不安全世界中的安全。

隨著Black Hat 2021的開幕，F(xiàn)reeBuf跟蹤了大會的主要議題，并且與大家分享CRN與14家知名網(wǎng)絡(luò)安全供應(yīng)商的高管的談話，從勒索軟件、供應(yīng)鏈和關(guān)鍵基礎(chǔ)設(shè)施攻擊到第三方風(fēng)險管理、零信任體系結(jié)構(gòu)和人工智能威脅情報，了解安全高管們關(guān)注的網(wǎng)絡(luò)安全趨勢。

供應(yīng)鏈漏洞的聯(lián)邦測試

預(yù)計美國政府將在SolarWinds攻擊事件后采取行動保護軟件供應(yīng)鏈安全，而Splunk的安全戰(zhàn)略師Ryan Kovar表示，希望看到技術(shù)供應(yīng)商更好地檢測供應(yīng)鏈漏洞。

譬如，作為政府供應(yīng)商的技術(shù)公司應(yīng)事先要求其產(chǎn)品經(jīng)過NIST或其他第三方實體的測試和認證。通過一個集中的機制來檢查聯(lián)邦政府使用的軟件的安全性和質(zhì)量，這也有助于商業(yè)領(lǐng)域使用的軟件的安全性。

離地攻擊(living-off-the-land)

攻擊者越來越多地利用受害者組織使用的合法工具，通過融入受害者的流量來更好地隱藏自己。Trend Micro威脅情報副總裁Jon Clay認為，攻擊者可以利用合法工具實施攻擊鏈的每一個環(huán)節(jié)——從初始訪問、資產(chǎn)發(fā)現(xiàn)、橫向移動到數(shù)據(jù)外泄和憑證盜竊。

離地攻擊是一種反取證行動，因為這些攻擊迫使企業(yè)建立機制，對Cobalt Strike、Mimikatz和PS Exec等工具的使用進行檢查，從而確定一些特定事件是合法的還是非法的。

Trend Micro的數(shù)據(jù)表示，有20到30種合法工具正被勒索軟件攻擊者用于惡意目的。

關(guān)鍵基礎(chǔ)設(shè)施攻擊

關(guān)鍵基礎(chǔ)設(shè)施供應(yīng)商通常只擁有小型IT團隊且安全專家有限，沒有大型辦公室或數(shù)據(jù)中心，其收益往往投資于提高電力或石油產(chǎn)量。因此，他們難以在復(fù)雜的網(wǎng)絡(luò)攻擊者面前保護自己的資產(chǎn)數(shù)據(jù)。

Infoblox產(chǎn)品營銷副總裁Anthony James表示，關(guān)鍵基礎(chǔ)設(shè)施設(shè)備通常啟用IP以實現(xiàn)可管理性和集中控制，但這使得它像醫(yī)院或醫(yī)療設(shè)備一樣容易受到網(wǎng)絡(luò)攻擊。同時，關(guān)鍵基礎(chǔ)設(shè)施環(huán)境高度分散，計算能力有限，為了安全的考慮，啟用IP的設(shè)備就應(yīng)該與核心網(wǎng)絡(luò)分離，因為這些設(shè)備對業(yè)務(wù)運營至關(guān)重要，但不需要互聯(lián)網(wǎng)接入。

因此，關(guān)鍵基礎(chǔ)架構(gòu)供應(yīng)商應(yīng)評估哪些設(shè)備實際需要連接到管理控制臺，并制定策略來限制允許與控制臺通信的內(nèi)容。

第三方風(fēng)險管理

企業(yè)越來越意識到，他們需要投入更多的資源以確保第三方供應(yīng)商不會成為威脅的來源。

企業(yè)應(yīng)首先審查供應(yīng)商合同，以確保其供應(yīng)商擁有合適的人員、控制措施和治理結(jié)構(gòu)，從而可以有能力應(yīng)對網(wǎng)絡(luò)風(fēng)險。此外，企業(yè)應(yīng)該用最嚴格的方式審計其最重要的第三方供應(yīng)商(例如直接訪問組織數(shù)據(jù)的第三方)，而在評估適當?shù)陌踩呗允欠竦轿粫r，可見性是關(guān)鍵。

零信任架構(gòu)

零信任架構(gòu)可以最大限度地降低與供應(yīng)鏈問題和勒索軟件威脅相關(guān)的風(fēng)險。Trustwave Government Solutions總裁Bill Rucker表示，零信任的核心是了解數(shù)據(jù)所在的位置以及哪些用戶可以訪問哪些數(shù)據(jù)，隨著機構(gòu)越來越多地推動彼此共享更多數(shù)據(jù)，零信任方法對于數(shù)據(jù)安全至關(guān)重要。

此外，目前有多種工具可以掃描網(wǎng)絡(luò)并確定數(shù)據(jù)所在的位置，但這些工具的質(zhì)量差異很大，因此，組織也需要開始確保他們擁有合適的工具來評估數(shù)據(jù)位置和歸屬。

被竊數(shù)據(jù)的武器化

Barracuda首席技術(shù)官Fleming Shi發(fā)現(xiàn)，很多用戶和組織的數(shù)據(jù)在以前的攻擊事件中被盜，并且又在隨后的攻擊中被武器化。攻擊者利用他們已經(jīng)獲取的個人身份信息再次獲取用戶的憑據(jù)和密碼，然后將這些目標用戶登錄的SaaS應(yīng)用程序作為攻擊目標。

人工智能在勒索軟件偵察中的應(yīng)用

Fortinet首席營銷官兼產(chǎn)品執(zhí)行副總裁John Maddison發(fā)現(xiàn)，網(wǎng)絡(luò)防御者正越來越多地使用人工智能進行偵察，從而了解對手如何使用勒索軟件。單個惡意DNS調(diào)用可能就是勒索軟件攻擊的開始，因此公司利用AI連接這些點是至關(guān)重要的。

