了解攻擊路徑預測如何在路徑被利用之前檢測攻擊路徑。

攻擊路徑預測使用安全威脅偵測、行為分析、弱點和錯誤配置掃描,以及資產關係和配置分析來預測潛在的攻擊路徑。網路風險暴露管理的核心功能和生成式 AI 幫助確定可能的進入點資產、潛在目標、攻擊者可能採取的路徑,以及修復弱點資產所需的步驟。所有攻擊路徑都需要:
  • 入口點資產的風險檢測顯示該資產易受攻擊
  • 潛在的橫向移動路徑
  • 高價值關鍵資產,成為攻擊者理想的攻擊目標
如需了解更多,請參閱攻擊路徑組件
注意
注意
在某些情況下,資產可能作為攻擊路徑的進入點和目標點,因此不需要橫向移動路徑。
一旦識別出潛在的攻擊路徑,將提供修復步驟以幫助保護易受攻擊的入口資產並消除攻擊路徑。
攻擊路徑預測使用以下方法和資料來源來識別潛在的攻擊路徑組件。
攻擊路徑組件
檢測方法
入口點
  • 根據網路暴露識別:
    • 將外部攻擊面管理 (EASM) 資料與資產屬性進行關聯
    • 分析來自趨勢科技網路感測器、趨勢科技端點感測器或其他資料來源的日誌
    • 使用雲端或 Trend Vision One 的容器安全功能掃描雲端資產配置
  • 根據弱點資料來源識別,包括趨勢科技產品和第三方資料來源。詳細資訊請參見 弱點
  • 根據潛在的安全漏洞識別:
    • 將安全威脅檢測和工作台警報與資產類型進行關聯
側向移動路徑
  • 使用來自以下資料來源的遙測和檢測日誌進行識別,以映射資產關係
    • 網路活動:趨勢科技 Endpoint Sensor,趨勢科技 Network Sensor
    • 使用者活動:Trend Micro Endpoint Sensor、Trend Micro Cloud App Security、第三方資料來源
    • 管理操作:Active Directory(本地)、Microsoft Entra ID、Trend Micro Cloud App Security
    • 權限:Active Directory(本地)、Microsoft Entra ID、Trend Micro Cloud App Security
    • 雲端資產流量:雲端的網路風險暴露管理
目標點
  • 根據資產配置平台標籤和資產重要性級別進行識別
注意
注意
如果在您的環境中未識別到攻擊路徑,則未檢測到一個或多個所需組件。要了解更多資訊,請參閱 攻擊路徑組件
以下是攻擊路徑預測檢測到的潛在攻擊路徑示例。
  1. 識別出一個易受攻擊的入口資產、高價值目標資產以及資產之間的關係:
    1. 網路上的伺服器暴露於網路,並包含已知的弱點和配置錯誤。
    2. 「管理員」用戶與伺服器之間有關聯,允許該用戶登入系統。
    3. 「管理員」使用者被指派為「全域管理員」角色,允許該使用者擁有完整的系統權限。
    4. 全域管理員角色可以查看和編輯非常嚴重的使用者帳號。
  2. 預測到可能的橫向移動路徑:
    1. 攻擊者從網路訪問伺服器並利用弱點獲取網路訪問權限。
    2. 攻擊者使用管理員憑證登入並擔任「全域管理員」角色。
    3. 擁有完整系統權限後,攻擊者可以危害重要的使用者帳號,並可能竊取資料或進一步深入網路。
  3. 提供了修復步驟:
    1. 修補伺服器上的弱點並更新系統。
    2. 在伺服器上配置適當的存取控制。
    3. 啟用帳戶的多因素驗證並強制執行最小特權訪問。
    4. 監控使用者角色和權限以防止未經授權的權限提升。
相關資訊