攻击路径分析是一种简化的方法,可以以图形化的方式显示恶意行为者可以用来导航本地和云环境的途径. 攻击者可以利用这些不同的“路径”来访问敏感信息, 意料之中的是, 利用易受攻击的配置或资源. 大企业层面的业务, 不难想象潜在攻击路径的绝对数量.
通过研究这些数据以攻击图的形式, 实时了解风险并确定受损资源之间的关系以及它们如何影响更大的网络更容易. 为此目的, 大多数安全团队似乎都能迅速找到攻击路径并负责任地修复它们. 据估计,75%的暴露是无法被攻击者利用的死胡同.
阻塞点指的是潜在攻击路径汇聚的地方, 它是获取敏感数据和资产的主要通道. 阻塞点的关键性质也使它成为识别异常活动和简化您需要调查的内容的好地方. 在这里,可以集中日志并设置基线行为,以便团队知道当它通过阻塞点时,哪些看起来正常,哪些不正常.
有许多术语不仅听起来类似于“攻击路径”,“但在定义和功能方面也有重叠. 让我们来看看这些术语之间的一些关键区别.
攻击路径是攻击者访问敏感数据或利用系统访问来利用漏洞的特定旅程的可视化表示. 攻击路径通常由图形表示,并且可以通过云安全解决方案已经从帐户和相关服务中收集和分析的数据来访问. 从那里, 解决方案应该能够与源通信, 目标, 以及每个攻击路径的严重程度.
攻击向量本质上是攻击者进入系统的切入点. 从那里,攻击者将采取攻击路径到所需的信息或资源. 恶意软件, 例如, 有三种主要的载体类型——特洛伊木马, 病毒, 蠕虫——利用典型的通信方式,如电子邮件. 其他典型的载体包括系统入口点,比如被盗用的凭据, ransomware网络钓鱼方案,以及利用云错误配置.
An 攻击表面 整个网络(本地和云)是否存在易受攻击的攻击向量集合,攻击者可以进入其中. 单个攻击向量会创造出小的开口, 但是,所有这些入口点的组合创造了一个更大的漏洞,可以将普通网络变成动态攻击面. 攻击面包含向量,攻击者可以通过这些向量创建通往敏感资产和数据的路径.
攻击路径分析的工作原理是帮助安全团队可视化跨云环境的实时风险. 为了发现潜在的有害组合(最初在网络中构建的目的是为了有用),团队开始了解其网络当前的整体健康状况. 它的当前状态是否会使组织和业务处于更高的风险之中,或者他们会发现他们实际上处于一个相对安全的地方?
作为攻击路径管理和分析如何工作的一个示例,让我们考虑 身份和访问管理(IAM). 事先不知道安全小组的情况下, 环境是否真的对帐户接管开放,使攻击者可以肆无忌惮地四处走动?
登录凭据可能被获取并利用,以获得对客户信息或知识产权的进一步访问. 如果IAM系统被破坏并且凭证被盗, 攻击者可以访问, 好吧, 一切. 让我们来看一些步骤:
为了更快地检测到这些类型的攻击者的行动,或者在他们有机会开始之前阻止他们,关键是:
攻击路径分析是对抗日益复杂的攻击者方法的重要工具. 它可以帮助安全组织理解其中的原理, 尽管某些配置和连接在某种意义上可能是有益的, 它们也可能留下漏洞等待被利用.
攻击路径分析应该成为整体云安全解决方案的一部分,该解决方案强调攻击路径映射和识别的速度. 它还提供了更好的可视性和理解如何在保持业务运行正常的同时最好地保护网络.
风险优先级是上述各方面的产物, 知道在任何给定的时间将分析人员的工作放在哪里,并主动采取行动应对新出现的威胁,这样做的好处是什么.
安全团队最大的好处是可见性, 速度, 以及由攻击路径分析确定的风险优先级, 从业者比以往任何时候都更能像攻击者那样思考. 因为一个 演员的威胁 欲望是当他们面临被发现的高风险时迅速行动, 在攻击开始之前,他们必须预先确定攻击路径中一定数量的潜在步骤.
当安全组织开始识别潜在的路径并主动考虑攻击者可能在访问敏感信息的过程中进行的横向移动时, 他们开始真正了解网络的独特性,以及如何最好地保护网络免受威胁.
安全团队——尤其是依赖于这些团队的非技术涉众——最好接受攻击路径分析的具体用例培训,以及如何识别利用它们的机会.