在上个月结束的RSAC2021大会上,由SANS研究所专家主持的一年一度的“最危险的五种新型攻击技术及其对策大会”成为一大看点。相比2020年的威胁清单,今年RSAC大会上呈现的很多攻击向量并不全是新的,一些老威胁“复活”了,值得注意的是,会议上研究人员讨论的威胁不仅限于这里有五个:威胁一:指挥与控制(C2)卷土重来SANS研究所的讲师埃德·斯科迪斯(EdSkoudis)强调“C2的黄金时代”是他所见过的最大的新威胁之一。C2代表命令控制,通常与从中央命令点控制的僵尸网络活动相关联。Skoudis确定了企业可以保护自己免受C2活动影响的几种方法。他的建议之一是要求防御者加强对出站流量的控制,检测信标和异常日志。他还建议安全专家强制执行应用程序白名单,以限制可以在企业内部运行的内容。威胁2:本地材料Skoudis强调的另一个威胁趋势是“本地材料”,其中攻击者使用组织网络中已经存在的工具从事恶意活动以牟利。“如果你是攻击者,你可以利用操作系统本身的资源首先攻击那台计算机,然后将其传播到环境中的其他系统,这样你就可以用本地材料自给自足,”他说。“就地取材”的概念已于2009年被报道。企业可以采取一些措施来保护自己免受“本地采购”的影响。Skoudis推荐的一组资源是LOLBAS项目,它提供的工具可帮助识别和限制“松散材料”攻击的风险。威胁三:深入驻留由于威胁持续存在,Skoudis警告说,恶意软件现在可以像以往一样深入地渗透到设备中。例如,攻击者可以将恶意软件嵌入USB充电线。就充电电缆而言,即使企业清除了系统中驻留的恶意软件,下次用户插入电缆时,恶意软件也会重新感染整个系统。Skoudis指出,对于个人和公司来说,重要的是不仅不要将任何东西插入系统,而且还要确保他们从可信来源获得电缆和其他外围设备。威胁四:移动设备完整性SANS研究所高级讲师兼数字智能主管HeatherMahalik强调,移动设备的风险是她最大的威胁之一。考虑到手机已成为日常生活中不可或缺的一部分,她指出,如果手机落入坏人之手,后果不堪设想。她不仅指的是丢失或被盗的设备,还指的是翻新设备未正确擦除前所有者数据的风险。她还提到了AppleIOS设备中存在checkm8漏洞的风险,该漏洞允许checkra1n越狱。威胁5:谨防2FA双因素身份验证的“残留”业界建议使用双因素身份验证(2FA)作为帮助提高用户安全性的最佳实践,但这不是万能药。Mahalik指出,仅仅通过输入(短信)验证码来部署2FA是不够的。她还警告说,一些应用程序只需要一个电话号码(用于所有帐户验证),如果用户放弃他们的电话号码并且运营商随后将该号码重新发放给新客户,则存在风险。“密码和2FA是相辅相成的。如果只是其中之一,身份验证方案就有容易受到攻击的风险,”她说。Mahalik建议,当用户获得新电话号码时,他们应该确保他们了解进入2FA的每个应用程序。有权将双因素身份验证手机号码更改为新手机号码。威胁六:企业安全边界漏洞SANS研究所研究总监JohannesUllrich认为,企业边界漏洞风险是最大的威胁之一。在过去的一年里,广泛部署的企业防火墙和边界安全设备中出现了许多公开报道的问题。除了打补丁,乌尔里希还建议用户不要将企业边缘设备上的管理界面暴露在互联网上。威胁#7:本地主机APIUllrich认为值得关注的新威胁之一是嵌入在调用第三方资源的企业应用程序中的本地主机API。虽然API的目的是启用技术代理支持等功能,但它们也使企业面临潜在风险。为了限制风险,Ullrich建议用户在可能的情况下识别正在侦听系统端口的内容并监控应用程序如何调用外部资源。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
