上周在拉斯維加斯舉行的Black Hat2022大會(huì)連續(xù)第25年通過調(diào)查分析和報(bào)告大規(guī)模安全漏洞和網(wǎng)絡(luò)攻擊為業(yè)界敲響警鐘，指明方向。本屆Black Hat大會(huì)揭示了企業(yè)網(wǎng)絡(luò)安全的重大趨勢(shì)：企業(yè)的網(wǎng)絡(luò)攻擊的“爆炸半徑”將繼續(xù)增長(zhǎng)，并延伸到軟件供應(yīng)鏈、開發(fā)運(yùn)營(yíng)和技術(shù)堆棧的幾個(gè)層面。企業(yè)的技術(shù)堆棧正面臨更復(fù)雜、更具破壞性的網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

技術(shù)堆棧越復(fù)雜，越依賴隱含的信任，就越有可能被黑客入侵。這是美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)前任創(chuàng)始主任克里斯·克雷布斯(Chris Krebs)上周在Black Hat 2022會(huì)議上向觀眾發(fā)表的幾條信息之一。Krebs提到，漏洞通常始于構(gòu)建過于復(fù)雜的技術(shù)堆棧，這些堆棧為網(wǎng)絡(luò)犯罪分子創(chuàng)造了更多攻擊面，然后試圖加以利用。

Krebs還強(qiáng)調(diào)了軟件供應(yīng)鏈安全的重要性，并解釋說企業(yè)和全球政府沒有采取足夠的措施來阻止類似SolarWinds的另一次大規(guī)模供應(yīng)鏈攻擊。提供軟件產(chǎn)品的公司同時(shí)也在提供攻擊目標(biāo)?！彼赋?。

以下，我們整理了Black Hat2022主題演講和廠商發(fā)布中包含的企業(yè)網(wǎng)絡(luò)安全重大趨勢(shì)：

一、企業(yè)安全：不斷擴(kuò)大的爆炸半徑

基礎(chǔ)設(shè)施、devops和企業(yè)軟件漏洞是Black Hat2022企業(yè)安全專場(chǎng)的關(guān)注焦點(diǎn)。此外，如何改進(jìn)身份訪問管理(IAM)和特權(quán)訪問管理(PAM)、阻止勒索軟件攻擊、減少Azure Active Directory (AD)和SAP HTTP服務(wù)器攻擊以及軟件供應(yīng)鏈安全也都是熱門話題。

持續(xù)集成和持續(xù)交付(CI/CD)管道是軟件供應(yīng)鏈最危險(xiǎn)的攻擊面。盡管許多企業(yè)盡最大努力將網(wǎng)絡(luò)安全集成到devops流程的核心部分，但CI/CD軟件管道仍然可以破解。

企業(yè)安全會(huì)議上的幾場(chǎng)演講探討了網(wǎng)絡(luò)犯罪分子如何使用遠(yuǎn)程代碼執(zhí)行(RCE)和受感染的代碼存儲(chǔ)庫(kù)侵入軟件供應(yīng)鏈。其中一個(gè)會(huì)議特別關(guān)注高級(jí)黑客如何使用代碼簽名假冒devops團(tuán)隊(duì)成員。

另一個(gè)值得關(guān)注的會(huì)議主題是關(guān)于黑客如何快速使用源代碼管理(SCM)系統(tǒng)在整個(gè)企業(yè)中實(shí)現(xiàn)橫向移動(dòng)和權(quán)限升級(jí)，感染存儲(chǔ)庫(kù)并大規(guī)模訪問軟件供應(yīng)鏈（下圖）。

軟件供應(yīng)鏈攻擊風(fēng)險(xiǎn)：源代碼管理系統(tǒng)面臨的安全威脅

隨著網(wǎng)絡(luò)犯罪分子技能的不斷提高，企業(yè)技術(shù)堆棧也正成為更容易得手的目標(biāo)。其中一個(gè)演講介紹了黑客利用外部身份鏈接繞過多因素身份驗(yàn)證(MFA)和條件訪問策略來對(duì)Azure AD用戶帳戶進(jìn)行后門和劫持操作，導(dǎo)致企業(yè)在數(shù)分鐘內(nèi)失去對(duì)其技術(shù)堆棧核心部分的控制。

在SAP專有HTTP服務(wù)器的專項(xiàng)研討會(huì)上，專家們介紹了網(wǎng)絡(luò)犯罪分子如何利用高級(jí)協(xié)議利用技術(shù)利用SAP HTTP服務(wù)器中發(fā)現(xiàn)的兩個(gè)內(nèi)存損壞漏洞（CVE-2022-22536和CVE-2022-22532）這兩個(gè)漏洞可被遠(yuǎn)程利用，未經(jīng)身份驗(yàn)證的攻擊者可以利用它們來破壞全球任何SAP系統(tǒng)。

