《GoUpSec:2023年Q2外部攻擊面分析報告-985大學篇(14頁).pdf》由會員分享,可在線閱讀,更多相關《GoUpSec:2023年Q2外部攻擊面分析報告-985大學篇(14頁).pdf(14頁珍藏版)》請在三個皮匠報告上搜索。
1、隨著高等教育行業云計算的普及和數字化的深入,高校網絡的終端、應用、數據和身份與訪問都呈幾何級數增長,高校數據安全管理能力差距不斷擴大,導致高校數字資產暴露和數量遠高于其他行業,同時也是網絡欺詐、勒索軟件和惡意軟件的重災區。近年來針對我國高校的網絡攻擊呈現規?;?、復雜化、持久化趨勢,對我國高校的科研機密、知識產權、師生個人隱私和財產安全、學術誠信、甚至意識形態構成嚴重威脅。根據CybelAngel最新發布的報告,防火墻之外的資產暴露已經成為各行業網絡安全威脅的最大來源,對于網絡安全態勢復雜、安全意識薄弱、防御資源和能力有限的高等教育行業,“水來土掩”的被動網絡安全思維迫切需要改變。高校外部暴露面
2、和攻擊面管理的重要性與日俱增,外部資產風險已經上升為主要安全威脅。在當今的安全環境中,被動的安全措施已不再足夠,高校安全團隊必須全面了解外部攻擊面,包括已知資產、影子資產、合作伙伴、供應商、供應商資產等,積極主動和全面地尋找風險的早期指標。在數字化轉型進入廣闊的深水區,被動安全體系捉襟見肘的今天,覆蓋外部攻擊面的數字風險保護正在扮演越來越重要的角色,同時也是威脅情報計劃的重要組成部分。高校網絡安全負責人應遵循威脅情報生命周期方法,明確情報需求,基于定制的威脅情報和外部攻擊面分析的持續反饋機制來推動高校數字風險管理水平和安全態勢的提升。2023年,高等教育行業提高數據安全管理上限的最佳辦法之一就
3、是“打開攻擊者視角”,將面向公眾的暴露資產/泛攻擊面納入攻擊面管理和數字風險保護。為了幫助廣大行業用戶“打開攻擊者視角”,提升暴露資產能見度和數字風險保護能力,零零信安聯合GoUpSec調研并發布“暴露面和泛攻擊面分析系列行業報告”,以“純黑盒、零輸入”的方式展現不同行業或地區的暴露面和泛攻擊面。本期報告將聚焦網絡攻擊的重點目標高等教育行業。伴隨2023高校安全演練的開展以及臨近高考季的到來,本報告選取各地區(北京、上海、華東、華中、東北、華南、西北、華北、西南)985學校中的9所百年老校所作為觀察和分析對象;分析時間節點為2023年4月23日;所有數據均采集自互聯網公開數據且僅以總部數據為主
4、,僅進行數據分析未嘗試任何攻擊手段?!胺簲底仲Y產暴露面”本身并不是風險,但它的數量與風險數量往往成正比,企業的互聯網暴露面同時也是攻擊者關注的外部攻擊面。要達到同等安全水平,暴露的泛數字資產越多,投入的防御成本越高。1.概述本期報告說明:重點提示:針對選取的研究對象US世界排名(由于US比QS更關注學術排名,故此采用US排名)和外部暴露的泛數字資產進行橫向對比如下:不同US評級和不同學科偏向以及不同教學理念的大學,其暴露的泛數字資產數量也會有所不同,理論上US評級越高、學科越綜合、教學理念開放性越強的大學,泛數字資產暴露數量越多,以下是樣例數據分析對比:1.排名越靠前的大學,文檔和代碼在互聯網
