2021年最危險的七大攻擊技術
在上月結束的RSAC2021會議上,由SANS研究所的專家主持的年度“五種最危險的新攻擊技術及其應對會議”成為了一大亮點。
相對于2020年的威脅列表,今年RSAC大會提出的許多攻擊媒介并不都是全新的,一些舊的威脅“沉渣泛起”,而且值得注意的是,研究人員在會議上討論的威脅并不限于以下五種:
威脅一:命令與控制(C2)卷土重來
SANS研究所的講師Ed Skoudis強調了“C2的黃金時代”,這是他看到的最大的新威脅之一。C2代表命令控制,通常與從中央命令點控制的僵尸網絡活動關聯。
Skoudis確定了企業保護自己免受C2活動影響的幾種方法。他的建議之一是要求防御者加大出站流量的控制力度、檢測信標和異常日志。他還建議安全專業人員強制執行應用程序白名單,以限制可以在企業內部運行的內容。
威脅二:就地取材
Skoudis強調的另一個威脅趨勢是“就地取材”,即攻擊者利用組織網絡中已經存在的工具來從事惡意活動,獲取收益。
他說:“如果你是攻擊者,你可以先使用操作系統本身的資源來攻擊該計算機,并傳播到環境中的其他系統里,以此實現就地取材,自給自足。”
業界至少早在2015年就已報道過“就地取材”的概念。
企業可以采取多種措施來保護自己免受“就地取材”的影響。Skoudis推薦的一組資源是LOLBAS項目,該項目提供了有助于識別和限制“就地取材”攻擊風險的工具。
威脅三:深度駐留
由于存在持久威脅,Skoudis警告說,惡意軟件現在可以以前所未有的方式深深地潛入到設備中。例如,攻擊者可以將惡意軟件嵌入USB充電電纜中。
以充電線為例,即使企業清除了系統中駐留的惡意軟件,但是下次用戶插入電纜時,惡意軟件將再次感染整個系統。
Skoudis指出,對于個人和公司而言,緊要的不僅是不要在系統中插入任何東西,還要確保從可信來源獲得線纜和其他周邊設備。
威脅四:移動設備完整性
SANS研究所高級講師兼數字智能總監Heather Mahalik強調,移動設備的風險是她認為的最大威脅之一。
考慮到手機已成為日常生活中必不可少的一部分,她指出,如果手機落入壞人手中,可能會造成災難性的后果。她指的不僅是丟失或被盜的設備,還包括未正確擦除先前所有者數據的翻新設備的風險。
她還提到了Apple IOS設備中checkm8漏洞的風險,該硬件漏洞允許checkra1n越獄。
威脅五:警惕2FA雙因素認證的“后遺癥”
業界推薦使用雙因素身份驗證(2FA)作為幫助提高用戶安全性的最佳實踐,但這也不是萬能藥。Mahalik指出,僅以輸入(短信)驗證碼的方式部署2FA是不夠的。
她還警告說,有些應用程序只需要一個電話號碼(就可以完成所有賬戶認證),如果用戶放棄他們的電話號碼,而運營商隨后將該號碼重新發行給新客戶,則存在風險。
她說:“密碼和2FA缺一不可。如果只是其中之一,則該認證方案存在脆弱風險。”
Mahalik建議,當用戶獲得新的電話號碼時,應確保他們對進入2FA的每個應用程序都具有將雙因素認證手機號碼變更為新號碼的權限。
威脅六:企業安全邊界漏洞
SANS研究所的研究主任Johannes Ullrich認為企業邊界漏洞的風險是最大威脅之一。
在過去的一年中,在廣泛部署的企業防火墻和外圍安全設備中存在許多公開報告的問題。
除了打補丁外,Ullrich建議用戶不要將企業邊界設備上的管理界面暴露到互聯網上。
威脅七:Localhost API
Ullrich認為值得重視的新威脅之一是嵌入在調用第三方資源的企業應用程序中的localhost API。盡管API的目的是啟用諸如技術代理支持之類的功能,但它們也使企業面臨潛在風險。
為了限制風險,Ullrich建議用戶在可能的情況下,確定正在偵聽系統端口的內容,并監視應用程序如何調用外部資源。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
