信任是人际关系的核心,我们每天都会本能地进行信任评估。这些决定通常是下意识做出的,它们指导着我们的行为方式、我们投票给谁、我们开展的业务以及我们对事情结果的信心。不幸的是,由于所有这些原因,信任也是每个罪犯选择的武器之一。从知道居民足够信任他们的邻居以至于在炎热的天气里打开窗户的窃贼,到骗取老妇毕生积蓄的骗子,信任是首选武器。就像其他罪犯一样,网络罪犯滥用信任,使用通常称为“社会工程”的策略来访问我们的数字系统并以各种方式窃取数据。但社会工程学并不是滥用信任的唯一方式。了解他们如何利用我们错误的信任决定是防御的第一步。滥用数字信任通常涉及使用我们在日常数字生活中使用的相同应用程序或工具来处理我们的业务或个人事务。不良行为者越来越多地使用这种技术来执行恶意操作,例如发送恶意软件或指向网络钓鱼页面的链接。网络钓鱼背后的一个含义是数字信任的武器化:攻击者利用受害者信任和熟悉的知名品牌。任何类型的工具、应用程序或在线服务都可能被恶意冒充。这解释了为什么最受模仿的品牌通常由LinkedIn、谷歌、亚马逊和微软等在我们的数字生活中发挥重要作用的公司领导。当然,网络钓鱼背后的另一个含义是对人性的利用;例如,激起受害者的好奇心或制造紧迫感(例如需要支付的运费发票)。第二个方面解释了为什么像DHL这样的品牌经常位于排行榜的前列:留下可信品牌的链接邀请确实是一种非常有效的方式。从攻击者的角度来看,信任和好奇心(或紧迫感)的结合是致命的。同样,利用合法的云服务来分发恶意内容,例如恶意软件或钓鱼页面,是一种在过去几年中变得越来越普遍的网络钓鱼技术,这要归功于员工分布以及随之而来的云服务的日益普及(和信任)用它。在这种情况下,攻击者不仅利用个人(看到熟悉的品牌和合法证书)对云应用程序的数字信任,而且利用组织(他们认为云提供商是可信的,所以他们不信任非云网络)流量强制相同的安全控制)云应用程序的数字信任。攻击者还依赖一些额外的因素来提高攻击的成功率;例如,他们无需担心基础设施就绪情况,可以从始终准备就绪、可用且有弹性的基础设施发起攻击。根据最新的Netskope云和威胁报告,在过去12个月中,47%的恶意软件是由云应用程序分发的。同一份Netskope报告还发现,搜索引擎优化(SEO)是一种越来越普遍的技术,用于武器化数字信任。证实这一趋势的是,网络钓鱼下载在过去12个月中一直在上升,攻击者使用SEO技术获取在流行搜索引擎(包括Google和Bing)上排名靠前的恶意PDF。SEO的滥用当然不是什么新鲜事,但它现在比以往任何时候都更有效,因为很多人像现代神谕一样信任谷歌(和一般的搜索引擎)。这意味着他们忽略了一个事实,即即使链接在搜索引擎中排名很高,也不意味着它是合法且无害的。大流行的后果之一是我们已经将信任从现实世界转移到数字世界,为威胁行为者开辟了新的可能性。查看过去12个月中恶意软件下载量最多的类别可以看出这一趋势仍在继续:“技术”(27%)位居榜首,领先于“搜索引擎”(15%)、“新闻与媒体”(11%)、“流媒体和可下载视频”(11%),以及“共享软件/免费软件”(8%)。攻击者将感兴趣的专业工具(技术)或个人习惯(新闻和媒体或流式传输和下载视频)成为对互联网公民的威胁。“共享软件/免费软件”在恶意软件推荐列表中排名靠前的事实引发了另一个重要问题,即个人和组织需要接受新的安全文化相关性。同样,利用此类传播恶意内容并不是什么新鲜事。然而,这是一个个人和企业对公司政策的使用之间界限模糊的时代)可能会给个人和组织本身带来痛苦的后果。当您认为“共享软件/免费软件”也是直接传播恶意软件的顶级类别之一(第五,占5%),仅次于坏习惯对内容服务器和技术尤其危险(均为23%),未分类(14%)和商业(6%)。建立安全文化意味着教育人们在多大程度上可以数字化地信任他们。从技术角度来看,应用于组织的等效概念当然是零信任原则,它否定了隐式信任的概念,并将访问模型从“信任,但验证”范式转变为“验证,然后信任”。当邀请打开链接或从可信来源下载产品时,用户应该采取相同的做法,无论是个人还是专业的人,因此组织也应该采取技术反制措施,采用零信任的方式来确保只有用户使用正确的安全策略可以访问内部资源。原标题:威胁演员如何武器化您的信任作者:PaoloPasseri链接:https://www.infosecurity-magazine.com/blogs/threat-actors-weaponize-trust/
