不安全世界中的安全。

隨著Black Hat 2021的開幕，FreeBuf跟蹤了大會的主要議題，并且與大家分享CRN與14家知名網絡安全供應商的高管的談話，從勒索軟件、供應鏈和關鍵基礎設施攻擊到第三方風險管理、零信任體系結構和人工智能威脅情報，了解安全高管們關注的網絡安全趨勢。

供應鏈漏洞的聯邦測試

預計美國政府將在SolarWinds攻擊事件后采取行動保護軟件供應鏈安全，而Splunk的安全戰略師Ryan Kovar表示，希望看到技術供應商更好地檢測供應鏈漏洞。

譬如，作為政府供應商的技術公司應事先要求其產品經過NIST或其他第三方實體的測試和認證。通過一個集中的機制來檢查聯邦政府使用的軟件的安全性和質量，這也有助于商業領域使用的軟件的安全性。

離地攻擊(living-off-the-land)

攻擊者越來越多地利用受害者組織使用的合法工具，通過融入受害者的流量來更好地隱藏自己。Trend Micro威脅情報副總裁Jon Clay認為，攻擊者可以利用合法工具實施攻擊鏈的每一個環節——從初始訪問、資產發現、橫向移動到數據外泄和憑證盜竊。

離地攻擊是一種反取證行動，因為這些攻擊迫使企業建立機制，對Cobalt Strike、Mimikatz和PS Exec等工具的使用進行檢查，從而確定一些特定事件是合法的還是非法的。

Trend Micro的數據表示，有20到30種合法工具正被勒索軟件攻擊者用于惡意目的。

關鍵基礎設施攻擊

關鍵基礎設施供應商通常只擁有小型IT團隊且安全專家有限，沒有大型辦公室或數據中心，其收益往往投資于提高電力或石油產量。因此，他們難以在復雜的網絡攻擊者面前保護自己的資產數據。

Infoblox產品營銷副總裁Anthony James表示，關鍵基礎設施設備通常啟用IP以實現可管理性和集中控制，但這使得它像醫院或醫療設備一樣容易受到網絡攻擊。同時，關鍵基礎設施環境高度分散，計算能力有限，為了安全的考慮，啟用IP的設備就應該與核心網絡分離，因為這些設備對業務運營至關重要，但不需要互聯網接入。

因此，關鍵基礎架構供應商應評估哪些設備實際需要連接到管理控制臺，并制定策略來限制允許與控制臺通信的內容。

第三方風險管理

企業越來越意識到，他們需要投入更多的資源以確保第三方供應商不會成為威脅的來源。

企業應首先審查供應商合同，以確保其供應商擁有合適的人員、控制措施和治理結構，從而可以有能力應對網絡風險。此外，企業應該用最嚴格的方式審計其最重要的第三方供應商(例如直接訪問組織數據的第三方)，而在評估適當的安全策略是否到位時，可見性是關鍵。

零信任架構

零信任架構可以最大限度地降低與供應鏈問題和勒索軟件威脅相關的風險。Trustwave Government Solutions總裁Bill Rucker表示，零信任的核心是了解數據所在的位置以及哪些用戶可以訪問哪些數據，隨著機構越來越多地推動彼此共享更多數據，零信任方法對于數據安全至關重要。

此外，目前有多種工具可以掃描網絡并確定數據所在的位置，但這些工具的質量差異很大，因此，組織也需要開始確保他們擁有合適的工具來評估數據位置和歸屬。

被竊數據的武器化

Barracuda首席技術官Fleming Shi發現，很多用戶和組織的數據在以前的攻擊事件中被盜，并且又在隨后的攻擊中被武器化。攻擊者利用他們已經獲取的個人身份信息再次獲取用戶的憑據和密碼，然后將這些目標用戶登錄的SaaS應用程序作為攻擊目標。

人工智能在勒索軟件偵察中的應用

Fortinet首席營銷官兼產品執行副總裁John Maddison發現，網絡防御者正越來越多地使用人工智能進行偵察，從而了解對手如何使用勒索軟件。單個惡意DNS調用可能就是勒索軟件攻擊的開始，因此公司利用AI連接這些點是至關重要的。