5、上暴露的數量越多,這可能是因為學生和學術研究人員的代碼、論文、刊物等曝光度高的原因所導致;2.因為上述原因,如果除去文檔和代碼,以信息系統、移動端應用和郵箱暴露來分析,泛數字資產暴露數量與US排名無法形成關聯分布,即:大學泛資產暴露面與其學術水平與教學質量無關;3.大學泛資產暴露的數量遠高于分析員預期的數量,也比其他行業整體暴露數量多,這可能意味著大學信息安全管理難度整體較大,信息安全建設有待整體性的策略優化和加強。泛數字資產包含的內容有信息系統、域名、云端應用、影子資產、APP、公眾號、小程序、暴露在互聯網的文檔和代碼、郵箱暴露、API、供應鏈信息、M&A信息、暗網情報、企業VIP信息、SG
6、K數據等等。暴露在互聯網的組織的泛數字資產未必一定有漏洞和風險,但它們的暴露即提供給攻擊者一個攻擊入口或可能性。成熟的攻擊者或政治/商業黑客組織會通過但不限于信息系統的漏洞進行攻擊,他們更多的可能會采取綜合攻擊手段。例如使用郵箱進行釣魚,尋找和攻擊影子資產,在組織暴露的文檔和代碼中查找配置文件、密碼、通訊錄、網絡拓撲圖等,觀察:如上所示可以分析出使用SGK的數據登陸企業OA和VPN,對供應鏈發起攻擊,對M&A或企業VIP發起攻擊等手段。暴露在互聯網上的泛數字資產越多,消耗的防御資源越多,單一故障點越多。所以對組織在互聯網上的泛數字資產暴露面進行監測和收斂,無疑是主動防御、減少外部攻擊面最高效和
7、最立竿見影的手段之一。2.信息系統針對選取的研究對象暴露的信息系統進行橫向對比如下:信息系統是指可以通過網絡空間測繪技術獲取到,并通過一系列關聯和識別映射到本組織的應用系統、網站、IP和開放服務等,為了減少信息系統暴露面和影子資產的數量,應盡量在保證業務正常運行的情況下減少組織開放在互聯網上的信息系統。CDN是指在互聯網可訪問的信息系統中,哪些使用了CDN技術。一般來說,只有使用了CDN技術的系統可以使用云防御技術(包括云WAF、云抗D、隱藏源站等),所以通常來說CDN使用率越高防御效果越好。域名是指本組織在ICP備案的主域名和其下的子域名。為了降低管理成本和被搶注和被攻擊者利用,應在滿足正常
8、業務的情況下減少域名備案和使用數量。登錄頁是指在信息系統中,具備登陸、管理和深度交互的頁面,該類頁面通常是攻擊者在實施對信息系統攻擊時的第一目標,應在滿足正常業務的情況下減少該類頁面,對必須開放的務必深度關注其安全性。最多組件是指本組織開放的信息系統中,利用率最高的組件及其數量,應時刻關注本組織使用的各類IT組件、開源組件、應用系統組件等,尤其是在其出現可利用漏洞時應及時查找影響范圍,并進行升級或其他防御措施,避免IT組件的漏洞被攻擊者利用。1.信息系統總體暴露數量較多,且其與大學排名無關,從學校屬性來看,與學校的學科和學生數量關系也并不大;2.從抽樣學校來看,西北和西南的大學暴露的信息系統排
9、名最靠前,達到東北、上海、華南等學校的10倍以上,其安全維護成本和難度也會相對較高,安全性需要關注;3.CDN 和 云 防 護 的 使 用 率 良 莠 不 齊,西 北 和 西 南 的 大 學 CDN 使 用 率 達 到 80%以上,使用CDN的系統建議開啟云防御,以有效降低安全維護成本和減少源站被攻擊的可能性,上海、華中、東北的大學CDN使用率較低;4.北京和華東的大學登陸頁較多,高互動的頁面,例如登錄頁、管理頁等,容易被攻擊者列為優先攻擊目標;觀察:如上所示可以分析出5.各大學使用的域名都較多,尤其是東北的大學,域名數量已經高于信息系統的數量,出于域名保護為目的的域名可以保留,但不使用的一級
