12月26日消息，全新的2023年就將到來(lái)，F(xiàn)5安全運(yùn)營(yíng)中心(SOC)的工程師們預(yù)測(cè)了2023年會(huì)出現(xiàn)的五大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，從而為企業(yè)提供前瞻性洞察分析，為網(wǎng)絡(luò)安全保駕護(hù)航。

威脅一：影子API將帶來(lái)不可預(yù)知的漏洞

今天，應(yīng)用程序接口(APIs)正在迅速普及。移動(dòng)應(yīng)用的融合、組織間的數(shù)據(jù)共享以及不斷增加的應(yīng)用程序自動(dòng)化，使得在2021年有11.3億個(gè)請(qǐng)求通過(guò)以API為中心的開(kāi)發(fā)者工具Postman提交。然而，根據(jù)Postman發(fā)布的API狀況報(bào)告中顯示，48%的調(diào)查對(duì)象承認(rèn)每月要處理至少一次API安全事件。

與網(wǎng)絡(luò)安全的所有方面一樣，你無(wú)法為未知內(nèi)容提供保障。F5認(rèn)為，影子API代表了一種日益增長(zhǎng)的風(fēng)險(xiǎn)，可能會(huì)導(dǎo)致大規(guī)模數(shù)據(jù)泄露，而受到侵害的組織甚至不知道這種風(fēng)險(xiǎn)的存在。

時(shí)至今日，許多企業(yè)沒(méi)有準(zhǔn)確的API庫(kù)存清單，因此導(dǎo)致了一種新的威脅形式，即“影子API”。擁有成熟API開(kāi)發(fā)流程的企業(yè)會(huì)保存一個(gè)API庫(kù)存清單的資產(chǎn)目錄，理想狀態(tài)下會(huì)包含所有可用的API端點(diǎn)信息、可接受參數(shù)的細(xì)節(jié)、認(rèn)證和授權(quán)信息等。然而，許多企業(yè)由于沒(méi)有API庫(kù)存清單，生產(chǎn)中的API和受益于持續(xù)開(kāi)發(fā)的API將會(huì)偏離于它們?cè)谇鍐沃械脑级x。在這兩種情況下都會(huì)出現(xiàn)組織不可見(jiàn)的公開(kāi)API，這些API被稱為“影子API”，而許多應(yīng)用會(huì)通過(guò)“影子API”被攻破，而企業(yè)對(duì)這些API了解甚少，甚至毫無(wú)察覺(jué)。

威脅二：多重身份驗(yàn)證將失去效力

在F5發(fā)布的《2020網(wǎng)絡(luò)釣魚和欺詐報(bào)告》中，F(xiàn)5演示了攻擊者如何使用實(shí)時(shí)網(wǎng)絡(luò)釣魚代理來(lái)繞過(guò)多重身份驗(yàn)證(MFA)系統(tǒng)。在實(shí)時(shí)網(wǎng)絡(luò)釣魚代理攻擊中使用的虛假網(wǎng)站中，攻擊者收集了常見(jiàn)的6位數(shù)MFA驗(yàn)證碼，并用它來(lái)驗(yàn)證真正的目標(biāo)網(wǎng)站。由于攻擊是實(shí)時(shí)發(fā)生的，包括短信、移動(dòng)端認(rèn)證應(yīng)用，甚至令牌在內(nèi)的MFA方法都沒(méi)有能夠打敗實(shí)時(shí)網(wǎng)絡(luò)釣魚代理。自2020年以來(lái)，F(xiàn)5持續(xù)分享了繞過(guò)MFA的技術(shù)增長(zhǎng)趨勢(shì)報(bào)告，從會(huì)話重用攻擊到可竊取MFA代碼的移動(dòng)惡意軟件，幫助企業(yè)高效規(guī)避網(wǎng)絡(luò)攻擊。

為了減少M(fèi)FA阻力，許多新的解決方案依賴于推送通知。當(dāng)用戶試圖登錄一個(gè)系統(tǒng)時(shí)，現(xiàn)代解決方案不是要求他們手動(dòng)輸入多因素認(rèn)證代碼，而是向用戶的注冊(cè)手機(jī)發(fā)送推送通知，要求他們?cè)试S或拒絕登入操作。

