网络基础设施安全防护
关键要点
网络攻击者正越来越频繁地针对网络基础设施进行攻击,已不再只是针对端点设备。近年来,CISA发布了针对网络基础设施多种工具的漏洞警告。网络基建攻击主要有远程代码执行RCE和拒绝服务DoS两种常见方式。安全团队需要调整防御策略,引入网络检测与响应NDR工具以应对日益严重的网络攻击。近年来,网络攻击者不再专注于传统的端点设备如服务器、数据库、工作站和笔记本电脑的攻击,而是把目光投向了网络基础设施。交换机、路由器、防火墙、虚拟私人网络VPN设备、域名服务器DNS等原本认为安全的组件,现在已经成为新的战场,越来越多的漏洞被发现、披露和利用。
在过去几个月中,CISA针对多款网络工具发布了关于处理网络漏洞的警告,包括Juniper Networks JWeb、Citrix的NetScaler ADC和NetScaler Gateway、Cisco的Firepower Threat Defense和Adaptive Security Appliance软件以及Ivanti的Connect Secure和Policy Secure网关。
不久前,The Register报道了中国政府组织Volt Typhoon 针对美国某大城市紧急网络的入侵,部分原因就是利用了这些网络漏洞。其他近期的网络基础设施高调攻击事件包括对Barracuda Email Secure Gateway和Viasat调制解调器的攻击。
常见的网络基础设施攻击方式
网络犯罪分子主要通过两种方式针对网络基础设施工具:
远程代码执行RCE: RCE允许攻击者在设备上执行任意代码,从而完全控制设备,可以用来安装恶意软件和后门,实现持续访问,窃取设备上的敏感日志数据,干扰或禁用网络功能,并利用被攻陷的设备作为攻击其他系统的跳板。例如,黑客可以利用Web接口、命令行接口和固件中的漏洞进行RCE。
蚂蚁NPV加速器拒绝服务DoS: DoS通过大量流量或资源密集型任务使设备瘫痪,从而使合法用户无法使用。这会导致操作中断和经济损失。DoS攻击的示例包括用网络数据包淹没设备,利用资源密集型功能,或通过漏洞触发自拒绝服务机制。
除了这两种常见攻击方式外,网络基础设施攻击中还涉及一些其他技术,包括缓冲区溢出,权限提升攻击者利用凭证进行横向移动,以及固件篡改,这些通常出现在针对工业控制系统ICS和操作技术OT的攻击中。
风险的完美风暴
除了应对日益增长的网络漏洞与攻击外,很多组织还面临两方面的挑战。首先,由于网络基础设施组件传统上被视为安全,安全团队并不总是在寻找这些攻击点,导致其可能长时间未被发现。其次,许多组织由于过于依赖端点检测与响应EDR系统,而未能有效检测针对网络基础设施漏洞的攻击。
在这一点上,传统的EDR产品在防御端点攻击上表现优异,但对日益增长的网络攻击却显得无能为力。这是因为安全团队
