普普安全資訊一周概覽(0528-0603)

作者:

時間:
2022-06-03
01

網(wǎng)絡(luò)安全攻防演練中不能忽視的API風險

網(wǎng)絡(luò)安全實戰(zhàn)化攻防演練是檢驗企業(yè)網(wǎng)絡(luò)安全建設(shè)效果的有效方式,攻防雙方在真實的網(wǎng)絡(luò)環(huán)境中開展對抗,更貼近實際情況,有利于發(fā)現(xiàn)企業(yè)真實存在的安全問題。從以往攻防演練活動的實際案例來看,各組織單位在攻擊面梳理過程中容易忽略的幾個關(guān)鍵點:

1.影子API。在資產(chǎn)梳理過程中,難免有些資產(chǎn)在安全視線之外,如有些API沒有經(jīng)過WAF或API網(wǎng)關(guān),這些API可能是歷史遺留下來的僵尸API,由于缺乏安全防護容易被攻擊。

2.邏輯漏洞。傳統(tǒng)安全檢測產(chǎn)品很難發(fā)現(xiàn)未授權(quán)訪問、越權(quán)訪問、允許弱密碼、錯誤提示不合理、未禁用目錄瀏覽等邏輯漏洞(安全缺陷)。

3.涉敏流量。現(xiàn)有WAF、API網(wǎng)關(guān)等產(chǎn)品更多是對入站流量的檢測,缺乏對出站流量的檢測,出站流量中如果暴露了明文的敏感數(shù)據(jù),可能會被攻擊者加以利用。

4.高危組件。承載API的后端組件可能存在安全隱患),同時這些組件因為API對外提供業(yè)務(wù)而暴露在互聯(lián)網(wǎng)中,往往會成為攻擊者的攻擊目標。

普普點評

盡管很多企業(yè)通過持續(xù)的攻防演練有效提升了安全防護能力,但隨著組織數(shù)字化進程的加快以及業(yè)務(wù)的迅速發(fā)展,總有一些跟不上變化的風險點出現(xiàn)。在了解了攻防演練中那些容易被忽略的API安全風險點和攻擊方常見的攻擊套路后,各組織單位想要在攻防演練中更好應(yīng)對,還需要從自身業(yè)務(wù)安全出發(fā),制定相應(yīng)的API安全管理策略,包括:資產(chǎn)動態(tài)梳理、缺陷持續(xù)評估、攻擊精準感知。


普普安全資訊一周概覽(0528-0603)
普普安全資訊一周概覽(0528-0603)
02

企業(yè)部署到云的API驅(qū)動應(yīng)用程序應(yīng)注意這些安全事項

在過去幾年中,API 驅(qū)動的應(yīng)用程序在企業(yè)級云平臺上部署以擴展規(guī)模興起。它們能夠根據(jù)用戶需求進行擴展,徹底改變了應(yīng)用程序的編寫和部署方式。以下是企業(yè)在評估 API 安全解決方案時應(yīng)考慮的一些關(guān)鍵標準。

1. API 可見性和監(jiān)控:你無法保護看不到的東西。為了防范安全風險,企業(yè)了解其 API 程序的所有方面及其相關(guān)的安全挑戰(zhàn)至關(guān)重要。這可以更好地幫助領(lǐng)導(dǎo)者通過適當?shù)木徑獠呗愿纳破浣M織的安全狀況。

2. API 安全性:不同類型的應(yīng)用程序安全性。隨著企業(yè)繼續(xù)擴大其 API 驅(qū)動的應(yīng)用程序,他們發(fā)現(xiàn)傳統(tǒng)的 WAF 無法很好地適應(yīng)單體應(yīng)用程序的需求,無法滿足現(xiàn)代 API 驅(qū)動的應(yīng)用程序的需求。

3. 威脅分析:在網(wǎng)絡(luò)攻擊發(fā)生時檢測它們。收集應(yīng)用程序內(nèi)所有點的數(shù)據(jù)交互可確保其全面了解所有用戶與應(yīng)用程序的交互。數(shù)據(jù)集越豐富,就越容易將惡意與合法用戶交易區(qū)分開來,并使企業(yè)的安全團隊能夠盡快發(fā)現(xiàn)數(shù)據(jù)泄露。

普普點評

快速變化的 API 驅(qū)動應(yīng)用程序有助于加快產(chǎn)品上市速度,但也釋放了可被網(wǎng)絡(luò)犯罪分子快速利用的 API 漏洞。由于跨更復(fù)雜和分布式應(yīng)用架構(gòu)的快速變化,API 安全的要求與市場上現(xiàn)有的應(yīng)用安全產(chǎn)品有著根本的不同。在評估 API 安全解決方案時,一定要關(guān)注解決方案如何提供可見性、它對應(yīng)用程序的理解程度以及威脅分析的質(zhì)量和深度。

