F5預(yù)計2023年影子API將帶來不可預(yù)知的漏洞

12月26日消息,全新的2023年就將到來,F(xiàn)5安全運(yùn)營中心(SOC)的工程師們預(yù)測了2023年會出現(xiàn)的五大網(wǎng)絡(luò)安全風(fēng)險,從而為企業(yè)提供前瞻性洞察分析,為網(wǎng)絡(luò)安全保駕護(hù)航。

威脅一:影子API將帶來不可預(yù)知的漏洞

今天,應(yīng)用程序接口(APIs)正在迅速普及。移動應(yīng)用的融合、組織間的數(shù)據(jù)共享以及不斷增加的應(yīng)用程序自動化,使得在2021年有11.3億個請求通過以API為中心的開發(fā)者工具Postman提交。然而,根據(jù)Postman發(fā)布的API狀況報告中顯示,48%的調(diào)查對象承認(rèn)每月要處理至少一次API安全事件。

與網(wǎng)絡(luò)安全的所有方面一樣,你無法為未知內(nèi)容提供保障。F5認(rèn)為,影子API代表了一種日益增長的風(fēng)險,可能會導(dǎo)致大規(guī)模數(shù)據(jù)泄露,而受到侵害的組織甚至不知道這種風(fēng)險的存在。

時至今日,許多企業(yè)沒有準(zhǔn)確的API庫存清單,因此導(dǎo)致了一種新的威脅形式,即“影子API”。擁有成熟API開發(fā)流程的企業(yè)會保存一個API庫存清單的資產(chǎn)目錄,理想狀態(tài)下會包含所有可用的API端點(diǎn)信息、可接受參數(shù)的細(xì)節(jié)、認(rèn)證和授權(quán)信息等。然而,許多企業(yè)由于沒有API庫存清單,生產(chǎn)中的API和受益于持續(xù)開發(fā)的API將會偏離于它們在清單中的原始定義。在這兩種情況下都會出現(xiàn)組織不可見的公開API,這些API被稱為“影子API”,而許多應(yīng)用會通過“影子API”被攻破,而企業(yè)對這些API了解甚少,甚至毫無察覺。

威脅二:多重身份驗(yàn)證將失去效力

在F5發(fā)布的《2020網(wǎng)絡(luò)釣魚和欺詐報告》中,F(xiàn)5演示了攻擊者如何使用實(shí)時網(wǎng)絡(luò)釣魚代理來繞過多重身份驗(yàn)證(MFA)系統(tǒng)。在實(shí)時網(wǎng)絡(luò)釣魚代理攻擊中使用的虛假網(wǎng)站中,攻擊者收集了常見的6位數(shù)MFA驗(yàn)證碼,并用它來驗(yàn)證真正的目標(biāo)網(wǎng)站。由于攻擊是實(shí)時發(fā)生的,包括短信、移動端認(rèn)證應(yīng)用,甚至令牌在內(nèi)的MFA方法都沒有能夠打敗實(shí)時網(wǎng)絡(luò)釣魚代理。自2020年以來,F(xiàn)5持續(xù)分享了繞過MFA的技術(shù)增長趨勢報告,從會話重用攻擊到可竊取MFA代碼的移動惡意軟件,幫助企業(yè)高效規(guī)避網(wǎng)絡(luò)攻擊。

為了減少M(fèi)FA阻力,許多新的解決方案依賴于推送通知。當(dāng)用戶試圖登錄一個系統(tǒng)時,現(xiàn)代解決方案不是要求他們手動輸入多因素認(rèn)證代碼,而是向用戶的注冊手機(jī)發(fā)送推送通知,要求他們允許或拒絕登入操作。

但是,MFA疲勞攻擊只會越來越頻繁和有效。這種攻擊的目的是通過用大量的認(rèn)證請求騷擾受害者,使他們意外或無奈地允許通知請求。這種類型的攻擊將為公司帶來直接的風(fēng)險,因?yàn)閱T工通常是最容易受到社交工程攻擊的威脅載體。除此之外,MFA作為一項(xiàng)關(guān)鍵的安全控制,可用于阻止對關(guān)鍵資產(chǎn)的未授權(quán)訪問。通常情況下,公司會忽略被破解的密碼,或使用要求較低的密碼類型,因?yàn)橛蓄~外的如MFA的補(bǔ)償性控制。適用于MFA的網(wǎng)絡(luò)釣魚工具包和MFA炸彈攻擊破除了這種補(bǔ)償性控制,并再次凸顯了口令、深度防御和轉(zhuǎn)向零信任架構(gòu)的重要性,在這種架構(gòu)中,企業(yè)及個人的安全還需要考慮更多因素。

