零日漏洞抢修是可以避免的：攻击面缩减指南

您无法控制下一个关键漏洞何时出现，但您可以控制漏洞出现时有多少环境暴露在外。问题是大多数团队拥有的面向互联网的暴露比他们意识到的要多。Intruder公司安全主管深入分析了为什么会发生这种情况，以及团队如何有意识地管理这种情况。

攻击面越大且越不受控制，被利用的机会就越多。而采取行动的时间窗口正在快速缩小。对于最严重的漏洞，从披露到被利用可能只有24到48小时。零日时钟项目预测，到2028年，利用时间将只有几分钟。

当您考虑到在部署补丁之前必须发生的事情时，这个时间并不多：运行扫描、等待结果、提交工单、确定优先级、实施和验证修复。如果披露发生在非工作时间，需要的时间会更长。

在许多情况下，易受攻击的系统根本不需要面向互联网。通过对攻击面的可见性，团队可以预先减少不必要的暴露，并在新漏洞出现时完全避免抢修。

ToolShell是Microsoft SharePoint中的一个未经身份验证的远程代码执行漏洞。如果攻击者能够接触到它，他们就可以在您的服务器上运行代码——由于SharePoint连接到Active Directory，他们将从您环境中高度敏感的部分开始攻击。

这是一个零日漏洞，意味着攻击者在补丁可用之前就在利用它。微软在周六披露并确认中国国家支持的组织在此之前已经利用它长达两周。当大多数团队知道这个漏洞时，机会主义攻击者正在扫描暴露的实例并大规模利用。

Intruder的研究发现，在披露时有数千个公开可访问的SharePoint实例——尽管SharePoint不需要面向互联网。每一个这样的暴露都是不必要的——每一个未打补丁的服务器都是一扇敞开的大门。

为什么安全团队经常错过这些暴露

在典型的外部扫描中，信息性发现位于数百个严重、高、中、低级别发现之下。但这些信息可能包括代表真实暴露风险的检测，例如：

暴露的SharePoint服务器

暴露到互联网的数据库，如MySQL或Postgres

其他协议，通常应保留给内部网络，如RDP和SNMP

以下是一个真实的例子：

在漏洞扫描术语中，将这些归类为信息性有时是有道理的。如果扫描器与目标位于同一私有子网中，暴露的服务可能真正是低风险的。但当同一服务暴露到互联网时，即使没有已知的漏洞，它也承载着真实的风险。目前还没有。

危险在于传统扫描报告以相同方式处理这两种情况，因此真正的风险会从缝隙中溜走。

让攻击面缩减在实践中发挥作用有三个关键要素

可见性

在您可以缩减攻击面之前，您需要清楚地了解您拥有什么以及什么是外部可达的。这首先要识别影子IT——您的组织拥有或运营但目前没有扫描或监控的系统。

缩小这一差距很重要，我们建议具备三个关键要素：

与您的云和DNS提供商集成，这样当创建新基础设施时，会自动拾取和扫描。这是防御者具有真正优势的一个领域：您可以直接与自己的环境集成，攻击者不能。

使用子域枚举来发现不在您库存中的外部可达主机。这在收购后特别重要，您可能继承了尚未获得可见性的基础设施。

识别托管在较小、未知云提供商的基础设施。您可能有安全政策要求开发团队只使用您的主要云提供商，但您需要检查这种做法是否得到遵循。

治理

下一步是将攻击面暴露作为一个独立的风险类别来对待。

这需要一种检测能力，能够识别哪些信息性发现代表暴露并分配适当的严重性。例如，暴露的SharePoint实例可能合理地被视为中等风险问题。

这也意味着在您如何确定优先级中为这项工作开辟空间。如果像攻击面缩减这样的战略努力总是与紧急补丁竞争，它们总是会失败。这可能意味着每季度留出时间来审查和减少暴露，或分配明确的所有权，这样有人对此负责——不仅仅是在危机来临时，而是例行公事。

监控

攻击面缩减不是一次性练习。暴露不断变化——防火墙规则被编辑，新服务被部署，子域被遗忘——您的团队需要快速检测这些变化。

漏洞扫描需要时间完成，每天运行完整扫描通常是不可能的。每日端口扫描更适合。它轻量、快速，意味着您可以在新暴露的服务出现时检测到它们。如果有人编辑防火墙规则并意外暴露远程桌面，您会在事情发生的当天发现——而不是在下一次预定扫描时，这可能是一个月后。

当不必要的服务一开始就没有暴露时，它们在关键披露后的大规模利用中被卷入的可能性要小得多。这意味着更少的意外、更少的紧急抢修，以及在新漏洞出现时更多的时间来有意识地响应。

Intruder自动化了这个过程——从发现影子IT和监控新暴露，到在事情发生变化的那一刻警告您的团队——这样您的安全团队可以领先于暴露而不是对其做出反应。

如果您想查看您环境中暴露的内容，请预约Intruder演示。

Q&A

Q1：什么是攻击面缩减？为什么它很重要？

A：攻击面缩减是指减少组织面向互联网的暴露系统和服务的过程。它很重要是因为攻击面越大，被攻击者利用的机会就越多，特别是在零日漏洞出现时，团队只有24-48小时的反应时间。

Q2：如何识别和管理影子IT？

A：识别影子IT需要三个关键要素：与云和DNS提供商集成自动发现新基础设施；使用子域枚举发现不在库存中的外部可达主机；识别托管在小型未知云提供商的基础设施。这样可以确保所有系统都在监控范围内。

Q3：为什么每日端口扫描比完整漏洞扫描更适合监控暴露变化？

A：因为每日端口扫描轻量、快速，可以及时检测新暴露的服务。而完整漏洞扫描耗时较长，通常无法每天执行，这意味着如果防火墙规则被意外修改导致服务暴露，可能要等到下次预定扫描（可能一个月后）才能发现。