普普安全資訊一周概覽(0528-0603)
普普安全資訊一周概覽(0528-0603)
03

構(gòu)建數(shù)據(jù)成熟度模型和數(shù)據(jù)成熟度的四個階段

數(shù)據(jù)成熟度是對組織利用其數(shù)據(jù)的程度的衡量。為了實現(xiàn)高水平的數(shù)據(jù)成熟度,數(shù)據(jù)必須在組織中充分融入所有決策和實踐。數(shù)據(jù)成熟度通常分階段進行衡量。數(shù)據(jù)成熟度是衡量組織數(shù)據(jù)分析先進程度的指標。為了創(chuàng)建數(shù)據(jù)成熟度模型,國外某公司研究以業(yè)務(wù)的六個方面:戰(zhàn)略、數(shù)據(jù)、文化、架構(gòu)、數(shù)據(jù)治理和采購/入職作為入手,呈現(xiàn)出他們理解的數(shù)據(jù)成熟度的四個獨特階段。

階段1.探索者。剛剛開始使用數(shù)據(jù)的組織雖然可能將數(shù)據(jù)用于報告目的,但是臨時性的。

階段 2. 用戶。通過添加臨時數(shù)據(jù)集來幫助擴大內(nèi)部數(shù)據(jù)源,使其成為在整個組織內(nèi)部使用數(shù)據(jù)的標準。他們對數(shù)據(jù)的反應(yīng)性使用有助于做出有洞察力的業(yè)務(wù)決策。

階段 3. 領(lǐng)導(dǎo)者。為了完成組織使命和業(yè)務(wù)成功,領(lǐng)導(dǎo)者除了使用自己的數(shù)據(jù)外,還使用第三方數(shù)據(jù)集。

階段 4. 創(chuàng)新者。數(shù)據(jù)不僅僅用于分析和觀察。事實上,作為創(chuàng)新者的組織正在使用數(shù)據(jù)來創(chuàng)建算法并預(yù)測他們?nèi)绾伪3诸I(lǐng)先地位。

普普點評

數(shù)據(jù)是世界上增長最快的資源之一,估計每天創(chuàng)建 2.5 萬億字節(jié)。數(shù)據(jù)是當今任何組織都可以使用的最有價值的資產(chǎn)之一。如果組織還不能充分利用數(shù)據(jù),意味著正好可以開始自己的數(shù)據(jù)成熟度之旅。隨著可用數(shù)據(jù)量的不斷增長并變得更易于訪問,組織使用數(shù)據(jù)的方式——以及數(shù)據(jù)成熟——將繼續(xù)發(fā)展。

普普安全資訊一周概覽(0528-0603)
普普安全資訊一周概覽(0528-0603)
04

零信任對MSP意味著什么?

零信任已經(jīng)對客戶購買的產(chǎn)品和服務(wù)類型產(chǎn)生了重大影響。然而,實施階段將需要數(shù)年時間,這意味著長期的銷售潛力以及隨著時間的推移與客戶建立更牢固關(guān)系的可能性。尤其是所有托管服務(wù)提供商 (MSP),他們的工作是將客戶利益與他們自己的利益相匹配。那么,MSP 應(yīng)該如何傳達零信任的價值呢?

1) 了解客戶驅(qū)動力。隨著最近遠程辦公的興起而變得更加強烈,這使人們認識到周邊安全的局限性。組織被迫依賴端點安全和 VPN,并在可能的情況下改進身份驗證。

2) 零信任是為了降低風險。它提供了改進網(wǎng)絡(luò)資源、用戶和數(shù)據(jù)管理的可能性,同時還能降低成本,使技術(shù)采用更加容易。

3) 零信任帶來競爭優(yōu)勢。越來越多的組織認識到,通過與服務(wù)提供商合作形成的一致的網(wǎng)絡(luò)安全戰(zhàn)略,使他們比落后的競爭對手更具競爭性市場優(yōu)勢。這遠遠超出了公認的合規(guī)和監(jiān)管理念,后者的運作時間更長。在某些情況下,網(wǎng)絡(luò)安全現(xiàn)在甚至可能是生死攸關(guān)的問題。

普普點評

即使按照網(wǎng)絡(luò)安全行業(yè)大肆宣傳的標準,零信任 (ZT) 的興起和崛起也是一個不容忽視的現(xiàn)象。網(wǎng)絡(luò)安全領(lǐng)域的任何人都不能忽視這一層面的利益,尤其是所有托管服務(wù)提供商 (MSP),他們的工作是將客戶利益與他們自己的利益相匹配。越來越多的 MSP 必須解決他們的服務(wù)如何與零信任網(wǎng)絡(luò)安全相吻合的問題。MSP 受益于零信任,因為這意味著與客戶的長期關(guān)系超越了傳統(tǒng)的銷售周期,在出現(xiàn)問題后,MSP才會聯(lián)系客戶。?

