美国国土安全部网络安全与基础设施安全局（CISA）发布分析报告，详细介绍2020财年各行业的风险与漏洞评估（RVA）结果。

　　CISA官员们的分析给出了入侵者可以采取的攻击路径示例，描述了他们如何利用去年各RVA中列出的漏洞入侵企业。CISA的分析报告和随附的信息图（含有每种战术与技术的成功率百分比）均映射到了MITRE ATT&CK框架。

　　在成功初始访问技术这个分类中，CISA官员发现，网络钓鱼连接是最常用于获取初始访问的技术，RVA中49%都采用这种技术。列第二的是公开应用的漏洞利用程序（11.8%），网络钓鱼附件（9.8%）位列第三。至于执行，24.4%的RVA用到了PowerShell，13%采用Windows管理规范（WMI），12.2%使用命令与脚本解释器。

　　37.5%的RVA使用有效账户提权，紧随其后的是提权漏洞利用（21.9%）和伪造令牌（15.6%）。在横向移动方面，攻击者主要采用凭据传递攻击（29.8%）、远程桌面协议（25%），以及远程服务漏洞利用（11.9%）。

　　CISA指出，样本量有限，企业和机构应基于自身环境考虑更多攻击途径和缓解策略。

　　CISA《风险与漏洞评估》：点击查看