網(wǎng)絡(luò)安全領(lǐng)域的大部分情況都是防御者和攻擊者之間的軍備競賽,認(rèn)證方法也不例外。當(dāng)前,攻擊者正在使用各種技術(shù)來適應(yīng)MFA解決方案,包括誤植域名、賬戶接管、MFA設(shè)備欺詐和社交工程。因此,應(yīng)用和網(wǎng)絡(luò)防御者正在考慮下一步的應(yīng)對策略。目前,人們對生物識別認(rèn)證持懷疑態(tài)度,因?yàn)橹讣y等生物特征是不可改變的,所以容易被竊取。然而,行為則更難被用于欺騙,通常是針對用戶的行為,尤其是在規(guī)模上更是如此。這可能包括普遍的行為動作,如使用過的瀏覽器和所獲取的地理位置,網(wǎng)站的導(dǎo)航模式、停留時間等針對應(yīng)用的行為,以及諸如雙擊速度、鼠標(biāo)移動模式、打字速度等用戶行為。

短期內(nèi),在線快速身份認(rèn)證(FIDO)聯(lián)盟的通行證解決方案可能是第一個真正有效緩解社交工程攻擊的方法,因?yàn)橛糜谡J(rèn)證用戶的加密密鑰是以他們正在訪問的網(wǎng)站地址為基礎(chǔ)的。這項(xiàng)新技術(shù)能多快被普通用戶所采用,仍有待觀察。

威脅三:云部署故障排除將帶來更多問題

預(yù)測云部署的安全事件,聽起來是老生常談,但隨著云應(yīng)用的違規(guī)頻率不斷增加,且規(guī)模巨大,F(xiàn)5認(rèn)為這是值得重申的問題。正如F5在《2022應(yīng)用保護(hù)報告》中強(qiáng)調(diào)的那樣,大多數(shù)云事件都與配置錯誤有關(guān),通常是過于廣泛的訪問控制。因此,雖然可能看起來是能輕易做到的事情,但F5安全運(yùn)營中心(SOC)的工程師們依然發(fā)現(xiàn)了很多幫助補(bǔ)救云應(yīng)用的違規(guī)行為,并認(rèn)識到這些眾多問題存在的原因。

實(shí)際上,無論是意外還是出于故障排除的目的,許多云用戶都致力于在用戶和網(wǎng)絡(luò)層面設(shè)置正確地配置訪問控制。2022年,F(xiàn)5SOC時??吹接脩魟?chuàng)建臨時服務(wù)用戶,然后通過內(nèi)置身份和訪問管理(IAM)策略或內(nèi)聯(lián)策略為其分配非常廣泛的權(quán)限。這些臨時用戶的創(chuàng)建通常是為了排除問題,或者是為了讓依賴特定用戶或角色的應(yīng)用重新啟動和運(yùn)行。F5經(jīng)??吹竭@種臨時的配置變成永久性的配置,回滾變化也變得更加困難。此外,如果用戶使用的是長期固定的憑證,而不是短期憑證,那么這些憑證也有可能以某種方式被盜或泄露。

威脅四:開源軟件庫將成為攻擊的主要目標(biāo)

軟件正變得越來越相互依賴,許多應(yīng)用和服務(wù)都基于開源代碼庫進(jìn)行構(gòu)建,但很少有企業(yè)能夠準(zhǔn)確地說明所使用的每一個庫。隨著防御者加強(qiáng)應(yīng)用“周邊”(即面向公眾的網(wǎng)絡(luò)應(yīng)用和API),威脅者自然會將目光投向其他載體。攻擊目標(biāo)逐漸變?yōu)閼?yīng)用中第三方代碼、代碼庫和服務(wù)。在硬件和軟件代碼庫中,多達(dá)78%的代碼由開源代碼庫組成,而非內(nèi)部開發(fā)。作為攻擊者,如果知道一個應(yīng)用超過四分之三的代碼是由開源代碼庫維系的,那么將這些代碼庫作為目標(biāo)就變得異常合理了。

近年來,F(xiàn)5發(fā)現(xiàn)了越來越多的攻擊方式,為依賴開源軟件庫的企業(yè)帶來威脅:

? 開發(fā)者賬戶被泄露,通常是由于缺乏MFA,導(dǎo)致惡意代碼被插入到廣泛使用的庫和谷歌瀏覽器擴(kuò)充程式中;

? 木馬攻擊和誤植域名攻擊,威脅者開發(fā)的工具看起來攻擊性強(qiáng),或與廣泛使用的開源軟件庫有非常相似的名字;

