在这个世界上,人类不断研究和开发新的信息安全机制和工程实践,为克服计算机网络安全威胁付出了艰苦的努力。如果不更新网络威胁战术,信息安全战争似乎很快就会结束。然而,这将是一场永无休止的战争,只要计算机技术发展,就会出现新的威胁。虽然防御者永远处于被动状态,但威胁行为者在寻求在网络战中占据上风时也在不断改变策略。虽然网络钓鱼和SQL注入等攻击技术年复一年地占据着头条新闻,但在过去一年中出现了其他更新、更危险的“后起之秀”,因为威胁行为者越来越多地利用这些新技术,使组织面临潜在更严重的威胁.在今年的RSA大会上,SANS研究所的专家概述了企业在2019年可能会遇到的五种最危险的新技术。在本文中,我们总结了这五种威胁技术以及企业可以采取哪些措施来降低风险。1.DNSManipulation(DNSManipulation)SANS研究所专家EdSkoudis认为,DNSManipulation是最危险的新技术之一。通过DNS操纵,威胁行为者使用窃取的凭据登录域名注册系统并更改信息。DNS(DomainNameService,域名服务)技术可以将一个域名(如baidu.com)指向一个内容可用的IP地址。委内瑞拉救援组织DNS劫持为了降低DNS操作的风险,Skoudis建议企业使用多因素身份验证进行管理,并部署DNSsec以增加DNS记录的真实性。2.域前端(DomainFronting)Skoudis解释说,域前端是威胁行为者用来隐藏自己的一种技术。它可以覆盖多个位置,包括威胁行为者所在的位置、命令和控制源的位置以及威胁行为者泄露数据的位置。地方。域前端滥用云内容交付网络功能来欺骗系统相信它是可信内容。域名转发攻击的特点是你实际访问的域名不是你看到的域名,即可以隐藏威胁行为者的真实地址,这种技术可以让我们在某些情况下仍然可以连接到我们的C2服务器restrictednetworks,关键思想是在不同的通信层使用不同的域名。在HTTP(S)请求中,目标域名通常显示在三个关键位置:DNS查询、TLS(SNI)扩展和HTTP主机头。通常,这三个地方就是我们要访问的域名地址。但是,在“DomainFronting”请求中,DNS查询和SNI携带一个域名(前置域),而HTTP主机头携带另一个域名(隐藏的、禁止的域名)。为降低域名前置风险,Skoudis建议企业不要盲目信任经过云服务商的流量。3.针对性个性化攻击(TargetedIndividualizedattacks)SANSInstitute高级讲师HeatherMahalik警告说,针对性个性化攻击的风险正在增加。黑客可以通过多种不同的机制访问用户信息。即使用户只是在网上分享了太多信息,黑客也可以获得对用户帐户的访问权。Mahalik建议用户检查他们的云设置以查看哪些内容是公开的,并采取措施限制个人信息的可用性。4、DNS信息泄露(DNSInformationLeakage)当你使用浏览器访问一个网站时,浏览器会使用你输入的URL向DNS服务器发送请求,然后你就会被定向到该IP地址。这是互联网运作方式的重要组成部分。当浏览器无法直接向您的ISP发送DNS请求时,就会发生DNS泄漏。SANS研究所技术总监JohannesUllrich强调,默认情况下DNS信息是不安全的,这可能允许潜在的威胁行为者查看DNS流量信息。借助DNS信息,威胁行为者可以深入了解流量的去向。当然对于防御者来说,DNS信息也可以用来了解流量是如何进入的,从哪里来的。DNS信息泄露的风险可以通过加密DNS流量来减轻,但Ullrich警告说,这种方法也会使防御者更难发现网络上的恶意内容。5.BMC中的硬件缺陷(HardwareflugsinBMC)底板管理控制器(BMC)是许多现代IT系统不可或缺的一部分。它的负载监控和管理固件和硬件设施,包括它自己的CPU、存储系统和互联网访问接口,可以让远程管理员访问PC/服务器并发送指令执行各种任务,包括修改系统设置、重新安装系统或更新驱动程序。根据Ullrich的说法,这些系统有时会存在漏洞,威胁者可以利用这些漏洞。Ullrich建议,为了降低硬件管理系统漏洞的风险,用户可以删除不需要的管理实用程序并监控对所需管理控制台的访问。
