12月26日消息，全新的2023年就將到來，F(xiàn)5安全運營中心（SOC）的工程師們預測了2023年會出現(xiàn)的五大網(wǎng)絡安全風險，從而為企業(yè)提供前瞻性洞察分析，為網(wǎng)絡安全保駕護航。

威脅一：影子API將帶來不可預知的漏洞

今天，應用程序接口（APIs）正在迅速普及。移動應用的融合、組織間的數(shù)據(jù)共享以及不斷增加的應用程序自動化，使得在2021年有11.3億個請求通過以API為中心的開發(fā)者工具Postman提交。然而，根據(jù)Postman發(fā)布的API狀況報告中顯示，48%的調查對象承認每月要處理至少一次API安全事件。

與網(wǎng)絡安全的所有方面一樣，你無法為未知內容提供保障。F5認為，影子API代表了一種日益增長的風險，可能會導致大規(guī)模數(shù)據(jù)泄露，而受到侵害的組織甚至不知道這種風險的存在。

時至今日，許多企業(yè)沒有準確的API庫存清單，因此導致了一種新的威脅形式，即“影子API”。擁有成熟API開發(fā)流程的企業(yè)會保存一個API庫存清單的資產目錄，理想狀態(tài)下會包含所有可用的API端點信息、可接受參數(shù)的細節(jié)、認證和授權信息等。然而，許多企業(yè)由于沒有API庫存清單，生產中的API和受益于持續(xù)開發(fā)的API將會偏離于它們在清單中的原始定義。在這兩種情況下都會出現(xiàn)組織不可見的公開API，這些API被稱為“影子API”，而許多應用會通過“影子API”被攻破，而企業(yè)對這些API了解甚少，甚至毫無察覺。

威脅二：多重身份驗證將失去效力

在F5發(fā)布的《2020網(wǎng)絡釣魚和欺詐報告》中，F(xiàn)5演示了攻擊者如何使用實時網(wǎng)絡釣魚代理來繞過多重身份驗證（MFA）系統(tǒng)。在實時網(wǎng)絡釣魚代理攻擊中使用的虛假網(wǎng)站中，攻擊者收集了常見的6位數(shù)MFA驗證碼，并用它來驗證真正的目標網(wǎng)站。由于攻擊是實時發(fā)生的，包括短信、移動端認證應用，甚至令牌在內的MFA方法都沒有能夠打敗實時網(wǎng)絡釣魚代理。自2020年以來，F(xiàn)5持續(xù)分享了繞過MFA的技術增長趨勢報告，從會話重用攻擊到可竊取MFA代碼的移動惡意軟件，幫助企業(yè)高效規(guī)避網(wǎng)絡攻擊。

為了減少MFA阻力，許多新的解決方案依賴于推送通知。當用戶試圖登錄一個系統(tǒng)時，現(xiàn)代解決方案不是要求他們手動輸入多因素認證代碼，而是向用戶的注冊手機發(fā)送推送通知，要求他們允許或拒絕登入操作。

但是，MFA疲勞攻擊只會越來越頻繁和有效。這種攻擊的目的是通過用大量的認證請求騷擾受害者，使他們意外或無奈地允許通知請求。這種類型的攻擊將為公司帶來直接的風險，因為員工通常是最容易受到社交工程攻擊的威脅載體。除此之外，MFA作為一項關鍵的安全控制，可用于阻止對關鍵資產的未授權訪問。通常情況下，公司會忽略被破解的密碼，或使用要求較低的密碼類型，因為有額外的如MFA的補償性控制。適用于MFA的網(wǎng)絡釣魚工具包和MFA炸彈攻擊破除了這種補償性控制，并再次凸顯了口令、深度防御和轉向零信任架構的重要性，在這種架構中，企業(yè)及個人的安全還需要考慮更多因素。

網(wǎng)絡安全領域的大部分情況都是防御者和攻擊者之間的軍備競賽，認證方法也不例外。當前，攻擊者正在使用各種技術來適應MFA解決方案，包括誤植域名、賬戶接管、MFA設備欺詐和社交工程。因此，應用和網(wǎng)絡防御者正在考慮下一步的應對策略。目前，人們對生物識別認證持懷疑態(tài)度，因為指紋等生物特征是不可改變的，所以容易被竊取。然而，行為則更難被用于欺騙，通常是針對用戶的行為，尤其是在規(guī)模上更是如此。這可能包括普遍的行為動作，如使用過的瀏覽器和所獲取的地理位置，網(wǎng)站的導航模式、停留時間等針對應用的行為，以及諸如雙擊速度、鼠標移動模式、打字速度等用戶行為。

短期內，在線快速身份認證（FIDO）聯(lián)盟的通行證解決方案可能是第一個真正有效緩解社交工程攻擊的方法，因為用于認證用戶的加密密鑰是以他們正在訪問的網(wǎng)站地址為基礎的。這項新技術能多快被普通用戶所采用，仍有待觀察。

威脅三：云部署故障排除將帶來更多問題

預測云部署的安全事件，聽起來是老生常談，但隨著云應用的違規(guī)頻率不斷增加，且規(guī)模巨大，F(xiàn)5認為這是值得重申的問題。正如F5在《2022應用保護報告》中強調的那樣，大多數(shù)云事件都與配置錯誤有關，通常是過于廣泛的訪問控制。因此，雖然可能看起來是能輕易做到的事情，但F5安全運營中心（SOC）的工程師們依然發(fā)現(xiàn)了很多幫助補救云應用的違規(guī)行為，并認識到這些眾多問題存在的原因。