惡意軟件攻擊威脅在整個(gè)企業(yè)安全領(lǐng)域中不斷升級(jí)，攻擊者能夠繞過依賴隱式信任的技術(shù)堆棧并破壞基礎(chǔ)設(shè)施和網(wǎng)絡(luò)。使用機(jī)器學(xué)習(xí)(ML)來識(shí)別潛在的惡意軟件攻擊并使用先進(jìn)的分類技術(shù)在攻擊發(fā)生之前就阻止它們是一個(gè)非常具有吸引力的研究領(lǐng)域。微軟安全軟件工程師Dmitrijs Trizna介紹了基于Windows內(nèi)核仿真增強(qiáng)機(jī)器學(xué)習(xí)的惡意軟件分類技術(shù)，這是一種混合ML架構(gòu)，該架構(gòu)同時(shí)利用靜態(tài)和動(dòng)態(tài)惡意軟件分析方法。

二、網(wǎng)絡(luò)安全供應(yīng)商的關(guān)注焦點(diǎn)：人工智能、API和供應(yīng)鏈安全

超過300家網(wǎng)絡(luò)安全供應(yīng)商在Black Hat 2022上亮相，大多數(shù)新產(chǎn)品發(fā)布都集中在API安全以及軟件供應(yīng)鏈安全領(lǐng)域。

CrowdStrike在Black Hat上發(fā)布了業(yè)界首創(chuàng)的基于AI的IOA（攻擊指標(biāo)），結(jié)合了云原生ML和人類專業(yè)知識(shí)，這標(biāo)志著網(wǎng)絡(luò)安全業(yè)界正在利用AI和ML快速完善平臺(tái)戰(zhàn)略。IOA已被證明可以有效地根據(jù)實(shí)際的對(duì)手行為來識(shí)別和阻止違規(guī)行為，而與攻擊中使用的惡意軟件或漏洞無關(guān)。

CrowdStrike的人工智能驅(qū)動(dòng)的IOA能夠利用CrowdStrike Security Cloud遙測(cè)數(shù)據(jù)訓(xùn)練的云原生ML模型，以及公司威脅搜尋團(tuán)隊(duì)的專業(yè)知識(shí)。使用AI和ML以機(jī)器速度分析IOA，提供企業(yè)阻止網(wǎng)絡(luò)攻擊所需的準(zhǔn)確性、速度和規(guī)模。

CrowdStrike首席產(chǎn)品和工程官Amol Kulkarni表示：“憑借行業(yè)領(lǐng)先的攻擊能力指標(biāo)，我們?cè)谧柚棺顝?fù)雜的攻擊方面處于領(lǐng)先地位，這標(biāo)志著安全團(tuán)隊(duì)預(yù)防威脅的方式發(fā)生重大改變：根據(jù)對(duì)手行為而不是善變的指標(biāo)?，F(xiàn)在，我們通過添加AI驅(qū)動(dòng)的攻擊指標(biāo)再次改變游戲規(guī)則，這使組織能夠利用CrowdStrike安全云的力量以機(jī)器速度大規(guī)模檢查對(duì)手行為，以最有效的方式阻止攻擊行為?！?/p>

人工智能驅(qū)動(dòng)的IOA已識(shí)別出20多種前所未見的對(duì)手模式，專家已在Falcon平臺(tái)上驗(yàn)證并實(shí)施這些模式，以實(shí)現(xiàn)自動(dòng)檢測(cè)和預(yù)防。

工程咨詢公司Cundall的首席信息官Lou Lwin說?！敖裉欤糇兊迷絹碓綇?fù)雜，如果它們是基于機(jī)器的攻擊，那么操作員就無法跟上瞬息萬變的威脅形勢(shì)。因此，您需要基于機(jī)器的防御和了解安全性并非‘一勞永逸’的長(zhǎng)期戰(zhàn)略合作伙伴?！?/p>

CrowdStrike展示了AI驅(qū)動(dòng)的IOA用例，包括利用AI識(shí)別惡意行為和代碼的后利用有效負(fù)載檢測(cè)和PowerShell IOA。

AI生成的IOA使用基于云的ML和實(shí)時(shí)威脅情報(bào)來加強(qiáng)現(xiàn)有防御，在運(yùn)行時(shí)分析事件并將IOA動(dòng)態(tài)發(fā)布到傳感器。然后，傳感器將AI生成的IOA（行為事件數(shù)據(jù)）與本地事件和文件數(shù)據(jù)相關(guān)聯(lián)，以評(píng)估惡意行為。CrowdStrike表示，人工智能驅(qū)動(dòng)的IOA與現(xiàn)有的傳感器防御層異步運(yùn)行，包括基于傳感器的ML和IOA。

