上周连续第25年在拉斯维加斯举行的BlackHat2022大会通过对大规模安全漏洞的调查、分析和报告,为业界敲响了警钟和网络攻击,指示方向。今年的黑帽大会揭示了企业网络安全的一个大趋势:企业网络攻击的“爆炸半径”将不断扩大,并延伸到软件供应链、开发运营、技术栈等多个层面。企业技术堆栈面临更复杂、更具破坏性的网络攻击的风险。技术堆栈越复杂,越依赖隐性信任,就越有可能被黑客攻击。这是美国网络安全和基础设施安全局(CISA)前创始主任克里斯·克雷布斯(ChrisKrebs)上周在BlackHat2022会议上向听众发表的几条信息之一。Krebs提到,漏洞通常始于构建过于复杂的技术堆栈,这些技术堆栈为网络犯罪分子创造了更多的攻击面,然后试图加以利用。克雷布斯还强调了软件供应链安全的重要性,并解释说世界各地的企业和政府在阻止像SolarWinds这样的另一场大规模供应链攻击方面做得还不够。提供软件产品的公司也提供目标。”他指出。下面,我们梳理了BlackHat2022主题演讲和厂商发布中包含的企业网络安全的主要趋势:1、企业安全:基础设施的爆炸半径不断扩大,devops和企业软件漏洞是主要的BlackHat2022企业安全会议的主题此外,如何改进身份访问管理(IAM)和特权访问管理(PAM),阻止勒索软件攻击,减少AzureActiveDirectory(AD)和SAPHTTP服务器攻击,以及软件供应链安全也是热门话题。持续集成和持续交付(CI/CD)管道是软件供应链最危险的攻击面。尽管许多企业尽最大努力将网络安全集成到devops流程的核心部分,CI/CD软件管道仍然可以被破解企业安全会议会议上的几个演讲探讨了网络犯罪分子如何使用远程代码执行ution(RCE)和受损的代码存储库以渗透软件供应链。一个会议专门关注高级黑客如何使用代码签名来冒充devops团队成员。另一个值得关注的会议是关于黑客如何快速使用源代码管理(SCM)系统来实现跨企业的横向移动和特权升级,感染存储库并大规模访问软件供应链(下图)。软件供应链攻击风险:源代码管理系统的安全威胁随着网络犯罪分子不断提高技能,企业技术堆栈正变得更容易成为目标。其中一个演示文稿描述了黑客使用外部身份链接后门并通过绕过多因素身份验证(MFA)和条件访问策略来劫持AzureAD用户帐户,导致企业在几分钟内失去对其技术堆栈核心部分的控制。在SAP专有HTTP服务器的专门研讨会上,专家描述了网络犯罪分子如何使用高级协议利用技术来利用SAPHTTP服务器中发现的两个内存损坏漏洞(CVE-2022-22536和CVE-2022-22532)这两个漏洞可以被利用远程,允许未经身份验证的攻击者破坏全球任何SAP系统。恶意软件攻击的威胁在整个企业安全领域不断升级,使攻击者能够绕过依赖隐式信任的技术堆栈并危及基础设施和网络。使用机器学习(ML)来识别潜在的恶意软件攻击并使用高级分类技术在它们发生之前阻止它们是一个非常有吸引力的研究领域。Microsoft的安全软件工程师DmitrijsTrizna介绍了基于Windows内核仿真增强机器学习的恶意软件分类,这是一种利用静态和动态恶意软件分析方法的混合ML架构。2、网络安全供应商关注焦点:人工智能、API和供应链安全超过300家网络安全供应商将亮相BlackHat2022,新品发布会大多聚焦API安全和软件供应链安全。CrowdStrike在黑帽大会上发布了业界首个基于AI的IOA(攻击指标),结合了云原生ML和人类专业知识,这标志着网络安全行业正在利用AI和ML快速改进平台策略。IOA已被证明可以根据实际的对手行为有效地识别和阻止违规行为,而与攻击中使用的恶意软件或漏洞无关。CrowdStrike的人工智能驱动的IOA能够利用在CrowdStrike安全云遥测数据上训练的云原生ML模型,以及公司威胁搜寻团队的专业知识。使用AI和ML以机器速度分析IOA,提供企业阻止网络攻击所需的准确性、速度和规模。CrowdStrike首席产品和工程官AmolKulkarni表示:“凭借行业领先的攻击能力指标,我们在阻止最复杂攻击方面的领导地位标志着安全团队预防威胁的方式发生了重大转变:基于对手行为而非仁慈。