随着新年钟声的敲响,崭新的2023即将到来。对于网络安全领域的从业者来说,在迎接新的一年的同时,也需要关注新的一年可能存在的网络安全威胁。毕竟,威胁行为者很少等到新年钟声敲响才突然发起新的攻击。威胁通常发展缓慢并适应不断变化的安全策略。对此,F5安全运营中心(SOC)的工程师联手预测了2023年将出现的5大网络安全风险,为企业提供前瞻性的洞察和分析,保护网络安全。威胁#1:影子API将带来不可预测的漏洞如今,应用程序编程接口(API)正在迅速普及。移动应用程序的融合、组织之间的数据共享以及应用程序自动化程度的提高将导致2021年通过以API为中心的开发人员工具Postman提交11.3亿个请求。但是,根据Postman的API现状报告,48%的受访者承认每月至少处理一次API安全事件。与在线安全的所有方面一样,您无法针对未知情况投保。F5认为,影子API代表着越来越大的风险,可能导致大规模数据泄露,而受威胁的组织甚至不知道它的存在。如今,许多企业没有准确的API清单,从而导致一种称为“影子API”的新型威胁。API开发流程成熟的组织会维护API库存的资产目录,理想情况下包含所有可用API端点的信息、可接受参数的详细信息、身份验证和授权信息等。但是,由于许多企业没有API库存,API在受益于持续开发的生产和API将偏离它们在清单中的原始定义。在这两种情况下,都有对组织不可见的公共API。这些API被称为“影子API”,许多应用程序可以通过“影子API”受到攻击,而企业对这些API知之甚少或一无所知。.威胁2:Multi-FactorAuthenticationWillLostIn《2020网络钓鱼和欺诈报告》,由F5发布,F5演示了攻击者如何使用实时网络钓鱼代理绕过多重身份验证(MFA)系统。在活钓鱼代理攻击中使用的虚假网站中,攻击者收集了常见的6位MFA验证码,并用其对真实目标网站进行身份验证。由于攻击是实时发生的,包括短信、移动身份验证应用程序甚至令牌在内的MFA方法都无法击败实时网络钓鱼代理。2020年以来,F5持续分享绕过MFA的技术增长趋势报告,从会话重用攻击到可窃取MFA代码的移动恶意软件,帮助企业高效规避网络攻击。为了减少MFA阻力,许多新的解决方案都依赖于推送通知。当用户尝试登录系统时,现代解决方案不会要求他们手动输入多重身份验证代码,而是向用户注册的手机发送推送通知,要求他们允许或拒绝登录操作。然而,MFA??疲劳攻击只会变得更加频繁和有效。这种攻击的目的是用大量的身份验证请求来骚扰受害者,导致他们意外或不情愿地允许通知请求。这种类型的攻击会给公司带来直接风险,因为员工通常是最容易受到社会工程攻击的威胁载体。除此之外,MFA还充当关键安全控制,可用于防止对关键资产的未授权访问。通常,由于MFA等额外的补偿控制,公司会忽略泄露的密码,或使用要求较低的密码类型。MFA的钓鱼工具包和MFA炸弹打破了这种补偿控制,重新强调了密码的重要性、纵深防御以及向零信任架构的转变,其中企业和个人的安全也需要考虑更多因素。网络安全中发生的大部分事情是防御者和攻击者之间的军备竞赛,身份验证方法也不例外。目前,攻击者正在使用各种技术来适应MFA解决方案,包括域名仿冒、帐户接管、MFA设备欺骗和社会工程。因此,应用程序和网络维护者正在考虑下一步该做什么。目前人们对生物特征认证持怀疑态度,因为指纹等生物特征是不可变的,因此很容易被窃取。然而,行为更难欺骗,通常是针对用户,尤其是在大规模情况下。这可能包括一般行为操作,如使用的浏览器和获取的地理位置,特定于应用程序的行为,如网站导航模式和停留时间,以及用户行为,如双击速度、鼠标移动模式和打字速度。短期内,快速身份在线(FIDO)联盟的护照解决方案可能是第一个真正有效地减轻社会工程攻击的解决方案,因为用于验证用户身份的加密密钥基于他们访问的网站地址。这项新技术被普通用户采用的速度有多快,还有待观察。威胁三:云部署故障排除将带来更多问题预测云部署安全事件听起来像是老生常谈,但随着云应用程序漏洞的频率和规模不断增加,F5认为这是一个值得重申的问题。正如《2022应用保护报告》中F5强调的那样,大多数云事件都与配置错误有关,通常是过于广泛的访问控制。