人工智能可以查看數(shù)十億條數(shù)據(jù)，將特定地理或行業(yè)中的蜜罐或接收器活動與公司已經(jīng)熟悉的漏洞聯(lián)系起來。人工智能在功能層面上取得了重大進展，這使組織能夠在端點、網(wǎng)絡(luò)或應(yīng)用程序本身中內(nèi)進行推斷或鏈接邊緣末端。

供應(yīng)鏈攻擊

攻擊者越來越意識到，他們可以通過損害供應(yīng)商來同時滲透數(shù)百甚至數(shù)千名客戶。因此，企業(yè)必須確保他們能夠了解自己的供應(yīng)鏈、與每個供應(yīng)商相關(guān)的風(fēng)險以及在發(fā)生事件時快速補救的方法。

由于供應(yīng)鏈攻擊為黑客提供了良好的投資回報——只需滲入一個戰(zhàn)略企業(yè)，就可以在數(shù)千個組織中分發(fā)惡意軟件，因此供應(yīng)鏈攻擊已經(jīng)從高級網(wǎng)絡(luò)攻擊者對特定行業(yè)實施的武器化攻擊轉(zhuǎn)變?yōu)楦鼮槠毡榈膼阂廛浖舻囊徊糠帧?/p>

對敏感數(shù)據(jù)缺乏控制

根據(jù)Netskope創(chuàng)始人的說法，攻擊者專注于找出并竊取企業(yè)的敏感數(shù)據(jù)。由于數(shù)據(jù)涉及大多數(shù)公司的知識產(chǎn)權(quán)，一旦泄露，可能對公司的生存構(gòu)成威脅。

據(jù)悉，一個公司平均使用近1000個云應(yīng)用程序，其中90%不歸IT所有。同時，由于超過一半的敏感數(shù)據(jù)存在于云中，基于云的數(shù)據(jù)防泄漏 (DLP) 對于幫助公司確定哪些數(shù)據(jù)流向何處至關(guān)重要。

在勒索軟件攻擊中使用0day

Sophos首席執(zhí)行官Kris Hagerman表示，勒索軟件攻擊的復(fù)雜性和數(shù)量都出現(xiàn)了爆炸性增長，勒索軟件攻擊中越來越多地使用0day，這表明黑客更加老練，并且專門針對某些組織。

同時，勒索軟件即服務(wù)(RaaS)業(yè)務(wù)的激增意味著實際實施攻擊的組織或黑客可能沒有任何技術(shù)專長，有時甚至不知道如何編寫代碼。

注：Racoon Stealer竊取木馬以每周75美元的價格對外租用，為犯罪分子提供一個收集受害者信息、付款和贖金的有效入口。

攻擊者向供應(yīng)商和客戶索要贖金

攻擊者不再滿足于簡單地加密受害者數(shù)據(jù)并拒絕受害者訪問其自己的系統(tǒng)。目前，勒索軟件已經(jīng)從瞄準單個設(shè)備或服務(wù)器發(fā)展為通過造成廣泛破壞來威脅整個組織。

簡單來說，就是勒索軟件攻擊者通過供應(yīng)鏈攻擊，向受害企業(yè)及其上下游客戶索要贖金，否則就泄露敏感數(shù)據(jù)。

客戶端攻擊

DevOps團隊通常具備API安全性，并試圖找出如何在滿足現(xiàn)代后敏捷開發(fā)期望的同時盡可能高效地實現(xiàn)安全性。因此，開發(fā)人員面臨在保持安全性的同時更快地發(fā)布應(yīng)用程序和更新的巨大壓力。

不過，微服務(wù)應(yīng)用程序和庫的使用增加推動了攻擊面的急劇擴大。在客戶端攻擊中，客戶可能會從公司的電子商務(wù)網(wǎng)站下載惡意代碼，從而對公司的品牌和信譽造成重大損害。

商業(yè)網(wǎng)絡(luò)犯罪日趨復(fù)雜

隨著民族國家組織越來越多地將攻擊目標對準私人商業(yè)和民間組織，受害者面臨的威脅挑戰(zhàn)也是急劇變大。

Varonis 聯(lián)合創(chuàng)始人、總裁兼首席執(zhí)行官 Yaki Faitelson 表示，由于網(wǎng)絡(luò)保險政策的普及，網(wǎng)絡(luò)犯罪分子發(fā)現(xiàn)實施勒索軟件攻擊更容易獲得報酬，然后這些威脅組織又將贖金的收益投資于獲取更復(fù)雜的黑客工具。

此外，網(wǎng)絡(luò)犯罪分子通過供應(yīng)鏈攻擊分發(fā)勒索軟件，并無縫地將自己偽裝到受害者的環(huán)境中，從而使得他們的攻擊手段更為老練也更為復(fù)雜。而與數(shù)字化轉(zhuǎn)型相關(guān)的生產(chǎn)力提升、從任何地方都可以訪問數(shù)據(jù)的邊緣趨勢，都伴隨著更高的風(fēng)險和更大的攻擊面。

更廣泛地采用安全最佳實踐

攻擊者通常會選擇阻力最小的攻擊路徑，供應(yīng)鏈攻擊就是一個以小博大的典型。

因此，即便是一些低調(diào)的企業(yè)，如果擁有廣泛的客戶訪問權(quán)限和數(shù)據(jù)也會吸引黑客的注意。但由于這些供應(yīng)商有時沒有采用基本的安全最佳實踐，例如雙因素身份驗證，因此很容易成為攻擊的跳板。

參考來源：

https://www.crn.com/slide-shows/security/14-top-cybersecurity-trends-to-expect-at-black-hat-conference/15?itc=refresh