但是，MFA疲勞攻擊只會(huì)越來(lái)越頻繁和有效。這種攻擊的目的是通過(guò)用大量的認(rèn)證請(qǐng)求騷擾受害者，使他們意外或無(wú)奈地允許通知請(qǐng)求。這種類型的攻擊將為公司帶來(lái)直接的風(fēng)險(xiǎn)，因?yàn)閱T工通常是最容易受到社交工程攻擊的威脅載體。除此之外，MFA作為一項(xiàng)關(guān)鍵的安全控制，可用于阻止對(duì)關(guān)鍵資產(chǎn)的未授權(quán)訪問(wèn)。通常情況下，公司會(huì)忽略被破解的密碼，或使用要求較低的密碼類型，因?yàn)橛蓄~外的如MFA的補(bǔ)償性控制。適用于MFA的網(wǎng)絡(luò)釣魚工具包和MFA炸彈攻擊破除了這種補(bǔ)償性控制，并再次凸顯了口令、深度防御和轉(zhuǎn)向零信任架構(gòu)的重要性，在這種架構(gòu)中，企業(yè)及個(gè)人的安全還需要考慮更多因素。

網(wǎng)絡(luò)安全領(lǐng)域的大部分情況都是防御者和攻擊者之間的軍備競(jìng)賽，認(rèn)證方法也不例外。當(dāng)前，攻擊者正在使用各種技術(shù)來(lái)適應(yīng)MFA解決方案，包括誤植域名、賬戶接管、MFA設(shè)備欺詐和社交工程。因此，應(yīng)用和網(wǎng)絡(luò)防御者正在考慮下一步的應(yīng)對(duì)策略。目前，人們對(duì)生物識(shí)別認(rèn)證持懷疑態(tài)度，因?yàn)橹讣y等生物特征是不可改變的，所以容易被竊取。然而，行為則更難被用于欺騙，通常是針對(duì)用戶的行為，尤其是在規(guī)模上更是如此。這可能包括普遍的行為動(dòng)作，如使用過(guò)的瀏覽器和所獲取的地理位置，網(wǎng)站的導(dǎo)航模式、停留時(shí)間等針對(duì)應(yīng)用的行為，以及諸如雙擊速度、鼠標(biāo)移動(dòng)模式、打字速度等用戶行為。

短期內(nèi)，在線快速身份認(rèn)證(FIDO)聯(lián)盟的通行證解決方案可能是第一個(gè)真正有效緩解社交工程攻擊的方法，因?yàn)橛糜谡J(rèn)證用戶的加密密鑰是以他們正在訪問(wèn)的網(wǎng)站地址為基礎(chǔ)的。這項(xiàng)新技術(shù)能多快被普通用戶所采用，仍有待觀察。

威脅三：云部署故障排除將帶來(lái)更多問(wèn)題

預(yù)測(cè)云部署的安全事件，聽(tīng)起來(lái)是老生常談，但隨著云應(yīng)用的違規(guī)頻率不斷增加，且規(guī)模巨大，F(xiàn)5認(rèn)為這是值得重申的問(wèn)題。正如F5在《2022應(yīng)用保護(hù)報(bào)告》中強(qiáng)調(diào)的那樣，大多數(shù)云事件都與配置錯(cuò)誤有關(guān)，通常是過(guò)于廣泛的訪問(wèn)控制。因此，雖然可能看起來(lái)是能輕易做到的事情，但F5安全運(yùn)營(yíng)中心(SOC)的工程師們依然發(fā)現(xiàn)了很多幫助補(bǔ)救云應(yīng)用的違規(guī)行為，并認(rèn)識(shí)到這些眾多問(wèn)題存在的原因。

