Black Hat大会上的14个网络安全趋势

不安全世界中的安全。

随着Black Hat 2021的开幕，FreeBuf跟踪了大会的主要议题，并且与大家分享CRN与14家知名网络安全供应商的高管的谈话，从勒索软件、供应链和关键基础设施攻击到第三方风险管理、零信任体系结构和人工智能威胁情报，了解安全高管们关注的网络安全趋势。

供应链漏洞的联邦测试

预计美国政府将在SolarWinds攻击事件后采取行动保护软件供应链安全，而Splunk的安全战略师Ryan Kovar表示，希望看到技术供应商更好地检测供应链漏洞。

譬如，作为政府供应商的技术公司应事先要求其产品经过NIST或其他第三方实体的测试和认证。通过一个集中的机制来检查联邦政府使用的软件的安全性和质量，这也有助于商业领域使用的软件的安全性。

离地攻击（living-off-the-land）

攻击者越来越多地利用受害者组织使用的合法工具，通过融入受害者的流量来更好地隐藏自己。Trend Micro威胁情报副总裁Jon Clay认为，攻击者可以利用合法工具实施攻击链的每一个环节——从初始访问、资产发现、横向移动到数据外泄和凭证盗窃。

离地攻击是一种反取证行动，因为这些攻击迫使企业建立机制，对Cobalt Strike、Mimikatz和PS Exec等工具的使用进行检查，从而确定一些特定事件是合法的还是非法的。

Trend Micro的数据表示，有20到30种合法工具正被勒索软件攻击者用于恶意目的。

关键基础设施攻击

关键基础设施供应商通常只拥有小型IT团队且安全专家有限，没有大型办公室或数据中心，其收益往往投资于提高电力或石油产量。因此，他们难以在复杂的网络攻击者面前保护自己的资产数据。

Infoblox产品营销副总裁Anthony James表示，关键基础设施设备通常启用IP以实现可管理性和集中控制，但这使得它像医院或医疗设备一样容易受到网络攻击。同时，关键基础设施环境高度分散，计算能力有限，为了安全的考虑，启用IP的设备就应该与核心网络分离，因为这些设备对业务运营至关重要，但不需要互联网接入。

因此，关键基础架构供应商应评估哪些设备实际需要连接到管理控制台，并制定策略来限制允许与控制台通信的内容。

第三方风险管理

企业越来越意识到，他们需要投入更多的资源以确保第三方供应商不会成为威胁的来源。

企业应首先审查供应商合同，以确保其供应商拥有合适的人员、控制措施和治理结构，从而可以有能力应对网络风险。此外，企业应该用最严格的方式审计其最重要的第三方供应商（例如直接访问组织数据的第三方），而在评估适当的安全策略是否到位时，可见性是关键。

零信任架构

零信任架构可以最大限度地降低与供应链问题和勒索软件威胁相关的风险。Trustwave Government Solutions总裁Bill Rucker表示，零信任的核心是了解数据所在的位置以及哪些用户可以访问哪些数据，随着机构越来越多地推动彼此共享更多数据，零信任方法对于数据安全至关重要。

此外，目前有多种工具可以扫描网络并确定数据所在的位置，但这些工具的质量差异很大，因此，组织也需要开始确保他们拥有合适的工具来评估数据位置和归属。

被窃数据的武器化

Barracuda首席技术官Fleming Shi发现，很多用户和组织的数据在以前的攻击事件中被盗，并且又在随后的攻击中被武器化。攻击者利用他们已经获取的个人身份信息再次获取用户的凭据和密码，然后将这些目标用户登录的SaaS应用程序作为攻击目标。

人工智能在勒索软件侦察中的应用

Fortinet首席营销官兼产品执行副总裁John Maddison发现，网络防御者正越来越多地使用人工智能进行侦察，从而了解对手如何使用勒索软件。单个恶意DNS调用可能就是勒索软件攻击的开始，因此公司利用AI连接这些点是至关重要的。