因此,虽然这看起来很容易,但F5安全运营中心(SOC)的工程师已经发现了许多漏洞,以帮助修复云应用程序并识别其中许多问题的原因。事实上,无论是出于意外还是出于故障排除目的,许多云用户都在努力在用户和网络级别正确配置访问控制。2022年,F5SOC经常看到用户创建临时服务用户,然后通过内置身份和访问管理(IAM)策略或内联策略为他们分配非常广泛的权限。这些临时用户通常是为了解决问题而创建的,或者是为了让依赖于特定用户或角色的应用程序重新启动并运行。F5经常看到这种临时配置变成永久配置,这使得回滚更改变得更加困难。此外,如果用户使用的是长期固定凭据而不是短期凭据,则这些凭据也有可能被盗或以某种方式受到损害。威胁4:开源软件库将成为攻击的主要目标软件正变得越来越相互依赖。许多应用程序和服务都是基于开源代码库构建的,但很少有组织能够准确说明所使用的每个库。随着防御者加固应用程序“边界”——即面向公众的Web应用程序和API——威胁行为者自然会寻找其他媒介。攻击目标越来越多地转向应用程序中的第三方代码、代码库和服务。硬件和软件代码库中多达78%的代码由开源代码库而非内部开发组成。作为攻击者,如果您知道超过四分之三的应用程序代码是由开源代码库维护的,那么以这些代码库为目标就变得非常合理。近年来,F5发现了越来越多的攻击向量,这些向量对依赖开源软件库的企业构成威胁:开发者帐户遭到入侵,通常是由于缺乏MFA,导致恶意代码被插入到广泛使用的库中和谷歌浏览器扩展;特洛伊木马攻击和域名仿冒攻击,威胁行为者开发的工具看起来具有侵略性或名称与广泛使用的开源软件库非常相似;该库的原作者故意插入了破坏性代码和其他恶意代码。显然,上述行为的出现给应用开发带来了新的挑战。许多现代应用程序利用软件即服务(SaaS)来实现安全性,例如集中式身份验证、数据库即服务或数据丢失防护(DLP)。如果攻击者可以破坏开源软件(OSS)的代码库或应用程序使用的SaaS产品,那么攻击者就在应用程序内部立足并可以绕过Web应用程序防火墙和API网关等边界防御来执行攻击。这个立足点可用于不同形式的横向移动(例如远程炮弹、监视、数据泄露)。因此,软件开发人员希望能够更好地了解应用程序的组成部分,最重要的是列举所有软件组件的软件物料清单(SBoM)。这将使软件产品的最终用户能够更快、更有效地确定漏洞是否影响该产品。但与此同时,SBoM的广泛采用也会带来大量的技术债。企业将不得不进行一些重大的内部投资,以更新遗留系统并修复多达数千个错误,或者考虑从头开始构建新一代产品。当然,客户总是不得不接受他们选择的产品中存在大量未修复的错误,因为它们几乎都是一样的。因此,企业应该在产品上进行全面的创新,而不是置之不理。而对于未公开或零日漏洞,检测攻击者的最佳机会是观察服务“内部”的软件组件和应用程序之间的内部“东西”流量,以及基础设施即服务(IaaS)如何相互作用。今天,这些交互被云安全态势管理(基础设施)、云工作负载保护平台(跨平台)以及应用程序检测和响应(应用层)感知;这些独立的市场需要整合起来,以提供一个整体视图,这是高效准确地检测应用程序内部威胁所必需的。威胁五:勒索软件将进一步扩大加密恶意软件已经十分猖獗。但这不仅仅与“加密数据影响”有关,因为MITRE开发的对抗策略、技术和公共知识库框架都引用了勒索软件。F5发现,包括非加密类型在内,恶意软件是2021年企业数据泄露的最大原因。攻击者的重点是泄露或窃取数据。一旦他们有了这些数据,他们就可以通过不同的方式将其货币化。F5SOC发现针对数据库的勒索软件呈上升趋势。有组织的网络犯罪将继续开发勒索软件技术,并将特别关注关键基础设施。明年,针对存储企业和政府关键数据的云数据库的勒索软件攻击将显着增加。与在文件系统级别加密文件的传统恶意软件不同,数据库勒索软件对数据库内部的数据进行加密。同时,攻击者将增加尝试通过各种诈骗和下游欺诈手段(例如申请新信用卡)直接从受影响的个人获取漏洞数据的次数。从攻击者的角度来看,如果窃取客户的个人信息并不能通过勒索被入侵的组织来赚钱(例如,索要赎金、威胁释放知识产权等),那么他们的目标就会转移到个人身上。