實(shí)際上，無(wú)論是意外還是出于故障排除的目的，許多云用戶都致力于在用戶和網(wǎng)絡(luò)層面設(shè)置正確地配置訪問(wèn)控制。2022年，F(xiàn)5SOC時(shí)常看到用戶創(chuàng)建臨時(shí)服務(wù)用戶，然后通過(guò)內(nèi)置身份和訪問(wèn)管理(IAM)策略或內(nèi)聯(lián)策略為其分配非常廣泛的權(quán)限。這些臨時(shí)用戶的創(chuàng)建通常是為了排除問(wèn)題，或者是為了讓依賴特定用戶或角色的應(yīng)用重新啟動(dòng)和運(yùn)行。F5經(jīng)常看到這種臨時(shí)的配置變成永久性的配置，回滾變化也變得更加困難。此外，如果用戶使用的是長(zhǎng)期固定的憑證，而不是短期憑證，那么這些憑證也有可能以某種方式被盜或泄露。

威脅四：開(kāi)源軟件庫(kù)將成為攻擊的主要目標(biāo)

軟件正變得越來(lái)越相互依賴，許多應(yīng)用和服務(wù)都基于開(kāi)源代碼庫(kù)進(jìn)行構(gòu)建，但很少有企業(yè)能夠準(zhǔn)確地說(shuō)明所使用的每一個(gè)庫(kù)。隨著防御者加強(qiáng)應(yīng)用“周邊”(即面向公眾的網(wǎng)絡(luò)應(yīng)用和API)，威脅者自然會(huì)將目光投向其他載體。攻擊目標(biāo)逐漸變?yōu)閼?yīng)用中第三方代碼、代碼庫(kù)和服務(wù)。在硬件和軟件代碼庫(kù)中，多達(dá)78%的代碼由開(kāi)源代碼庫(kù)組成，而非內(nèi)部開(kāi)發(fā)。作為攻擊者，如果知道一個(gè)應(yīng)用超過(guò)四分之三的代碼是由開(kāi)源代碼庫(kù)維系的，那么將這些代碼庫(kù)作為目標(biāo)就變得異常合理了。

近年來(lái)，F(xiàn)5發(fā)現(xiàn)了越來(lái)越多的攻擊方式，為依賴開(kāi)源軟件庫(kù)的企業(yè)帶來(lái)威脅：

• 開(kāi)發(fā)者賬戶被泄露，通常是由于缺乏MFA，導(dǎo)致惡意代碼被插入到廣泛使用的庫(kù)和谷歌瀏覽器擴(kuò)充程式中;

• 木馬攻擊和誤植域名攻擊，威脅者開(kāi)發(fā)的工具看起來(lái)攻擊性強(qiáng)，或與廣泛使用的開(kāi)源軟件庫(kù)有非常相似的名字;

• 以黑客攻擊的方式，由開(kāi)源軟件庫(kù)的原作者故意插入破壞性和其他惡意代碼。

很顯然，上述行為的出現(xiàn)為應(yīng)用開(kāi)發(fā)的發(fā)展帶來(lái)新挑戰(zhàn)。許多現(xiàn)代應(yīng)用利用軟件即服務(wù)(SaaS)進(jìn)行安全防護(hù)，如集中式認(rèn)證、數(shù)據(jù)庫(kù)即服務(wù)或數(shù)據(jù)泄密防護(hù)(DLP)。如果攻擊者能夠破壞開(kāi)源軟件(OSS)的代碼庫(kù)或被應(yīng)用消耗的SaaS產(chǎn)品，那么攻擊者就在應(yīng)用內(nèi)部有了立足點(diǎn)，能夠繞過(guò)如Web應(yīng)用防火墻和API網(wǎng)關(guān)的外圍防御，從而進(jìn)行攻擊。

這個(gè)立足點(diǎn)可以被用來(lái)進(jìn)行不同形式的橫向移動(dòng)(如遠(yuǎn)程外殼、監(jiān)控、數(shù)據(jù)滲漏)。這樣做的結(jié)果是，軟件開(kāi)發(fā)人員希望應(yīng)用所組成的組件有更強(qiáng)的可見(jiàn)性，最重要的是有一個(gè)列舉所有軟件組件的軟件材料清單(SBoM)。這將使軟件產(chǎn)品的終端用戶能夠更迅速有效地確定漏洞是否會(huì)影響該產(chǎn)品。