变化的指标。现在,我们通过添加AI驱动的攻击指标再次改变游戏规则,这使组织能够利用CrowdStrike安全云的强大功能以机器速度和大规模检查对手行为,以尽可能最有效的方式阻止攻击.工程咨询公司Cundall的首席信息官LouLwin表示:“基于AI的IOA已经确定了20多种前所未见的对手模式,专家们已经在Falcon平台上验证并实施了这些模式以进行自动检测和预防。”复杂,如果它们是基于机器的,运营商就无法跟上不断变化的威胁形势。因此,您需要基于机器的防御和一个了解安全不是“一劳永逸”的长期战略合作伙伴'."CrowdStrike展示了AI驱动的IOA用例,包括利用AI识别恶意行为和代码的后开发负载检测和PowerShellIOA。AI生成的IOA使用基于云的ML和实时威胁情报来加强现有防御,在运行时分析事件并将IOA动态发布到传感器。然后,传感器将AI生成的IOA(行为事件数据)与本地事件和文件数据相关联,以评估恶意行为。CrowdStrike表示,AI驱动的IOA与现有传感器防御层异步运行,包括基于传感器的ML和IOA。第三,API安全是战略弱点许多网络安全厂商看到了帮助企业解决API安全挑战的机会。推出新API安全解决方案的供应商包括CanonSecurity、Checkmarx、ContrastSecurity、Cyber??sixgill、Traceable和Veracode。在这些新产品中,值得注意的是Checkmarx的API安全解决方案,它是其著名的CheckmarxOne平台的一个组件。Checkmarx以其在保护CI/CD流程工作流方面的作用而闻名,以其在AI方面的专业知识而闻名。Checkmark的APISecurity安全解决方案可以识别僵尸API和未知(影子)API,执行自动API发现和清点,并执行以API为中心的修复。此外,TraceableAI还宣布了对其平台的几项改进,包括识别和阻止恶意API机器人,识别和跟踪API滥用、欺诈和误用,以及预测整个软件供应链中潜在的API攻击。4.在供应链攻击开始之前阻止它们在参与黑帽的300多家供应商中,大多数拥有CI/CD、devops或零信任解决方案的供应商都推出了阻止潜在供应链攻击的解决方案,这也是炒作最多的主题本次黑帽大会。软件供应链风险变得如此严重,以至于美国国家标准与技术研究院(NIST)正在更新其标准,包括NISTSP1800-34,以专注于供应链安全不可或缺的系统和组件。供应链安全专家Cycode宣布已为其平台添加应用程序安全测试(SAST)和容器扫描功能,并引入了软件组合分析(SCA)。Veracode以其在安全测试解决方案方面的专业知识而闻名,为其持续软件安全平台引入了新的增强功能,包括软件物料清单(SBOM)API、对软件组成分析(SCA)的支持以及对包括Symfony和Rails支持在内的新框架的支持7.0和Ruby3.x。5.开放式网络安全架构框架(OCSF)满足企业安全需求CISO对端点检测和响应(EDR)、端点管理和安全监控平台最常见的抱怨是没有跨平台启用警报的通用标准。十八家领先的安全供应商合作应对这一挑战,开发了开放式网络安全架构框架(OCSF)项目。该项目包括一个开放规范,可以在广泛的安全产品和服务中实现安全遥测的规范化。此外,还提供开源工具来支持和加速OCSF模型的采用。安全供应商AWS和Splunk是OCSF项目的联合创始人,该项目还得到了CrowdStrike、PaloAltoNetworks、IBMSecurity等公司的支持。其目标是不断开发支持OCSF规范的新产品和服务,标准化来自网络监控工具、网络记录器和其他软件的警报,以简化和加速数据解释。CrowdStrike首席技术官MichaelSentonas表示:“在CrowdStrike,我们的使命是阻止违规行为并提高组织的生产力。我们坚信共享数据模式的概念,它使企业能够理解和消化所有数据,简化他们的安全操作并降低风险。”