人工智能可以查看数十亿条数据，将特定地理或行业中的蜜罐或接收器活动与公司已经熟悉的漏洞联系起来。人工智能在功能层面上取得了重大进展，这使组织能够在端点、网络或应用程序本身中内进行推断或链接边缘末端。

供应链攻击

攻击者越来越意识到，他们可以通过损害供应商来同时渗透数百甚至数千名客户。因此，企业必须确保他们能够了解自己的供应链、与每个供应商相关的风险以及在发生事件时快速补救的方法。

由于供应链攻击为黑客提供了良好的投资回报——只需渗入一个战略企业，就可以在数千个组织中分发恶意软件，因此供应链攻击已经从高级网络攻击者对特定行业实施的武器化攻击转变为更为普遍的恶意软件攻击的一部分。

对敏感数据缺乏控制

根据Netskope创始人的说法，攻击者专注于找出并窃取企业的敏感数据。由于数据涉及大多数公司的知识产权，一旦泄露，可能对公司的生存构成威胁。

据悉，一个公司平均使用近1000个云应用程序，其中90%不归IT所有。同时，由于超过一半的敏感数据存在于云中，基于云的数据防泄漏 (DLP) 对于帮助公司确定哪些数据流向何处至关重要。

在勒索软件攻击中使用0day

Sophos首席执行官Kris Hagerman表示，勒索软件攻击的复杂性和数量都出现了爆炸性增长，勒索软件攻击中越来越多地使用0day，这表明黑客更加老练，并且专门针对某些组织。

同时，勒索软件即服务（RaaS）业务的激增意味着实际实施攻击的组织或黑客可能没有任何技术专长，有时甚至不知道如何编写代码。

注：Racoon Stealer窃取木马以每周75美元的价格对外租用，为犯罪分子提供一个收集受害者信息、付款和赎金的有效入口。

攻击者向供应商和客户索要赎金

攻击者不再满足于简单地加密受害者数据并拒绝受害者访问其自己的系统。目前，勒索软件已经从瞄准单个设备或服务器发展为通过造成广泛破坏来威胁整个组织。

简单来说，就是勒索软件攻击者通过供应链攻击，向受害企业及其上下游客户索要赎金，否则就泄露敏感数据。

客户端攻击

DevOps团队通常具备API安全性，并试图找出如何在满足现代后敏捷开发期望的同时尽可能高效地实现安全性。因此，开发人员面临在保持安全性的同时更快地发布应用程序和更新的巨大压力。

不过，微服务应用程序和库的使用增加推动了攻击面的急剧扩大。在客户端攻击中，客户可能会从公司的电子商务网站下载恶意代码，从而对公司的品牌和信誉造成重大损害。

商业网络犯罪日趋复杂

随着民族国家组织越来越多地将攻击目标对准私人商业和民间组织，受害者面临的威胁挑战也是急剧变大。

Varonis 联合创始人、总裁兼首席执行官 Yaki Faitelson 表示，由于网络保险政策的普及，网络犯罪分子发现实施勒索软件攻击更容易获得报酬，然后这些威胁组织又将赎金的收益投资于获取更复杂的黑客工具。

此外，网络犯罪分子通过供应链攻击分发勒索软件，并无缝地将自己伪装到受害者的环境中，从而使得他们的攻击手段更为老练也更为复杂。而与数字化转型相关的生产力提升、从任何地方都可以访问数据的边缘趋势，都伴随着更高的风险和更大的攻击面。

更广泛地采用安全最佳实践

攻击者通常会选择阻力最小的攻击路径，供应链攻击就是一个以小博大的典型。

因此，即便是一些低调的企业，如果拥有广泛的客户访问权限和数据也会吸引黑客的注意。但由于这些供应商有时没有采用基本的安全最佳实践，例如双因素身份验证，因此很容易成为攻击的跳板。

原文来自: freebuf.com