在不斷發(fā)展的網(wǎng)絡(luò)安全領(lǐng)域，攻擊者總是在尋找組織環(huán)境中的安全防護(hù)薄弱環(huán)節(jié)，并且他們所覬覦的不只是某些單獨安全弱點，而是相互結(jié)合的暴露面風(fēng)險和攻擊路徑，以達(dá)到攻擊目的。因此，企業(yè)網(wǎng)絡(luò)安全防護(hù)需要從確定薄弱環(huán)節(jié)入手，了解公司可能被攻擊的路徑，并實施適當(dāng)?shù)念A(yù)防和檢測方法，這有助于增強(qiáng)企業(yè)網(wǎng)絡(luò)的安全彈性。在本文中，列舉了6個真實的網(wǎng)絡(luò)攻擊路徑實例，可以幫助企業(yè)組織了解不斷變化的網(wǎng)絡(luò)威脅。

實例一：某大型金融業(yè)機(jī)構(gòu)

一家大型金融公司因未采取安全措施的DHCP v6廣播而受到惡意中間人攻擊。攻擊者利用該漏洞侵入了大約200個Linux系統(tǒng)。這些攻擊可能導(dǎo)致客戶數(shù)據(jù)泄露、勒索攻擊或其他后果嚴(yán)重的惡意活動。

• 攻擊路徑：利用DHCP v6廣播執(zhí)行中間人攻擊，進(jìn)而攻擊終端計算設(shè)備上的Linux系統(tǒng)。
• 攻擊影響：危及該組織約200個Linux服務(wù)器系統(tǒng)，可能導(dǎo)致數(shù)據(jù)泄露或遭到勒索攻擊。。
• 防護(hù)建議：禁用DHCP v6協(xié)議，給易受攻擊的Linux系統(tǒng)打上安全補(bǔ)丁，同時對開發(fā)人員加強(qiáng)SSH密鑰安全方面的意識教育。

實例二：某大型國際化旅游公司

一家大型國際化旅游公司在完成對某企業(yè)的并購后，對其IT基礎(chǔ)設(shè)施進(jìn)行了整合。在此過程中，由于資產(chǎn)識別不全面，未能在一臺被忽視的業(yè)務(wù)服務(wù)器上打關(guān)鍵安全補(bǔ)丁。這個疏忽導(dǎo)致該公司受到了PrintNightmare和EternalBlue等已知漏洞利用的攻擊，并危及其他關(guān)鍵數(shù)據(jù)資產(chǎn)安全。

• 攻擊路徑：利用未及時安裝補(bǔ)丁的服務(wù)器缺陷，包括PrintNightmare和EternalBlue等在內(nèi)的已知安全漏洞。
• 攻擊影響：獲取非法訪問權(quán)限，竊取關(guān)鍵數(shù)據(jù)資產(chǎn)。
• 防護(hù)建議：全面梳理網(wǎng)絡(luò)資產(chǎn)，禁用不必要的服務(wù)器，開展攻擊面管理。

實例三：某全球性金融機(jī)構(gòu)

一家全球性金融機(jī)構(gòu)在日常性開展面向客戶的語音呼叫服務(wù)時，發(fā)現(xiàn)其員工服務(wù)賬戶、SMB端口、SSH密鑰和IAM角色被非法攻擊者利用的復(fù)雜攻擊。

• 攻擊路徑：涉及服務(wù)賬戶、SMB端口、SSH密鑰和IAM角色等復(fù)雜路徑。
• 攻擊影響：危及關(guān)鍵數(shù)據(jù)資產(chǎn)安全，可能釀成災(zāi)難性數(shù)據(jù)泄露事件。
• 防護(hù)建議：刪除SSH私鑰，重置IAM角色權(quán)限，并刪除不安全的用戶賬戶。

實例四：某公共交通運輸服務(wù)公司

一家公共交通運輸公司在其遠(yuǎn)程會議系統(tǒng)中，發(fā)現(xiàn)了一條從DMZ服務(wù)器到域均被非法攻擊者控制的直接攻擊路徑，這最終導(dǎo)致了和該會議系統(tǒng)相關(guān)的整個域被攻陷。

• 攻擊路徑：從DMZ服務(wù)器到域被攻陷的直接路徑。
• 攻擊影響：域控制器被攻陷，整個域都被攻擊者控制。
• 防護(hù)建議：限制管理員用戶的權(quán)限，刪除可疑的用戶賬戶。

實例五：某大型醫(yī)療衛(wèi)生機(jī)構(gòu)

一家醫(yī)院的客戶服務(wù)中心呼叫系統(tǒng)中，因Active Directory配置錯誤導(dǎo)致了安全漏洞產(chǎn)生并被攻擊者所利用。這種錯誤配置允許任何經(jīng)過身份驗證的用戶輕易重置密碼，這就為攻擊者提供了一條更便捷的攻擊路徑。

• 攻擊路徑：利用Active Directory配置錯誤重置密碼，非法獲取合法用戶的賬戶訪問權(quán)限。
• 攻擊影響：合法賬戶的非法接管，業(yè)務(wù)數(shù)據(jù)泄露。
• 防護(hù)建議：Active Directory安全加固，部署更安全的多因素認(rèn)證機(jī)制。

實例六：某大型航運物流公司

一家大型航運物流公司，已經(jīng)實施了相對充分的安全措施，并制定了安全防護(hù)要求。然而在一次風(fēng)險排查活動中，安全團(tuán)隊仍然在其客服系統(tǒng)中，發(fā)現(xiàn)了一條復(fù)雜的攻擊路徑，從服務(wù)人員的工作站到Azure云上系統(tǒng)，多個員工賬戶被非法獲取，攻擊者可以利用該路徑進(jìn)入到整個企業(yè)的網(wǎng)絡(luò)環(huán)境中。

• 攻擊路徑：從工作站系統(tǒng)到Azure的復(fù)雜攻擊路徑。
• 攻擊影響：可能危及整個企業(yè)環(huán)境。
• 防護(hù)建議：定期調(diào)整用戶角色，增強(qiáng)對訪問活動的監(jiān)控，提升網(wǎng)絡(luò)可見性。

參考鏈接：

https://thehackernews.com/2023/10/unraveling-real-life-attack-paths-key.html。