威脅您組織的最新網絡攻擊很可能來自公司網絡外部。根據 Mandiant 的M-Trends 2023 報告，63% 的違規行為來自外部實體，較前一年的 47% 大幅上升。

當談到入侵者如何進入網絡時，這取決于組織的位置。Mandiant 首席執行官 Kevin Mandia 在 RSA Conference 2023 上向觀眾表示，魚叉式網絡釣魚是歐洲最主要的攻擊媒介，而基于憑證盜竊的攻擊是亞洲第一大攻擊類型。在美國，威脅行為者更喜歡利用漏洞以獲得對系統的訪問權限。

“目前，大約 32% 的情況下，零號受害者，當我們知道零號受害者時，這是一個漏洞。不一定是零日，而是一天、兩天，”曼迪亞說。這是一個世界性的觀點。僅在美國，這一比例就占已檢測事件的 38%。

零日攻擊

Mandiant 的研究顯示，雖然零日漏洞的數量從 2021 年的高位 81 個下降到 2022 年的 55 個，但仍比 2020 年的數量增加了近一倍。網絡犯罪團伙和民族國家行為者越來越多地使用零日漏洞，我們才剛剛開始看到其損害的嚴重性和廣泛影響。

例如，2023 年 5 月，俄羅斯勒索軟件團伙被指控通過名為MOVEit Transfer的托管文件傳輸軟件中的缺陷發起零日攻擊。正如零日漏洞的典型特征一樣，它不是一個目標或受影響的公司，而是攻擊可以影響使用該軟件的任何組織。在這個特殊案例中，由于 SQL 注入問題，勒索軟件的傳播可能已經襲擊了數百個組織，包括聯邦政府機構、大學、銀行和主要醫療網絡。事實上，根據Security Boulevard 的說法，網絡安全和基礎設施安全局 (CISA) 和聯邦調查局“都希望看到這項服務被大規模利用” 。

5 月份發現的另一起零日攻擊利用了 Microsoft Exchange 中的漏洞。據信，這次襲擊是由中國間諜組織實施的。據《安全周刊》報道，這種特殊的攻擊通過電子郵件活動傳播，“數百個組織的電子郵件安全設備受到攻擊”。這與 Mandiant 的另一項發現相吻合——最常被利用的供應商是科技界的三巨頭（微軟、谷歌和蘋果），而中國是零日漏洞利用的新興參與者。

修補零日漏洞

運營 MOVEit 軟件的 Progress Software發布了兩個補丁來修復這些漏洞。但這可能還沒有結束修補的需要。威脅行為者繼續尋找并利用軟件中的漏洞。

這引出了 Mandia 在 RSA 主題演講中提出的一個觀點：你必須修補你能修補的東西，但也要意識到并非所有東西都能修補。（MOVEit 漏洞是否滿足后一個問題還有待觀察。）

總體而言，補丁管理需要成為組織的首要任務。正如 Mandia 對 RSA 觀眾所說，如果您的組織沒有識別并修補過去一年中發現的零日漏洞，“其他人會為您找到它?！?nbsp;而其他人很可能是網絡犯罪集團。

補丁管理失敗

補丁管理長期以來一直是組織面臨的一個問題。原因之一是補丁數量巨大。2021年，修復漏洞超過2萬個。僅此一點就使得跟上步伐變得越來越困難。

即使掌握所有補丁很容易，用戶也往往會忽略它們，認為在補丁發布后幾天（或幾周）內更新軟件沒什么大不了的。太多用戶根本沒有意識到不良補丁管理實踐所涉及的風險。更糟糕的是，這是一個在安全意識培訓中經常被忽視或很少關注的領域。盡管國土安全部建議在發布后 15 天內應用關鍵補丁，但情況仍然如此。

這導致了補丁管理中的另一個困境：什么才是真正關鍵的？許多安全團隊在向整個組織推送補丁之前都有自己的程序。有時補丁發布得太快，以至于存在錯誤或無效，從而造成更大的危害。IT 團隊希望首先在內部測試補丁，這可能會取代關鍵補丁警告。還有適當的程序來跟蹤補丁部署并確保沒有遺漏任何設備或系統。

緊跟零日趨勢

為了掌握補丁管理的最新情況，IT 和安全團隊還需要隨時掌握現有的零日漏洞。CISA 提供了已知被利用漏洞的文檔，其中包含潛在威脅的描述以及解決該漏洞所需采取的措施。

但這只是一個開始。由于零日仍然是一種流行的攻擊媒介以及勒索軟件和其他邪惡民族國家活動的門戶，組織需要重新考慮其補丁管理流程。這可以包括重組部署以逐步應用補丁并監控問題，以及圍繞補丁重要性進行更有條理的意識培訓。提高對整個組織使用的設備的可見性也將有助于確保不會遺漏任何內容——這對于擁有遠程工作人員的組織來說至關重要。

像 MOVEit 上的零日攻擊這樣的零日攻擊不僅會對一個組織造成嚴重破壞，還會對許多組織造成嚴重破壞。由于正在開發的產品如此之多，似乎可能存在無數的漏洞，并且及時為所有這些漏洞提供補丁可能是不可能的。但當補丁可用時，請盡快部署。公司必須將補丁管理作為更高的優先級，因為零日攻擊不會很快消失。