10、和二級域名建議注銷或不再解析。3.移動端應用針對選取的研究對象暴露的移動端應用(APP、公眾號、小程序)進行橫向對比如下:移動端應用是近幾年來攻擊者進行攻擊的重點目標之一,國內的移動端應用包含安卓和IOS平臺的APP(APK)、微信和支付寶平臺的小程序、微信公眾號(服務號、訂閱號、企業號)等。APP中,IOS平臺的安全性較高,安卓(APK)平臺的安全性較低。APP面臨的問題主要包含驗證、越權、注入、邏輯漏洞等,此外在安卓平臺上還可能會出現脫殼和由于在不同分發平臺上維護而導致的低版本未下架引發的安全風險等。微信和支付寶平臺的小程序中,可能存在越權、邏輯漏洞等。由于小程序在開發成本、運維便捷性、兼
11、容性等方面的獨特優勢,導致組織內可能有諸多部門在維護自研小程序,其容易成為安全監控的死角。微信公眾號主要分為弱交互和強交互兩種。在弱交互的公眾號中容易產生的風險是攻擊者可能利用公眾號運維人員進行釣魚攻擊。在強交互的公眾號中,攻擊者除了利用釣魚攻擊以外,還能利用公眾號的交互功能進行越權和邏輯漏洞等攻擊。1.可能由于學校的APP由外包廠商或私人開發為主,在APP的暴露檢測中,發現學校APP的使用量非常少(也可能實際上也是非常少);2.學校大量使用公眾號和小程序,尤其是公眾號,部分學校的公眾號和小程序達到上百個之多;3.公眾號開發和運營成本極低,這也導致其有可能會成為無人運營的數字資產,如果不使用,
12、建議注銷;4.從上圖看到,學校中移動應用的數量與學校排名、體量、學科和教學模式等沒有直接關聯,可能和學校IT管理制度有關;5.為了減少出現無人運營和影子資產的公眾號和小程序,建議應盡量在保證業務正常的情況下收斂其數量,控制申請數量。4.郵箱安全觀察:如上所示可以分析出針對選取的不同研究對象暴露的內部員工的郵箱地址,以及地址是否在其他數據泄露事件中有隱私數據泄露的情況進行橫向對比如下:郵箱是當前攻擊者針對組織進行外圍突破最主要的攻擊手段之一,也是社會工程學領域最成熟的技術之一。原因主要有三個:其一是郵箱是企業中最廣泛的應用,上至企業高層領導,下至基層業務員工,都會廣泛使用郵箱進行工作事務處理;其
13、二是郵箱使用者眾多,安全意識參差不齊,即使對郵箱的攻擊成功率是小概率事件,也能取得良好的效果;其三是通過郵箱可以直接獲取到一定價值的企業數據,并可以以其作為跳板攻擊到企業內網環境中。組織中應盡量減少郵箱地址的暴露,除了必要的公共郵箱地址,例如:客服郵箱、招聘郵箱、業務聯絡郵箱之外,員工郵箱地址應全部避免暴露在互聯網上,而必須暴露在互聯網上的郵箱地址也應保證應是公共郵箱地址,并由安全部門人員檢查和持續重點監控其安全性,對于公共郵箱的操作者應該進行必要的安全使用教育。企業郵箱中可能有一部分存在郵箱使用者的個人隱私泄露,這很有可能是企業員工使用企業郵箱在社交、購物、社區、娛樂等平臺上進行了注冊,后因
14、注冊平臺出現了客戶數據泄露而導致的。這類泄露極有可能包含郵箱地址、個人姓名、手機號、身份證號、密碼、家庭住址等諸多個人隱私數據的泄露。該類數據往往會被商業黑客組織進行聚合后形成攻擊數據庫“SKG”,攻擊者在利用SGK進行查詢后有可能可以直接獲得企業員工的VPN、OA系統、CRM系統、郵箱等密碼,進行直接攻擊,或者利用獲取的數據進行社會工程學攻擊。1.所有調查的大學郵箱地址暴露數量均非常龐大,78%以上的抽樣對象數量達到1000個以上,中位數達2000-3000,最多高達7000+,這意味著對大學內部員工和大學生進行釣魚攻擊時,極有可能獲得成功;2.在抽樣的學校中,華中、華北的大學暴露的郵箱地址
