RSAC 2021观察：一些值得警惕的攻击趋势

SANS研究所的研究员Ed Skoudis将破坏软件完整性视为他所看到的最大的攻击向量之一。软件完整性包括构成现代应用程序的所有嵌入式库和组件的供应链安全性。

Skoudis表示，“我们今天的软件开发和分发过程着重于速度，以更快地推出新代码和功能，但对信任和网络安全并未足够重视，这是一个非常深刻的问题。”

根据Skoudis的说法，对于软件完整性和软件供应链管理，没有唯一的解决方案。组织需要做的第一件事是要知道其环境中究竟拥有什么软件，以便对其进行保护。下一步就是掌握清晰的软件清单，该清单本质上可以识别组织IT中任何给定软件应用程序的所有组件。组织还应将威胁搜寻能力整合到工作流程中，以帮助主动寻找潜在风险。

不正确的会话处理成为一种很大的安全风险。每次用户在登录到应用程序或服务时，系统都会授予其某种形式的访问令牌，以启用对会话的访问。但某些会话并不能正确地保护令牌，从而可能会造成数据泄漏。

当然，组织可以通过一些简单的步骤来减少会话处理不当带来的风险。其中最重要的是，用户在完成设备和应用程序会话后及时注销。

用户往往希望让设备保持随时可用的状态，当打开屏幕后即可随时选择相应的选项，设置在接下来的7天中可以默认使用此访问权限。但这些操作并不安全。安全专家建议开发人员要将过期的令牌及时移出网络。

还有一种潜在的风险是来自恶意目的的人工智能和机器学习。当然，这类攻击方式现在并不算“新鲜”，并且现如今这类攻击形式尚未进入真正成熟阶段，之后的发展形势如何，尚未可知，但其危害之大不得不引起我们的警惕。攻击者通过机器学习来操纵训练数据集，轻者影响人工智能系统原本的动作，重者甚至还可能利用恶意的人工智能技术发动攻击。近年来已经出现一些类似的攻击事件。

因此，训练数据很重要，组织在利用人工智能时，需要充分了解这些模型，弄清楚它们在做什么，以及如何对其进行调整。

SANS研究所专家Katie Nickels警告称，尽管勒索软件不是新的威胁，但2021年的勒索软件攻击实际上正在引入新的风险。

该专家指出，从历史上来看，勒索软件一直被视为可用性问题。也就是说，攻击者加密用户数据，致使用户无法访问这些数据。在Katie Nickels看来，勒索软件不再只是可用性问题。它也越来越多地与数据渗透相关联。攻击者现在也正在获取数据，然后将其用于不同目的，然后再加密数据并保存以进行勒索。

在2020年第四季度，该机构发现超过70％的勒索软件事件都涉及某种形式的渗透和勒索。这是最危险的新攻击技术之一，因为这是新常态，不仅要考虑数据的可用性，还要考虑数据的机密性，并意识到攻击者很可能会渗透并窃取数据。

随着勒索软件已从可用性问题转移到其他方面，有关组织应如何保护自己的建议也陆续被提出。Nickels认为，仅仅拥有离线备份是不够的，组织还应该采取其他预防性措施，例如禁止使用网络中不需要的文件共享工具，这有助于防止某些数据泄露事件的发生。

勒索软件攻击的其他危害形式也是非常值得警惕的。勒索软件攻击已经不仅仅是勒索软件本身的攻击威胁，随着利益链的不断扩大，很多其他角色也进入该攻击链条之中，并成为攻击者的帮凶。例如，随着勒索软件即服务（RaaS）的发展，出现了一种支持“合作伙伴”对受害者进行攻击并与勒索软件的开发者分享收益的模式。由于巨大的利益诱惑，这种攻击产业链还将进一步变得复杂。

随着后疫情时代的发展，网络安全也进入新的发展时期，我们仍旧很难找到一个绝对可靠的网络安全防护方案。尽管未来来自网络安全的挑战依旧很大，但我们也没必要为此感到不知所措。我们不妨从某个地方开始，例如，从改善检测范围开始，一点一点的进行改善，总归是好的。