建新进程)包孕了父进程的相关信息。

客户端和办事器软件的不正常关闭是范例的破绽使用指标。请留意这种措施的毛病是会孕育发生大年夜量误报。

在线密码预测进击

在线密码预测进击最常被用于得到Windows用户帐户和Web利用治理员帐户的造访权限。

密码策略容许用户选择可猜测且易于预测的密码。此类密码包括:p@SSword1, 123等。

应用默认密码和密码重用有助于成功地对治理接口进行密码预测进击。

安然建议:

为所有用户帐户实施严格的密码策略(包括用户帐户、办事帐户、Web利用和收集设备的治理员帐户等)。

前进用户的密码保护意识:选择繁杂的密码,为不合的系统和帐户应用不合的密码。

对包括Web利用、CMS和收集设备在内的所有系统进行审计,以反省是否应用了任何默认帐户。

检测建议:

要检测针对Windows帐户的密码预测进击,应留意:

终端主机上的大年夜量4625事故(暴力破解本地和域帐户时会发生此类事故)

域节制器上的大年夜量4771事故(经由过程Kerberos进击暴力破解域帐户时会发生此类事故)

域节制器上的大年夜量4776事故(经由过程NTLM进击暴力破解域帐户时会发生此类事故)

离线密码预测进击

离线密码预测进击常被用于:

破解从SAM文件中提取的NTLM哈希

破解经由过程NBNS/LLMNR诈骗进击拦截的NetNTLMv2哈希

Kerberoasting进击(见下文)

破解从其它系统上获取的哈希

Kerberoasting进击

Kerberoasting进击是针对SPN(办事主体名称)帐户密码的离线暴力破解进击,其Kerberos TGS办事票证是加密的。要提议此类进击,只必要有域用户的权限。假如SPN帐户具有域治理员权限并且其密码被成功破解,则进击者得到了活动目录域的最高权限。在20%的目标企业中,SPN帐户存在弱密码。在13%的企业中(或在17%的得到域治理员权限的企业中),可经由过程Kerberoasting进击得到域治理员的权限。

安然建议:

为SPN帐户设置繁杂密码(不少于20个字符)。

遵照办事帐户的最小权限原则。

检测建议:

监测经由过程RC4加密的TGS办事票证的哀求(Windows安然日志的记录是事故4769,类型为0×17)。短期内大年夜量的针对不合SPN的TGS票证哀求是进击正在发生的指标。

卡巴斯基实验室的专家还使用了Windows收集的许多特点来进行横向移动和提议进一步的进击。这些特点本身不是破绽,但却创造了很多时机。最常应用的特点包括:从lsass.exe进程的内存中提取用户的哈希密码、实施hash通报进击以及从SAM数据库中提取哈希值。

应用此技巧的进击向量的占比

从lsass.exe进程的内存中提取凭证

因为Windows系统中单点登录(SSO)的实现较弱,是以可以得到用户的密码:某些子系统应用可逆编码将密码存储在操作系统

上一页[1] [2] [3] [4] [5] [6] [7] [8]下一页

内存中。是以,操作系统的特权用户能够造访所有登任命户的凭证。

安然建议:

在所有系统中遵照最小权限原则。此外,建议尽可能避免在域情况中重复应用本地治理员帐户。针对特权账户遵照微软层级模型以低落入侵风险。

应用Credential Guard机制(该安然机制存在于Windows 10/Windows Server 2016中)

应用身份验证策略(Authentication Policies)和Authentication Policy Silos

禁用收集登录(本地治理员帐户或者本地治理员组的账户和成员)。(本地治理员组存在于Windows 8.1/ Windows Server2012R2以及安装了KB2871997更新的Windows 7/Windows 8/Windows Server2008R2中)

应用“受限治理模式RDP”而不是通俗的RDP。应该留意的是,该步伐可以削减明文密码泄露的风险,但增添了经由过程散列值建立未授权RDP连接(Hash通报进击)的风险。只有在采取了综合防护步伐以及能够阻拦Hash通报进击时,才保举采纳此措施。

将特权账户置于受保护的用户组,该组中的成员只能经由过程Kerberos协议登录。(Microsoft网站上供给了该组的所有保护机制的列表)

启用LSA保护,以阻拦经由过程未受保护的进程来读取内存和进行代码注入。这为LSA存储和治理的凭证供给了额外的安然防护。

禁用内存中的WDigest存储或者完全禁用WDigest身份验证机制(适用于Windows8.1 / Windows Server 2012 R2或安装了KB2871997更新的Windows7/Windows Server 2008系统)。