15、中,包含密碼等敏感信息泄露的比例最高,達到30%-50%;3.郵箱暴露數量和郵箱密碼泄露數量是分析員意料之外的,可能是因為學校為在校生都配置了本校域的郵箱地址所導致。建議取消這樣的配置,因為攻擊者如果對學生郵箱攻擊成功后,可使用學生的郵箱發送詐騙、違規郵件,這可能給學校帶來名譽損失和法律風險;4.另外,學生畢業后應立即收回其學校郵箱,謹防通過畢業后的學生利用學校郵箱,或者攻擊者通過獲取畢業后的學生郵箱,發送詐騙、違規郵件;5.在抽樣調查中,華南、西南和東北的大學郵箱安全工作比較好,無論是郵箱地址泄露數量還是密碼等隱私泄露數量都較少,但以上僅在大學范圍進行比較,實際比觀察:如上所示可以分析出企業
16、的數據尚存在一定差距;6.同一行業中,郵箱地址的暴露更多反映的是本單位IT制度和安全制度的完善程度,因為必要的互聯網郵箱地址暴露應該使用指定的統一公共郵箱,而非員工郵箱;7.有隱私數據泄露的郵箱地址數量,反映的是本單位安全制度的完善程度和企業員工的安全意識的整體水平,因為幾乎所有存在隱私數據泄露的郵箱地址,都是源于本單位員工使用自己的企業郵箱注冊了互聯網社交、購物、社區、娛樂等平臺而導致的,所以這個數量和比例越高,往往體現在該單位的安全制度越不完善、員工的安全意識水平越低;8.學校郵箱中,尤其是學術水平卓越的學校的郵箱中可能保存著我國的科研項目和前沿學術成果,應對郵箱安全引起重視。5.代碼和文
17、檔針對選取的不同研究對象暴露在互聯網上的文檔和代碼的數量進行橫向對比。此處特別說明,統計的內容未進行風險判斷,其中既包含組織主動公開在互聯網的文檔和代碼,也包含第三方引用或針對目標編寫的文檔和代碼,或包含真實具有風險屬性的文檔和代碼:對組織中包含風險內容的文檔和代碼的尋找和識別,是當前攻擊者針對組織進行外圍突破、數據庫及災備設備攻擊、內網漫游等主要的攻擊手段之一。在代碼倉庫中可能存在組織內部開發人員因工作失誤或權限設置錯誤或安全意識不足而上傳的代碼、配置文件信息、說明文檔、網絡拓撲信息等等,也可能存在供應商或其他第三方人員編寫的本單位相關或敏感信息等。在文檔存儲空間中,可能存在本單位的通訊錄、
18、敏感資料、配置文件、網絡拓撲圖等等數據。在Github以及各種代碼倉庫,或各種網盤、文庫中,因為內部或外部人員的各種原因,都可能存儲有包含本組織的內部軟件、相關重要信息和數據。這些文檔和代碼散布在互聯網的各種角落,攻擊者往往利用自身的情報能力,將它們進行收集和整理,從中尋找關鍵軟件代碼、配置文件、各種形式的密鑰、密碼、缺省路徑等重要的攻擊資料,并利用它們配合其他技術手段進行攻擊。例如:攻擊者可能利用開發人員無意上傳到Github中的一個配置文件,尋找到某個數據庫的訪問地址和缺省的用戶名和口令等;也可能利用CSDN中某個文件中包含的Access-Key獲得某個專有云的訪問權限等。因此對暴露在互聯
19、網上的本組織的代碼和文檔應全量采集,然后進行分類,例如:屬性、文件后綴、內容類別、是否配置文件、是否包含密碼等。再根據分類進行排查,最終判斷出暴露在互聯網上的代碼和文檔中是否包含本組織的敏感和風險信息。觀察:如上所示可以分析出1.隨著學校排名和知名度的下降,文檔和代碼在互聯網的暴露整體呈下降趨勢;2.分析人員對暴露在互聯網上的文檔和代碼進行了抽樣查看,發現大部分可能為老師 或 學 生 發 布 在 開 源 社 群、代 碼 倉 庫 和 云 盤 等 處 的 樣 例 文 件 或 某 些 功 能 的 代 碼demo,不容易判斷是否為本校內部的文檔或代碼。對于文檔和代碼在互聯網的暴露,單憑借數量無法判斷其
