点进来之后,你发现作者竟然在钓鱼!
言归正传!在网络渗透过程中,攻击者在构建好攻击武器之后,最需要做的就是将恶意代码或者其他什么东西,通过一定的方式植入到目标系统中去。
通常这个过程被叫做载荷投递,就像邮递员投递邮件一样,是作为攻击者正式开始挑战防守方防御体系的第一步。
颇具迷惑性的钓鱼邮件攻击
钓鱼攻击是载荷投递最简单也是最常用的办法。
上述例子只是一次攻击者利用特殊热点构造的一次钓鱼攻击,相比之下,钓鱼邮件的使用更为普遍,而且可以向特定人群精准发送诱饵。诱饵往往都和当下流行的热点、时事以及目标单位的工作生活息息相关,具有非常强的迷惑性。
当然,绝大多数的钓鱼邮件,通过肉眼即可轻松识别。比如有的发件人邮箱信息与官方邮箱不一致、有的邮件正文一看就是假的、有的附件是.exe等格式的可执行文件。
但即便如此,提高员工的安全意识,依然是防御钓鱼邮件攻击的不二法宝,只要不点开来路不明的邮件,再高明的钓鱼手法也难以奏效。
可对于一家拥有数万乃至数十万员工的大型企业而言,想让所有员工都保持统一的高水平安全意识,实在是一件很难办到的事情。
攻击者非常明确知道问题所在,人对于自己感兴趣的事情,总是充满了好奇心,所以钓鱼邮件攻击才能屡试不爽。
奇安信邮件威胁检测系统采用多种的病毒检测引擎,结合威胁情报以及URL信誉库对邮件中的链接和附件进行恶意判定,并使用动态沙箱技术、邮件行为检测模型、机器学习模型发现高级威胁及定向攻击邮件。在多次实战攻防演习中(包括奇安信内部举行的防钓鱼测试),该系统均能有效拦截钓鱼邮件。
隐藏在加密流量中的恶意软件
Strategy Group的最新调研报告显示,超过95%的企业明确表示遭遇过由于加密流量引起的安全事件。
为了解决性能问题,奇安信新一代智慧防火墙引入了高性能SSL流量解密卡,其内置的加解密引擎,将解密性能提升10倍,同时威胁情报、大数据分析和安全可视化等创新安全技术,能够有效防御并预防病毒、漏洞利用、恶意软件、僵尸网络等攻击载荷从网络边界侵入。
这些经过解密的流量在经过防火墙初步过滤之后,还会以流量镜像的方式,借助明文旁路模式、SSL解密的明文隧道模式同步给其他旁路检测设备(如IDS/NTA),从而实现了“一次解密、多次检测”,大幅降低了反复解密带来的性能损耗。
一旦发现安全问题,奇安信新一代智慧防火墙提供了最多百万级别的IP封禁能力,黑名单导入后即可立即生效,而且几乎没有任何性能损失。
无处不在的API调用
除此之外,还有一个特殊组件不得不提——API。
所以,API接口经常会直面攻击者的“枪口”,比如撞库、暴力破解、身份仿冒、未授权访问等等。
由于API是应用程序之间许多重要数据流转的通道,所以伴随着API经济的快速发展,针对API的攻击行为越来越多,并且针对API的攻击已经成为近两年实战攻防演习的主流载荷投递手段之一,比如去年就曾曝出大量有关API接口的零日漏洞遭到攻击队利用。
API的攻防战早已打响。
实际上,防守队并不缺乏针对API的防护手段。作为Web应用程序的重要组件之一,部分API接口当然会受到WAF(Web应用防火墙)的保护。但是API接口不仅仅是通过HTTP协议承载的,他的承载方式很多。而WAF通常基于正则表达式或者语义分析引擎来执行HTTP/HTTPS的安全规则,所以WAF的主要防护对象不是API,而是Web资源。
并且从去年的实战攻防演习结果来看,WAF在防范0day漏洞利用时,几乎很难奏效。
面对严峻的形势,Gartner一语道出了API安全防护的要点:企业需要的是在清晰了解API全量资产的前提下,更注重API运行时对风险的及时准确识别。
对此,奇安信API安全卫士聚焦打造持续监测响应的API安全防护能力,建立基于用户访问行为的用户画像或行为模型,发现API未认证访问、弱口令登录、未授权访问、异常访问行为等。此外,该产品还具有基于自动化发现并可视化展示及管理API能力,能够及时发现与预警僵尸、未知等异常API,以及避免在API设计之初由于缺乏统一规范导致后期大量API无法统一管理而引入的安全问题。
不难看出,奇安信API安全卫士防护的内容已经转变成针对API调用过程中的逻辑、参数、数据字段、文件这个维度,关注的焦点是以API为核心的API调用过程,对于防范攻击队借助API通道投递攻击载荷更加有实战意义。
相关阅读
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论