据Tenable的一份新报告显示,由于部分组织未能及时修复漏洞,早在2017年就已存在的漏洞仍在被攻击者利用。
该报告基于Tenable Research团队对整个2022年网络安全事件、漏洞和趋势的分析,还包括对2021年11月至2022年10月期间公开披露的1335起数据泄露事件的分析。在分析的事件中,超过22.9亿条记录被曝光,数据内存共占257 TB。
2022年,前五大被利用漏洞分别为Microsoft Exchange、Zoho ManageEngine、Fortinet和Citrix,以及Pulse Secure虚拟专用网络解决方案中的几个严重缺陷。Tenable报告称,2022年被利用最多的五个漏洞是Log4Shell、Follina、Atlassian Confluence Server、数据中心漏洞和ProxyShell。
针对这些漏洞的修补程序和缓解措施已被广泛的宣传,并且这些补救随时可用。报告称:“事实上,2022年首批发现的五个零日漏洞中,有四个漏洞是在供应商发布补丁和可操作缓解指南的同一天向公众披露的。”所以对安全团队来说,供应商一旦确认了零日漏洞并发布了修补程序,它就会默认转变成已知漏洞。
根据Tenable的说法,随着已知漏洞被利用的情况并无改善,组织必须采取防御姿态,尽早而为已知漏洞打上补丁。Tenable的研究负责人鲍勃·休伯在一份声明中表示:“相关数据表明,长期存在的已知漏洞比新漏洞所造成破坏的更多,因为攻击者发现,利用这些被忽视的漏洞获取敏感信息会比寻找新漏洞更容易。”
很显然,事后反应性的网络安全措施在降低风险方面效果并不好。Huber补充道:“要想扭转局面,组织得转向预防性安全和风险管理。”
通过已知漏洞,攻击者甚至可以进入政府组织并破坏关键基础设施。Tenable表示,2022年的几份政府公告警告说,APT集团正在利用已知漏洞攻击政府网络。
在2018年至2022年这五年中,CVE数量正以26.3%的年均增长率上升。Tenable报告称,截至到2023年1月9日,2022年发现了25112个漏洞,比2021报告的21957个漏洞上升了14.4%,比2016年报告的6447个漏洞增加了287%。
除了无法修补的漏洞外,向云托管服务的转变也越来越多地助长了2022年的网络攻击。报告称:“随着组织更多的转向了云托管服务,如AWS、谷歌云平台或Microsoft Azure,因此组织将失去攻击面的可见性,其导致的结果是,组织无法再依赖于正常的安全控制,而是必须要信任CSP(云服务提供商)所提供的服务。”
组织上云面临的最大挑战是,影响CSP的漏洞无法在安全咨询中被报告,同时也没有分配CVE标识符。CSP通常会在不通知最终用户的情况下,以所谓的静默补丁来解决这些问题。这使得风险评估对组织来说具有挑战性。
此外,不安全或配置错误的数据仍然是一个值得关注的领域。Tenable报告显示,2022年发现的所有数据泄露中,超过3%的情况是由不安全的数据库所造成的,这导致了超过8亿条记录的泄露。
随着臭名昭著的勒索软件团伙Conti于2022年5月落马,人们以为勒索软件攻击将大幅下降,然而据Tenable报导,2022年仍有35.5%的网络攻击是由勒索软件所导致,其比2021只略微减少了2.5%。
该报告称:“在勒索软件的生态系统中,成员并不是一成不变的,所以即使Conti不复存在,其下懂得如何使用勒索软件的攻击者也不会就此消失,这就是为什么勒索软件攻击趋势未被削弱的原因。”2021年11月1日至2022年10月31日,报告发现了31个新的勒索团伙。
在违约事件方面,Tenable在2022年观察到1335起违约事件,比一年前减少了26.8%。
这些违规事件导致了22.9亿条记录的曝光,与2021的400亿条记录相比呈下降趋势,与此同时,2022年所曝光的文件数量下降了3.89亿份。报告称:“尽管披露的记录和文件数量在急剧下降,但所包含的数据总量仍然持平,2022年的数据总量为257 TB,而2021为260 TB。”
在2022年所跟踪的1335起违规事件中,有88.2%的组织报告记录被曝光,其中45%的组织没有披露暴露的记录数量,还有6.1%的组织无法确认记录是否被暴露。超过68%的记录来自亚太地区的组织,中东和非洲的组织共占记录曝光量的31%。