首页
下载应用
提交文章
关于我们
🔥 热搜 🔥
1
1
2
1'"
3
1'
4
@亘古
5
鱿鱼游戏
6
朱令
7
抖音
8
kN
9
张靓颖
10
朱令去世一周年,清华学子控诉清华在朱令案中的冷血和无耻
分类
社会
娱乐
国际
人权
科技
经济
其它
首页
下载应用
提交文章
关于我们
🔥
热搜
🔥
1
1
2
1'"
3
1'
4
@亘古
5
鱿鱼游戏
6
朱令
7
抖音
8
kN
9
张靓颖
10
朱令去世一周年,清华学子控诉清华在朱令案中的冷血和无耻
分类
社会
娱乐
国际
人权
科技
经济
其它
《鱿鱼游戏2》今天下午四点开播,网友无心上班了,导演悄悄剧透
话费充值活动来了:95元充值100元电话费!
跟着南通住建局学“朝令夕改”
宾曰语云被法学教授投诉:严重侵权,“违法犯罪”!
穿了跟没穿一样,胸型赞到爆!天然乳胶,性感到让男人腿软!
生成图片,分享到微信朋友圈
查看原文
其他
【调查】大型云服务提供商比企业自身更安全
nana
数世咨询
2021-05-22
渗透测试结果表明,大多数公司企业对网络攻击者几乎不设防。
近期一项调查研究显示,相比大型企业,主流云服务提供商遭受数据泄露的概率要小上一半左右(46%)。
渗透测试在客户网络上模拟黑客攻击。安全评估供应商Coalfire最近分析了约800场渗透测试的数据。结果表明,云服务提供商(至少是大型提供商)近年来在安全方面改善良多,比大型公司企业更能抵御数据泄露。
Coalfire的调查研究中,相比具备同等规模本地IT基础设施的企业,云提供商的高风险漏洞数量明显要少得多。归属大型云提供商的基础设施上出现的漏洞里,只有19%属于高风险类别,而大型企业网络基础设施的漏洞中有35%落入高风险类别。与之类似,在中型云提供商的平台上发现的漏洞中,25%是高风险的,而中型企业网络上发现的漏洞里有39%是高风险级别。
云环境中确实存在漏洞的情形下,大量(27%)漏洞源自不安全的配置。另一长期存在的漏洞类型是跨站脚本,占据云提供商基础设施漏洞总量的27%。
Coalfire副总裁Mike Weber称:“云提供商不断完善自身安全计划,测试中出现的关键漏洞数量越来越少了。但是,相同类型的问题年复一年地出现在云提供商身上,这让我们怀疑是否需要从根本上改变我们的安全过程或技术。”
Coalfire的研究还表明,大多数公司企业更擅长应对外部攻击者,而对已经深入企业网络内部的攻击者束手无策。总的说来,Coalfire研究人员在渗透测试中发现的漏洞里,仅1/6能让外部攻击者立即染指网络。相比之下,Coalfire在内部渗透测试中发现的漏洞里,有50%都属于重大问题,可导致网络立即陷落。另有37%为已经在网络中的攻击者提供了破坏整个企业网络环境的“良机”。
Weber称:“企业改善网络安全的重中之重就是强化内部网络。禁用链路本地多播名称解析(LLMNR)和NetBIOS名称服务(NBT-NS),以及在整个企业范围内全面启用服务器消息块(SMB)签名,能够有效缓解攻击者获取企业内部环境访问权的影响。
Coalfire发现的企业重大网络漏洞还包括不安全协议、密码缺陷、修复问题和过时软件。应用程序漏洞问题仍然令人担忧,但情况相比前些年已经好了很多。Coalfire今年执行应用程序渗透测试发现的漏洞中,仅16%是高风险漏洞,而去年高风险漏洞占所发现漏洞的36%。安全供应商将高风险漏洞比例下降归功于安全开发实践和安全测试的“左移”(即在开发周期的早期阶段捕获安全漏洞)。
类似发现
Coalfire得出结论,认为大多数企业针对已存在于自身网络上的攻击者相对防护不足。此结论与Positive Technologies最近得出的论断相似。在内部渗透测试中,Positive Technologies的研究人员模拟了可能由恶意内部人员或具普通员工权限的人员实施的攻击。在61%的公司企业中,研究人员能够轻松入手域管理员登录凭证。30%的公司企业竟然连2017年的漏洞都没修复。
渗透测试人员打通攻击通道的操作中,47%都是安全管理员可能不会注意的合法行为,因为这些行为与常规用户行为无异。
Positive Technologies信息安全分析研究小组负责人Ekaterina Kilyusheva说:“这些行为包括在网络节点上创建新的特权帐户、创建lsass.exe进程内存转储、转储注册表分支,或者向域控制器发送请求。由于这些动作很难与用户或管理员的正常活动区分开,因此攻击可能不会引起注意。”
Kilyusheva称,Positive Technologies对企业信息系统的测试,暴露出企业对内部攻击者缺乏防范。去年的内部渗透测试中,该公司安全研究人员能够获取所有受测公司基础设施的完整控制权。最常检出的漏洞是配置缺陷,比如对操作系统内存凭证恢复防护不足,或者缺乏访问控制,以及密码策略漏洞。“几乎每个项目我们都能暴力破解出用户密码,甚至是特权用户的密码。”
由于新冠疫情,过去半年间大量人员突然转向远程工作的情况,也加剧了其中一些问题。Lares LLC的对抗式协作工程师Anton Ovrutsky称,以分离隧道配置扩展边界,以及将家庭网络归入企业网络的做法,都属于此类问题。另一个问题是云应用的加速铺开。例如,你怎么知道外部用户加入了你团队内部的聊天会话?
Positive Technologies企业信息系统渗透测试结果分析报告(点击阅读原文,查看报告):
https://www.ptsecurity.com/upload/corporate/ww-en/analytics/internal-pentests-2020-eng.pdf
关键词:渗透测试;安全风险;
您可能也对以下帖子感兴趣
{{{title}}}
文章有问题?点此查看未经处理的缓存