了解潛在攻擊路徑中發現的元件類型及一般元件特徵。
潛在的攻擊路徑包含:
-
入口點資產的風險檢測顯示該資產易受攻擊
-
入口點資產通常可以從網路訪問或顯示潛在被攻擊的跡象。
-
-
潛在的橫向移動路徑,可能使攻擊者通過資產關係訪問關鍵資產
-
關係是通過分析以下內容來確定的:
-
網路活動
-
用戶活動
-
管理操作
-
權限
-
雲端資產流量
-
-
-
高價值關鍵資產,成為攻擊者理想的攻擊目標
 |
注意在某些情況下,資產可能作為攻擊路徑的進入點和目標點,因此不需要橫向移動路徑。
|
以下表格提供了可能在潛在攻擊路徑中顯示的常見攻擊路徑組件特徵的示例和描述。
常見進入點資產風險和弱點
|
範例
|
說明
|
|
開啟與檢測到的安全威脅來源的會話
|
該資產已與潛在的安全威脅來源開啟了一個合法的會話。
|
|
網路暴露
|
該資產可以從網路訪問。
|
|
偵測到的安全威脅
|
在資產上檢測到惡意程式、木馬、惡意流量或後門
|
|
可疑活動/行為
|
該資產顯示出異常行為或活動,可能表明已遭受入侵
|
|
洩露的憑證
|
身份相關資產的憑證已洩露或以其他方式遭到破壞
|
|
由偵測到的安全威脅來源管理
|
該資產由潛在的安全威脅來源管理,並且可以授予權限。
|
|
檢測到高影響弱點
|
在資產上檢測到高影響弱點。
|
|
檢測到的錯誤配置
|
該資產包含高度可利用的錯誤配置。
|
|
弱驗證
|
該資產使用的驗證方法較弱,可能會被利用。
|
|
過多的權限
|
該資產被授予了超出所需的許可權,並且可以訪問網絡的大部分區域。
|
促進潛在橫向移動的常見資產關係
|
範例
|
說明
|
|
連接
|
該資產與其他資產有網路活動。
|
|
路由流量至
|
源資產可以將流量路由到次要資產。
|
|
執行
|
該資產運行一個次要資產。
|
|
包含
|
該資產包含次要資產。
|
|
用途
|
資產與次要資產執行活動。
|
|
管理
|
該資產對一個或多個資產具有管理權限。
|
|
有權限
|
該資產有權訪問一個或一組資源。
|
|
管理員至
|
該資產對一個或多個資產具有直接管理許可權。
|
|
可以驗證為
|
資產可以對特定身份進行身份驗證並使用該身份的權限。
|
|
控制
|
資產指示或協調其他資產的行動。
|
|
成員
|
該資產是另一資產的成員。
|
常見目標點特徵
|
範例
|
說明
|
|
關鍵設備或雲端基礎設施
|
對業務運營非常嚴重且對其他資產功能至關重要的設備或雲端資源
|
|
重要用戶
|
具有高組織等級或功能的使用者帳號
|
|
高權限帳戶
|
授予高權限以管理或控制多個資產的使用者帳號
|
|
高權限服務帳戶、IAM 帳戶或金鑰
|
應用程式或雲端資源使用的高權限非人類身份
|
|
具有敏感資料的資產
|
包含關鍵資料(如密鑰或金融業資訊)的與存儲相關的資產
|