實際上，無論是意外還是出于故障排除的目的，許多云用戶都致力于在用戶和網(wǎng)絡層面設置正確地配置訪問控制。2022年，F(xiàn)5SOC時?？吹接脩魟?chuàng)建臨時服務用戶，然后通過內置身份和訪問管理（IAM）策略或內聯(lián)策略為其分配非常廣泛的權限。這些臨時用戶的創(chuàng)建通常是為了排除問題，或者是為了讓依賴特定用戶或角色的應用重新啟動和運行。F5經(jīng)?？吹竭@種臨時的配置變成永久性的配置，回滾變化也變得更加困難。此外，如果用戶使用的是長期固定的憑證，而不是短期憑證，那么這些憑證也有可能以某種方式被盜或泄露。

威脅四：開源軟件庫將成為攻擊的主要目標

軟件正變得越來越相互依賴，許多應用和服務都基于開源代碼庫進行構建，但很少有企業(yè)能夠準確地說明所使用的每一個庫。隨著防御者加強應用“周邊”（即面向公眾的網(wǎng)絡應用和API），威脅者自然會將目光投向其他載體。攻擊目標逐漸變?yōu)閼弥械谌酱a、代碼庫和服務。在硬件和軟件代碼庫中，多達78%的代碼由開源代碼庫組成，而非內部開發(fā)。作為攻擊者，如果知道一個應用超過四分之三的代碼是由開源代碼庫維系的，那么將這些代碼庫作為目標就變得異常合理了。

近年來，F(xiàn)5發(fā)現(xiàn)了越來越多的攻擊方式，為依賴開源軟件庫的企業(yè)帶來威脅：

? 開發(fā)者賬戶被泄露，通常是由于缺乏MFA，導致惡意代碼被插入到廣泛使用的庫和谷歌瀏覽器擴充程式中；

? 木馬攻擊和誤植域名攻擊，威脅者開發(fā)的工具看起來攻擊性強，或與廣泛使用的開源軟件庫有非常相似的名字；

? 以黑客攻擊的方式，由開源軟件庫的原作者故意插入破壞性和其他惡意代碼。

很顯然，上述行為的出現(xiàn)為應用開發(fā)的發(fā)展帶來新挑戰(zhàn)。許多現(xiàn)代應用利用軟件即服務（SaaS）進行安全防護，如集中式認證、數(shù)據(jù)庫即服務或數(shù)據(jù)泄密防護（DLP）。如果攻擊者能夠破壞開源軟件（OSS）的代碼庫或被應用消耗的SaaS產品，那么攻擊者就在應用內部有了立足點，能夠繞過如Web應用防火墻和API網(wǎng)關的外圍防御，從而進行攻擊。

這個立足點可以被用來進行不同形式的橫向移動（如遠程外殼、監(jiān)控、數(shù)據(jù)滲漏）。這樣做的結果是，軟件開發(fā)人員希望應用所組成的組件有更強的可見性，最重要的是有一個列舉所有軟件組件的軟件材料清單（SBoM）。這將使軟件產品的終端用戶能夠更迅速有效地確定漏洞是否會影響該產品。

但同時，SBoM的廣泛采用也將帶來大量技術債務。企業(yè)將不得不做出一些重大的內部投資，使舊系統(tǒng)達到最新水平，并修復多達數(shù)千的漏洞，或者考慮從頭開始打造新一代的產品。當然，客戶總要接受他們所選擇的產品中存在大量未修復的漏洞，因為它們都是大同小異的。因此，企業(yè)應當對產品進行全面革新，而不是置之不理。

而對于未披露漏洞或零日漏洞，檢測攻擊者的最佳機會是觀察軟件組件和服務‘內部’應用之間的內部‘東西向’流量以及基礎架構即服務（IaaS）的交互方式。現(xiàn)如今，這些互動可以被云安全態(tài)勢管理（基礎架構）、云工作負載保護平臺（跨平臺），以及應用檢測與響應（應用層）所感知；這些獨立市場需要整合起來，以提供一個整體視圖，而這是高效、準確地檢測應用內部威脅所必需的。

威脅五：勒索軟件將進一步擴張

加密惡意軟件現(xiàn)在已經(jīng)十分泛濫了。但是，正如MITRE開發(fā)的對抗性戰(zhàn)術、技術和公共知識庫框架提及的勒索軟件，這并不全是“加密數(shù)據(jù)的影響”。F5發(fā)現(xiàn)，包括非加密種類在內，惡意軟件是2021年企業(yè)數(shù)據(jù)泄露的最大原因。攻擊者的重點是滲透或竊取數(shù)據(jù)。一旦他們掌握了這些數(shù)據(jù)，就能夠通過不同的方法從中獲取收益。

F5SOC發(fā)現(xiàn)，針對數(shù)據(jù)庫的勒索軟件正呈現(xiàn)增長趨勢。有組織的網(wǎng)絡犯罪將繼續(xù)發(fā)展勒索軟件技術，并將特別關注關鍵基礎設施。針對云數(shù)據(jù)庫的勒索軟件攻擊將在未來一年大幅增加，因為企業(yè)和政府的關鍵數(shù)據(jù)都存儲在其中。與傳統(tǒng)的惡意軟件在文件系統(tǒng)層面加密文件不同，數(shù)據(jù)庫勒索軟件能夠在數(shù)據(jù)庫內部加密數(shù)據(jù)。

同時，攻擊者將增加嘗試次數(shù)，通過各種詐騙和下游欺詐手段（如申請新的信用卡），直接從受影響的個人身上獲取漏洞數(shù)據(jù)。從攻擊者的心態(tài)來看，如果盜竊客戶的個人信息不能通過勒索被破壞的組織（例如，要求贖金，威脅釋放知識產權等）來賺錢，那么他們的目標就將轉移到個人身上。

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。