但同時(shí)，SBoM的廣泛采用也將帶來(lái)大量技術(shù)債務(wù)。企業(yè)將不得不做出一些重大的內(nèi)部投資，使舊系統(tǒng)達(dá)到最新水平，并修復(fù)多達(dá)數(shù)千的漏洞，或者考慮從頭開(kāi)始打造新一代的產(chǎn)品。當(dāng)然，客戶總要接受他們所選擇的產(chǎn)品中存在大量未修復(fù)的漏洞，因?yàn)樗鼈兌际谴笸‘惖摹Ｒ虼耍髽I(yè)應(yīng)當(dāng)對(duì)產(chǎn)品進(jìn)行全面革新，而不是置之不理。

而對(duì)于未披露漏洞或零日漏洞，檢測(cè)攻擊者的最佳機(jī)會(huì)是觀察軟件組件和服務(wù)‘內(nèi)部’應(yīng)用之間的內(nèi)部‘東西向’流量以及基礎(chǔ)架構(gòu)即服務(wù)(IaaS)的交互方式。現(xiàn)如今，這些互動(dòng)可以被云安全態(tài)勢(shì)管理(基礎(chǔ)架構(gòu))、云工作負(fù)載保護(hù)平臺(tái)(跨平臺(tái))，以及應(yīng)用檢測(cè)與響應(yīng)(應(yīng)用層)所感知;這些獨(dú)立市場(chǎng)需要整合起來(lái)，以提供一個(gè)整體視圖，而這是高效、準(zhǔn)確地檢測(cè)應(yīng)用內(nèi)部威脅所必需的。

威脅五：勒索軟件將進(jìn)一步擴(kuò)張

加密惡意軟件現(xiàn)在已經(jīng)十分泛濫了。但是，正如MITRE開(kāi)發(fā)的對(duì)抗性戰(zhàn)術(shù)、技術(shù)和公共知識(shí)庫(kù)框架提及的勒索軟件，這并不全是“加密數(shù)據(jù)的影響”。F5發(fā)現(xiàn)，包括非加密種類在內(nèi)，惡意軟件是2021年企業(yè)數(shù)據(jù)泄露的最大原因。攻擊者的重點(diǎn)是滲透或竊取數(shù)據(jù)。一旦他們掌握了這些數(shù)據(jù)，就能夠通過(guò)不同的方法從中獲取收益。

F5SOC發(fā)現(xiàn)，針對(duì)數(shù)據(jù)庫(kù)的勒索軟件正呈現(xiàn)增長(zhǎng)趨勢(shì)。有組織的網(wǎng)絡(luò)犯罪將繼續(xù)發(fā)展勒索軟件技術(shù)，并將特別關(guān)注關(guān)鍵基礎(chǔ)設(shè)施。針對(duì)云數(shù)據(jù)庫(kù)的勒索軟件攻擊將在未來(lái)一年大幅增加，因?yàn)槠髽I(yè)和政府的關(guān)鍵數(shù)據(jù)都存儲(chǔ)在其中。與傳統(tǒng)的惡意軟件在文件系統(tǒng)層面加密文件不同，數(shù)據(jù)庫(kù)勒索軟件能夠在數(shù)據(jù)庫(kù)內(nèi)部加密數(shù)據(jù)。

同時(shí)，攻擊者將增加嘗試次數(shù)，通過(guò)各種詐騙和下游欺詐手段(如申請(qǐng)新的信用卡)，直接從受影響的個(gè)人身上獲取漏洞數(shù)據(jù)。從攻擊者的心態(tài)來(lái)看，如果盜竊客戶的個(gè)人信息不能通過(guò)勒索被破壞的組織(例如，要求贖金，威脅釋放知識(shí)產(chǎn)權(quán)等)來(lái)賺錢，那么他們的目標(biāo)就將轉(zhuǎn)移到個(gè)人身上。

關(guān)鍵詞： 安全 運(yùn)營(yíng)