三、API安全是一個(gè)戰(zhàn)略弱點(diǎn)

很多網(wǎng)絡(luò)安全供應(yīng)商看到了幫助企業(yè)解決API安全挑戰(zhàn)的機(jī)會(huì)，推出新API安全解決方案的供應(yīng)商包括Canon Security、Checkmarx、Contrast Security、Cybersixgill、Traceable和Veracode。

在這些新產(chǎn)品中，值得注意的是Checkmarx的API安全方案，它是其著名的Checkmarx One平臺(tái)的一個(gè)組件。Checkmarx以其在保護(hù)CI/CD流程工作流方面的專業(yè)知識(shí)而聞名。Checkmark的APISecurity安全方案可以識(shí)別僵尸API和未知（影子）API，執(zhí)行自動(dòng)API發(fā)現(xiàn)和清點(diǎn)，并執(zhí)行以API為中心的修復(fù)。

此外，Traceable AI宣布對(duì)其平臺(tái)進(jìn)行多項(xiàng)改進(jìn)，包括識(shí)別和阻止惡意API機(jī)器人，識(shí)別和跟蹤API濫用、欺詐和誤用，以及預(yù)測(cè)整個(gè)軟件供應(yīng)鏈中的潛在API攻擊。

四、在供應(yīng)鏈攻擊開始之前阻止它們

在參加Black Hat的300多家供應(yīng)商中，大多數(shù)擁有CI/CD、devops或零信任解決方案的供應(yīng)商都推出了能夠阻止?jié)撛诠?yīng)鏈攻擊的解決方案，這也是本次Black Hat大會(huì)炒作熱度最高的主題。軟件供應(yīng)鏈風(fēng)險(xiǎn)變得如此嚴(yán)重，以至于美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)正在更新其標(biāo)準(zhǔn)，包括NIST SP 1800-34，重點(diǎn)關(guān)注供應(yīng)鏈安全不可或缺的系統(tǒng)和組件。

供應(yīng)鏈安全專家Cycode宣布已為其平臺(tái)添加了應(yīng)用程序安全測(cè)試(SAST)和容器掃描功能，并引入了軟件組合分析(SCA)。

Veracode以其在安全測(cè)試解決方案方面的專業(yè)知識(shí)而聞名，為其持續(xù)軟件安全平臺(tái)引入了新的增強(qiáng)功能，包括軟件物料清單(SBOM)API、對(duì)軟件組合分析(SCA)的支持以及對(duì)包括PHP Symfony、Rails在內(nèi)的新框架的支持7.0和Ruby 3.x。

五、開放網(wǎng)絡(luò)安全架構(gòu)框架(OCSF)可滿足企業(yè)安全需求

CISO對(duì)端點(diǎn)檢測(cè)和響應(yīng)(EDR)、端點(diǎn)管理和安全監(jiān)控平臺(tái)最常見的抱怨是：沒有用于跨平臺(tái)啟用警報(bào)的通用標(biāo)準(zhǔn)。18家領(lǐng)先的安全供應(yīng)商合作應(yīng)對(duì)這個(gè)挑戰(zhàn)，開發(fā)了開放網(wǎng)絡(luò)安全架構(gòu)框架(OCSF)項(xiàng)目。該項(xiàng)目包括一個(gè)開放規(guī)范，該規(guī)范能夠跨廣泛的安全產(chǎn)品和服務(wù)實(shí)現(xiàn)安全遙測(cè)的規(guī)范化。此外，開源工具也可用于支持和加速OCSF模式的采用。

安全供應(yīng)商AWS和Splunk是OCSF項(xiàng)目的聯(lián)合創(chuàng)始人，該項(xiàng)目還得到了CrowdStrike、Palo AltoNetworks、IBM Security和其他公司的支持。其目標(biāo)是不斷開發(fā)支持OCSF規(guī)范的新產(chǎn)品和服務(wù)，使來自網(wǎng)絡(luò)監(jiān)控工具、網(wǎng)絡(luò)記錄器和其他軟件的警報(bào)標(biāo)準(zhǔn)化，以簡(jiǎn)化和加快對(duì)數(shù)據(jù)的解釋。

CrowdStrike首席技術(shù)官M(fèi)ichael Sentonas表示：“在CrowdStrike，我們的使命是阻止違規(guī)行為并提高組織的生產(chǎn)力。我們堅(jiān)信共享數(shù)據(jù)模式的概念，它使企業(yè)能夠理解和消化所有數(shù)據(jù)，簡(jiǎn)化其安全運(yùn)營(yíng)并降低風(fēng)險(xiǎn)?！?/p>