人工智能可以查看數十億條數據，將特定地理或行業中的蜜罐或接收器活動與公司已經熟悉的漏洞聯系起來。人工智能在功能層面上取得了重大進展，這使組織能夠在端點、網絡或應用程序本身中內進行推斷或鏈接邊緣末端。

供應鏈攻擊

攻擊者越來越意識到，他們可以通過損害供應商來同時滲透數百甚至數千名客戶。因此，企業必須確保他們能夠了解自己的供應鏈、與每個供應商相關的風險以及在發生事件時快速補救的方法。

由于供應鏈攻擊為黑客提供了良好的投資回報——只需滲入一個戰略企業，就可以在數千個組織中分發惡意軟件，因此供應鏈攻擊已經從高級網絡攻擊者對特定行業實施的武器化攻擊轉變為更為普遍的惡意軟件攻擊的一部分。

對敏感數據缺乏控制

根據Netskope創始人的說法，攻擊者專注于找出并竊取企業的敏感數據。由于數據涉及大多數公司的知識產權，一旦泄露，可能對公司的生存構成威脅。

據悉，一個公司平均使用近1000個云應用程序，其中90%不歸IT所有。同時，由于超過一半的敏感數據存在于云中，基于云的數據防泄漏 (DLP) 對于幫助公司確定哪些數據流向何處至關重要。

在勒索軟件攻擊中使用0day

Sophos首席執行官Kris Hagerman表示，勒索軟件攻擊的復雜性和數量都出現了爆炸性增長，勒索軟件攻擊中越來越多地使用0day，這表明黑客更加老練，并且專門針對某些組織。

同時，勒索軟件即服務(RaaS)業務的激增意味著實際實施攻擊的組織或黑客可能沒有任何技術專長，有時甚至不知道如何編寫代碼。

注：Racoon Stealer竊取木馬以每周75美元的價格對外租用，為犯罪分子提供一個收集受害者信息、付款和贖金的有效入口。

攻擊者向供應商和客戶索要贖金

攻擊者不再滿足于簡單地加密受害者數據并拒絕受害者訪問其自己的系統。目前，勒索軟件已經從瞄準單個設備或服務器發展為通過造成廣泛破壞來威脅整個組織。

簡單來說，就是勒索軟件攻擊者通過供應鏈攻擊，向受害企業及其上下游客戶索要贖金，否則就泄露敏感數據。

客戶端攻擊

DevOps團隊通常具備API安全性，并試圖找出如何在滿足現代后敏捷開發期望的同時盡可能高效地實現安全性。因此，開發人員面臨在保持安全性的同時更快地發布應用程序和更新的巨大壓力。

不過，微服務應用程序和庫的使用增加推動了攻擊面的急劇擴大。在客戶端攻擊中，客戶可能會從公司的電子商務網站下載惡意代碼，從而對公司的品牌和信譽造成重大損害。

商業網絡犯罪日趨復雜

隨著民族國家組織越來越多地將攻擊目標對準私人商業和民間組織，受害者面臨的威脅挑戰也是急劇變大。

Varonis 聯合創始人、總裁兼首席執行官 Yaki Faitelson 表示，由于網絡保險政策的普及，網絡犯罪分子發現實施勒索軟件攻擊更容易獲得報酬，然后這些威脅組織又將贖金的收益投資于獲取更復雜的黑客工具。

此外，網絡犯罪分子通過供應鏈攻擊分發勒索軟件，并無縫地將自己偽裝到受害者的環境中，從而使得他們的攻擊手段更為老練也更為復雜。而與數字化轉型相關的生產力提升、從任何地方都可以訪問數據的邊緣趨勢，都伴隨著更高的風險和更大的攻擊面。

更廣泛地采用安全最佳實踐

攻擊者通常會選擇阻力最小的攻擊路徑，供應鏈攻擊就是一個以小博大的典型。

因此，即便是一些低調的企業，如果擁有廣泛的客戶訪問權限和數據也會吸引黑客的注意。但由于這些供應商有時沒有采用基本的安全最佳實踐，例如雙因素身份驗證，因此很容易成為攻擊的跳板。

參考來源：

https://www.crn.com/slide-shows/security/14-top-cybersecurity-trends-to-expect-at-black-hat-conference/15?itc=refresh