在域策略设置设置设备摆设摆设中禁用SeDebugPrivilege权限

禁用自动从新登录(ARSO)功能

应用特权帐户进行远程造访(包括经由过程RDP)时,请确保每次终止会话时都注销。

在GPO中设置设置设备摆设摆设RDP会话终止:谋略机设置设置设备摆设摆设\策略\治理模板\ Windows组件\远程桌面办事\远程桌面会话主机\会话光阴限定。

启用SACL以对考试测验造访lsass.exe的进程进行挂号治理

应用防病毒软件。

此步伐列表不能包管完全的安然。然则,它可被用于检测收集进击以及低落进击成功的风险(包括自动履行的恶意软件进击,如NotPetya/ExPetr)。

检测建议:

检测从lsass.exe进程的内存中提取密码进击的措施根据进击者应用的技巧而有很大年夜差异,这些内容不在本出版物的评论争论范围之内。更多信息请造访https://kas.pr/16a7。

我们还建议您分外留意应用PowerShell(Invoke-Mimikatz)凭证提取进击的检测措施。

Hash通报进击

在此类进击中,从SAM存储或lsass.exe进程内存中获取的NTLM哈希被用于在远程资本长进行身份验证(而不是应用帐户密码)。

这种进击成功地在25%的进击向量中利用,影响了28%的目标企业。

安然建议:

防止此类进击的最有效措施是禁止在收集中应用NTLM协议。

应用LAPS(本地治理员密码办理规划)来治理本地治理员密码。

禁用收集登录(本地治理员帐户或者本地治理员组的账户和成员)。(本地治理员组存在于Windows 8.1/ Windows Server2012R2以及安装了KB2871997更新的Windows 7/Windows 8/Windows Server2008R2中)

在所有系统中遵照最小权限原则。针对特权账户遵照微软层级模型以低落入侵风险。

检测建议:

在对特权账户的运器具有严格限定的分段收集中,可以最有效地检测此类进击。

建议制作可能遭到进击的账户的列表。该列表不仅应包括高权限帐户,还应包括可用于造访组织关键资本的所有帐户。

在开拓哈希通报进击的检测策略时,请留意与以下相关的非范例收集登录事故:

源IP地址和目标资本的IP地址

登录光阴(事情光阴、假期)

此外,还要留意与以下相关的非范例事故:

帐户(创建帐户、变动帐户设置或考试测验应用禁用的身份验证措施);

同时应用多个帐户(考试测验从同一台谋略机登录到不合的帐户,应用不合的帐户进行VPN连接以及造访资本)。

哈希通报进击中应用的许多对象都邑随机天肇事情站名称。这可以经由过程事情站名称是随机字符组合的4624变糊弄检测。

从SAM中提取本地用户凭证

从Windows SAM存储中提取的本地帐户NTLM哈希值可用于离线密码预测进击或哈希通报进击。

检测建议:

检测从SAM提取登录凭证的进击取决于进击者应用的措施:直接造访逻辑卷、Shadow Copy、reg.exe,远程注册表等。

有关检测凭证提取进击的具体信息,请造访 https://kas.pr/16a7。

最常见破绽和安然缺陷的统计信息

最常见的破绽和安然缺陷

在所有的目标企业中,都发明收集流量过滤步伐不够的问题。治理接口(SSH、Telnet、SNMP以及Web利用的治理接口)和DBMS造访接口都可以经由过程用户段进行造访。在不合帐户中应用弱密码和密码重用使得密码预测进击变得加倍轻易。

当一个利用法度榜样账户在操作系统中具有过多的权限时,使用该利用法度榜样中的破绽可能在主机上得到最高权限,这使得后续进击变得加倍轻易。

Web利用安然评估

以下统计数据包括举世范围内的企业安然评估结果。所有Web利用中有52%与电子商务有关。

上一页[1] [2] [3] [4] [5] [6] [7] [8]下一页

根据2017年的阐发,政府机构的Web利用是最脆弱的,在所有的Web利用中都发清楚明了高风险的破绽。在商业Web利用中,高风险破绽的比例最低,为26%。“其它”种别仅包孕一个Web利用,是以在谋略经济成分散播的统计数据时没有斟酌此种别。

Web利用的经济成分散播

Web利用的风险级别散播

对付每一个Web利用,其整体风险级别是基于检测到的破绽的最大年夜风险级别而设定的。电子商务行业中的Web利用最为安然:只有28%的Web利用被发明存在高风险的破绽,而36%的Web利用最多存在中等风险的破绽。

高风险Web利用的比例

假如我们查看每个Web利用的匀称破绽数量,那么经济因素的排名维持不变:政府机构的Web利用中的匀称破绽数量最高;金融行业其次,着末是电子商务行业。

每个Web利用的匀称破绽数

2017年,被发明次数最多的高风险破绽是:

敏感数据裸露破绽(根据OWASP分类标准),包括Web利用的源码裸露、设置设置设备摆设摆设文件裸露以及日志文件裸露等。

未履历证的重定向和转发(根据OWASP分类标准)。此类破绽的风险级别平日为中等,并常被用于进行收集钓鱼进击或分发恶意软件。2017年,卡巴斯基实验室专家碰到了该破绽类型的一个加倍危险的版本。这个破绽存在于Java利用中,容许进击者实施路径遍历进击并读取办事器上的各类文件。尤其是,进击者可以以明文形式造访有关用户及其密码的具体信息。

应用字典中的凭证(该破绽在OWASP分类标准的身份验证破坏种别下)。该破绽常在在线密码预测进击、离线密码预测进击(已知哈希值)以及对Web利用的源码进行阐发的历程中发明。

在所有经济因素的Web利用中,都发清楚明了敏感数据裸露破绽(内部IP地址和数据库造访端口、密码、系统备份等)和应用字典中的凭证破绽。

敏感数据裸露

未履历证的重定向和转发

应用字典中的凭证

破绽阐发

2017年,我们发明的高风险、中等风险和低风险破绽的数量大年夜致相同。然则,假如查看Web利用的整体风险级别,我们会发明跨越一半(56%)的Web利用包孕高风险破绽。对付每一个Web利用,其整体风险级别是基于检测到的破绽的最大年夜风险级别而设定的。

跨越一半的破绽都是由Web利用源代码中的差错引起的。此中最常见的破绽是跨站脚本破绽(XSS)。44%的破绽是由设置设置设备摆设摆设差错引起的。设置设置设备摆设摆设差错导致的最多的破绽是敏感数据裸露破绽。

对破绽的阐发注解,大年夜多半破绽都与Web利用的办事器端有关。此中,最常见的破绽是敏感数据裸露、SQL注入和功能级造访节制缺掉。28%的破绽与客户端有关,此中一半以上是跨站脚本破绽(XSS)。

破绽风险级其余散播

Web利用风险级其余散播

不合类型破绽的比例

办事器端和客户端破绽的比例

破绽总数统计

本节供给了破绽的总体统计信息。应该留意的是,在某些Web利用中发清楚明了相同类型的多个破绽。

10种最常见的破绽类型

上一页[1] [2] [3] [4] [5] [6] [7] [8]下一页

20%的破绽是跨站脚本类型的破绽。进击者可以使用此破绽获取用户的身份验证数据(cookie)、实施钓鱼进击或分发恶意软件。

敏感数据裸露 -一种高风险破绽,是第二大年夜常见破绽。它容许进击者经由过程调试脚本、日志文件等造访Web利用的敏感数据或用户信息。

SQL注入 – 第三大年夜常见的破绽类型。它涉及到将用户的输入数据注入SQL语句。假如数据验证不充分,进击者可能会变动发送到SQL Server的哀求的逻辑,从而从Web办事器获取随意率性数据(以Web利用的权限)。

很多Web利用中存在功能级造访节制缺掉破绽。它意味着用户可以造访其角色不被容许造访的利用法度榜样脚本和文件。例如,一个Web利用中假如未授权的用户可以造访其监控页面,则可能会导致会话挟制、敏感信息裸露或办变乱障等问题。

其它类型的破绽都差不多,险些每一种都占4%:

用户应用字典中的凭证。经由过程密码预测进击,进击者可以造访易受进击的系统。

未履历证的重定向和转发(未履历证的转发)容许远程进击者将用户重定向到随意率性网站并提议收集钓鱼进击或分发恶意软件。在某些案例中,此破绽还可用于造访敏感信息。

远程代码履行容许进击者在目标系统或目标进程中履行任何敕令。这平日涉及到得到对Web利用源代码、设置设置设备摆设摆设、数据库的完全造访权限以及进一步进击收集的时机。

假如没有针对密码预测进击的靠得住保护步伐,并且用户应用了字典中的用户名和密码,则进击者可以得到目标用户的权限来造访系统。

许多Web利用应用HTTP协议传输数据。在成功实施中心人进击后,进击者将可以造访敏感数据。尤其是,假如拦截到治理员的凭证,则进击者将可以完全节制相关主机。

文件系统中的完备路径泄露破绽(Web目录或系统的其他工具)使其他类型的进击加倍轻易,例如,随意率性文件上传、本地文件包孕以及随意率性文件读取。

Web利用统计

本节供给有关Web利用中破绽呈现频率的信息(下图表示了每种特定类型破绽的Web利用的比例)。

最常见破绽的Web利用比例

改进Web利用安然性的建议

建议采取以下步伐来低落与上述破绽相关的风险:

反省来自用户的所稀有据。

限定对治理接口、敏感数据和目录的造访。

遵照最小权限原则,确保用户拥有所需的最低权限集。

必须对密码最小长度、繁杂性和密码变动频率强制进行要求。应该打消应用凭证字典组合的可能性。

应及时安装软件及其组件的更新。

应用入侵检测对象。斟酌应用WAF。确保所有预防性保护对象都已安装并正常运行。

实施安然软件开拓生命周期(SSDL)。

按期反省以评估IT根基举措措施的收集安然性,包括Web利用的收集安然性。

结论

43%的目标企业对外部进击者的整体防护水平被评估为低或异常低:纵然外部进击者没有精湛的技能或只能造访公开可用的资本,他们也能够得到对这些企业的紧张信息系统的造访权限。

使用Web利用中的破绽(例如随意率性文件上传(28%)和SQL注入(17%)等)渗透收集界限并获取内网造访权限是最常见的进击向量(73%)。用于穿透收集界限的另一个常见的进击向量是针对可公开造访的治理接口的进击(弱密码、默认凭证以及破绽使用)。经由过程限定对治理接口(包括SSH、RDP、SNMP以及web治理接口等)的造访,可以阻拦约一半的进击向量。

93%的目标企业对内部进击者的防护水平被评估为低或异常低。此外,在64%的企业中发清楚明了至少一个可以得到IT根基举措措施最高权限(如活动目录域中的企业治理权限以及收集设备和紧张营业系统的完全节制权限)的进击向量。匀称而言,在每个项目中发清楚明了2到3个可以获取最高权限的进击向量。在每个企业中,匀称只必要三个步骤即可获取域治理员的权限。

实施内网进击常用的两种进击技巧包括NBNS诈骗和NTLM中继进击以及使用2017年发明的破绽的进击,例如MS17-010 (Windows SMB)、CVE-2017-7494 (Samba)和CVE-2017-5638 (VMwarevCenter)。在永恒之蓝破绽公布后,该破绽(MS17-010)可在75%的目标企业的内网主机中检测到(MS17-010被广泛用于有针对性的进击以及自动传播的恶意软件,如WannaCry和NotPetya/ExPetr等)。在86%的目标企业的收集界限以及80%的企业的内网中检测到逾期的软件。

值得留意的是JavaRMI办事中的远程代码履行及许多开箱即用产品应用的Apache Commons Collections和其它Java库中的反序列化破绽。2017年OWASP项目将不安然的反序列化破绽包孕进其10大年夜web破绽列表(OWASP TOP 10),并排在第八位(A8-不安然的反序列化)。这个问题异常普遍,相关破绽数量之多以至于Oracle正在斟酌在Java的新版本中放弃支持内置数据序列化/反序列化的可能性1。

获取对收集设备的造访权限有助于内网进击的成功。收集设备中的以下破绽常被使用:

cisco-sa-20170317-cmp或CVE-2017-3881(CiscoIOS)。该破绽容许未经授权的进击者经由过程Telnet协议以最大年夜权限造访互换机。

cisco-sa-20170629-snmp(Cisco IOS)。该破绽容许进击者在知道SNMP社区字符串值(平日是字典中的值)和只读权限的环境下经由过程SNMP协议以最大年夜权限造访设备。

思科智能安装功能。该功能在Cisco互换机中默认启用,不必要身份验证。是以,未经授权的进击者可以获取和调换互换机的设置设置设备摆设摆设文件2。

2017年我们的Web利用安然评估注解,政府机构的Web利用最轻易受到进击(所有Web利用都包孕高风险的破绽),而电子商务企业的Web利用最不轻易受到进击(28%的Web利用包孕高风险破绽)。Web利用中最常呈现以下类型的破绽:敏感数据裸露(24%)、跨站脚本(24%)、未履历证的重定向和转发(14%)、对密码预测进击的保护不够(14%)和应用字典中的凭证(13%)。

上一页[1] [2] [3] [4] [5] [6] [7] [8]下一页

为了前进安然性,建议企业分外重视Web利用的安然性,及时更新易受进击的软件,实施密码保护步伐和防火墙规则。建议对IT根基架构(包括Web利用)按期进行安然评估。完全防止信息资本泄露的义务在大年夜型收集中变得极其艰苦,以致在面临0day进击时变得弗成能。是以,确保尽早检测到信息安然事故异常紧张。在进击的早期阶段及时发明进击活动和快速相应有助于防止或减轻进击所造成的侵害。对付已建立安然评估、破绽治理和信息安然事故检测优越流程的成熟企业,可能必要斟酌进行Red Teaming(红队测试)类型的测试。此类测试有助于反省根基举措措施在面临隐匿的身手精湛的进击者时受到保护的环境,以及赞助练习信息安然团队识别进击并在现实前提下进行相应。

参考滥觞

https://www.bleepingcomputer.com/news/security/oracle-plans-to-drop-java-serialization-support- the-source-of-most-security-bugs/

https://dsec.ru/presentations/cisco-smart-install/

上一页[1] [2] [3] [4] [5] [6] [7] [8]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包