? 以黑客攻擊的方式,由開源軟件庫的原作者故意插入破壞性和其他惡意代碼。

很顯然,上述行為的出現(xiàn)為應(yīng)用開發(fā)的發(fā)展帶來新挑戰(zhàn)。許多現(xiàn)代應(yīng)用利用軟件即服務(wù)(SaaS)進(jìn)行安全防護(hù),如集中式認(rèn)證、數(shù)據(jù)庫即服務(wù)或數(shù)據(jù)泄密防護(hù)(DLP)。如果攻擊者能夠破壞開源軟件(OSS)的代碼庫或被應(yīng)用消耗的SaaS產(chǎn)品,那么攻擊者就在應(yīng)用內(nèi)部有了立足點(diǎn),能夠繞過如Web應(yīng)用防火墻和API網(wǎng)關(guān)的外圍防御,從而進(jìn)行攻擊。

這個立足點(diǎn)可以被用來進(jìn)行不同形式的橫向移動(如遠(yuǎn)程外殼、監(jiān)控、數(shù)據(jù)滲漏)。這樣做的結(jié)果是,軟件開發(fā)人員希望應(yīng)用所組成的組件有更強(qiáng)的可見性,最重要的是有一個列舉所有軟件組件的軟件材料清單(SBoM)。這將使軟件產(chǎn)品的終端用戶能夠更迅速有效地確定漏洞是否會影響該產(chǎn)品。

但同時,SBoM的廣泛采用也將帶來大量技術(shù)債務(wù)。企業(yè)將不得不做出一些重大的內(nèi)部投資,使舊系統(tǒng)達(dá)到最新水平,并修復(fù)多達(dá)數(shù)千的漏洞,或者考慮從頭開始打造新一代的產(chǎn)品。當(dāng)然,客戶總要接受他們所選擇的產(chǎn)品中存在大量未修復(fù)的漏洞,因?yàn)樗鼈兌际谴笸‘惖?。因此,企業(yè)應(yīng)當(dāng)對產(chǎn)品進(jìn)行全面革新,而不是置之不理。

而對于未披露漏洞或零日漏洞,檢測攻擊者的最佳機(jī)會是觀察軟件組件和服務(wù)‘內(nèi)部’應(yīng)用之間的內(nèi)部‘東西向’流量以及基礎(chǔ)架構(gòu)即服務(wù)(IaaS)的交互方式。現(xiàn)如今,這些互動可以被云安全態(tài)勢管理(基礎(chǔ)架構(gòu))、云工作負(fù)載保護(hù)平臺(跨平臺),以及應(yīng)用檢測與響應(yīng)(應(yīng)用層)所感知;這些獨(dú)立市場需要整合起來,以提供一個整體視圖,而這是高效、準(zhǔn)確地檢測應(yīng)用內(nèi)部威脅所必需的。

威脅五:勒索軟件將進(jìn)一步擴(kuò)張

加密惡意軟件現(xiàn)在已經(jīng)十分泛濫了。但是,正如MITRE開發(fā)的對抗性戰(zhàn)術(shù)、技術(shù)和公共知識庫框架提及的勒索軟件,這并不全是“加密數(shù)據(jù)的影響”。F5發(fā)現(xiàn),包括非加密種類在內(nèi),惡意軟件是2021年企業(yè)數(shù)據(jù)泄露的最大原因。攻擊者的重點(diǎn)是滲透或竊取數(shù)據(jù)。一旦他們掌握了這些數(shù)據(jù),就能夠通過不同的方法從中獲取收益。

F5SOC發(fā)現(xiàn),針對數(shù)據(jù)庫的勒索軟件正呈現(xiàn)增長趨勢。有組織的網(wǎng)絡(luò)犯罪將繼續(xù)發(fā)展勒索軟件技術(shù),并將特別關(guān)注關(guān)鍵基礎(chǔ)設(shè)施。針對云數(shù)據(jù)庫的勒索軟件攻擊將在未來一年大幅增加,因?yàn)槠髽I(yè)和政府的關(guān)鍵數(shù)據(jù)都存儲在其中。與傳統(tǒng)的惡意軟件在文件系統(tǒng)層面加密文件不同,數(shù)據(jù)庫勒索軟件能夠在數(shù)據(jù)庫內(nèi)部加密數(shù)據(jù)。

同時,攻擊者將增加嘗試次數(shù),通過各種詐騙和下游欺詐手段(如申請新的信用卡),直接從受影響的個人身上獲取漏洞數(shù)據(jù)。從攻擊者的心態(tài)來看,如果盜竊客戶的個人信息不能通過勒索被破壞的組織(例如,要求贖金,威脅釋放知識產(chǎn)權(quán)等)來賺錢,那么他們的目標(biāo)就將轉(zhuǎn)移到個人身上。

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2022-12-26
F5預(yù)計2023年影子API將帶來不可預(yù)知的漏洞
12月26日消息,全新的2023年就將到來,F(xiàn)5安全運(yùn)營中心(SOC)的工程師們預(yù)測了2023年會出現(xiàn)的五大網(wǎng)絡(luò)安全風(fēng)險。

長按掃碼 閱讀全文