20、風險程度,該部分內容還應結合實際暴露的內容,輔助以規則匹配、人工智能或專家研判等手段,才能準確判斷出哪些暴露內容可能包含風險,以及風險等級等。6.總結根據對不同地區和排名的大學在互聯網中泛數字資產暴露面的采集、觀察與分析,得到如下結果:1大學的整體泛數字資產在互聯網上的暴露總量來看,與大學的排名、體量、學科數量、學生數量等無關,更多還是源于學校的IT建設規則、規范和學校風格上;2信息系統、移動端應用、郵箱的暴露,與大學排名等方面無明顯關聯,而代碼和文檔的暴露與大學的排名、知名度等有關聯;3開放的信息系統方面來看,中位數在1000-2000左右,但也有學校的信息系統達到近萬,也許一些學校并不需要
21、使用這么多的信息系統,它們一方面會給安全運營帶來壓力,另一方面有可能會成為“影子資產”,應在保證業務正常運營的前提下盡量進行收斂;4大學的移動端應用中位數在50個左右,以公眾號和小程序為主,部分學校的公眾號和小程序達到數百個,如果公眾號不提供交互功能,則不會有過多安全隱患,但考慮到過多的公眾號和小程序會增加運營成本,尤其是很有可能成為無人管理的資產,建議將不再使用的公眾號和小程序注銷,以收斂數字資產的暴露面;5大學的郵箱地址暴露中位數在1000左右,密碼泄露的比例大約在1%-5%的范圍,部分大學泄露的郵箱地址達到數千個以上,密碼泄露比例達到30%-50%,這可能是由于學校向學生提供本校域郵箱的
22、原因;6一方面來說,為學生提供郵箱時需要對學生進行安全意識教育,以避免其使用郵箱發送詐騙和違規信息,而學生大量的郵箱密碼泄露也會帶來比較嚴重的個人安全隱患以及對學校管理帶來隱患,另一方面來說,在學生畢業后應盡量收回其郵箱,以避免未來不必要的影響和為安全付出的代價;7特邀分析員認為:大學暴露在互聯網上的信息資產數量過多,如果有可能,應在不影響業務的情況下進行必要的收斂,以降低安全運營的成本,同時過多的信息資產,很容易導致其成為“影子資產”,從而導致安全事件;8學校與企業不同,企業提供給員工郵箱,可以進行較強的監管和安全規范要求,而學校提供給學生郵箱,很難進行較強的監管和安全規范要求,建議進行控制
23、和收斂,或者加強對學生郵箱使用的安全意識培訓,否則像抽樣中的部分學校這樣,出現30%-50%的郵箱密碼泄露,不僅會給學生的個人隱私帶來影響,也可能會給學校帶來安全管理成本和不必要的名譽損失。北 京 零 零 信 安 科 技 有 限 公 司 成 立 于 2020 年,是 國 內 首 家 專 注 于 外 部 攻 擊 面 管 理(EASM)的網絡安全公司?;诖髷祿Ⅲw攻防、以攻促防、主動防御、力求取得立竿見影效果的理念,為客戶提供基于攻擊者視角的外部攻擊面監測產品擴展威脅情報(XTI)數據服務。零零信安以領先的產品力,被GartnerHype Cyclefor Security in China,2022 、IDC IDC Innovators:中 國 攻 擊 面 管 理(ASM)技術、賽迪中國攻擊面管理白皮書、數說安全2022年中國網絡安全十大創新方向等國內外權威機構評為“攻擊面管理(ASM)技術”代表廠商。END技術支撐單位