普普安全資訊一周概覽(0528-0603)
普普安全資訊一周概覽(0528-0603)
05

從合規(guī)視角看工控安全防護體系建設(shè)

基于工控安全的監(jiān)管合規(guī)要求,工業(yè)企業(yè)應(yīng)根據(jù)自身生產(chǎn)設(shè)備及系統(tǒng)的實際情況,構(gòu)建一套從工業(yè)設(shè)備管理、到網(wǎng)絡(luò)安全防護再到綜合安全管理的三層防護體系:

1、 在工業(yè)設(shè)備管理層面,需要對對工業(yè)體系內(nèi)部的物理設(shè)備進行管理,保證其運行的安全問題。針對工業(yè)系統(tǒng)及工業(yè)設(shè)備,企業(yè)需通過驗證供應(yīng)商資質(zhì)、加密合同等方式,構(gòu)建安全的采購供應(yīng)鏈路。

2、 網(wǎng)絡(luò)安全防護層則是通過部署安全產(chǎn)品,依照“一個中心三重防護”的安全要求進行。安全防護是進行工控安全體系建設(shè)的核心。安全防護能力建設(shè)可以分為針對計算環(huán)境的安全建設(shè)、對邊界的安全建設(shè)以及對網(wǎng)絡(luò)通訊的安全建設(shè)。

3、 安全管理是指建立相應(yīng)的組織架構(gòu)、管理體系,從制度維度做好工控安全防護。工業(yè)企業(yè)需構(gòu)建專門的工控安全組織管理部門,明確組織架構(gòu),負責對企業(yè)內(nèi)部網(wǎng)絡(luò)安全的規(guī)劃、建設(shè)、實施。建立相應(yīng)的安全制度,以做到工業(yè)企業(yè)內(nèi)部的人員管理、配置管理及補丁管理,做到記錄和審計。

普普點評

工業(yè)環(huán)境的特殊性造成了工業(yè)企業(yè)的安全建設(shè)不能照搬互聯(lián)網(wǎng)防護。當前,我國工控安全還處于起步階段,工業(yè)領(lǐng)域整體防護水平有待提高,專業(yè)的工業(yè)安全人才缺乏。近年來,國家頒布的一系列網(wǎng)絡(luò)安全法律法規(guī)一方面對工業(yè)安全提出了要求,另一方面也對工業(yè)安全的建設(shè)提供了指導(dǎo)。工業(yè)企業(yè)應(yīng)根據(jù)自身的情況,由簡入繁,以網(wǎng)絡(luò)安全提升生產(chǎn)安全,完成兩化融合的信息化改造,切實提升企業(yè)的生產(chǎn)能力。?

普普安全資訊一周概覽(0528-0603)
普普安全資訊一周概覽(0528-0603)
06

面對防不勝防的釣魚郵件攻擊,企業(yè)該如何防患于未然?

釣魚郵件通過模擬真實郵件來進行網(wǎng)絡(luò)攻擊,模擬釣魚演練則是通過模擬釣魚郵件讓人員實景學(xué)習(xí)釣魚郵件的防范要點。具體包括:

1、如果郵件發(fā)件人賬戶名稱是某機構(gòu),但地址欄中顯示的卻是個人賬號,同時檢查“收件人”及“抄送人”的地址欄??雌浒l(fā)送的對象中是否有你不認識或者不和你在一起工作的人。

2、對使用“親愛的用戶”或者一些泛化問候的郵件保持警惕。如果某個可信機構(gòu)有必要聯(lián)系你,他們應(yīng)該會知道你的名字和信息。同樣也要問問自己,該公司為什么會發(fā)郵件給你。

3、對任何制造緊急氛圍的郵件都要提高警惕,如要求“請在今日下班前務(wù)必完成升級操作”這是讓人在慌忙之中犯錯的慣用手段。

4、將鼠標放在鏈接處,會顯示真實網(wǎng)址。如果顯示的真實網(wǎng)址與郵件中所列出的鏈接網(wǎng)址不同,這就很可能是一次釣魚攻擊。

5、對附件保持警惕,如內(nèi)容包含文檔、圖片、壓縮包、腳本程序(exe、vbs、bat)等,在確認郵件可信之前一定不要點擊附件。

普普點評

Verizon 2021年數(shù)據(jù)泄露調(diào)查報告發(fā)現(xiàn),在所有數(shù)據(jù)泄露事件中有25%涉及網(wǎng)絡(luò)釣魚。Proofpoint 2022年網(wǎng)絡(luò)釣魚威脅狀態(tài)報告顯示,2021年有83%的企業(yè)成為網(wǎng)絡(luò)釣魚攻擊的受害者。釣魚郵件攻擊如此普遍,關(guān)鍵在于釣魚郵件攻擊的高成功率,這種網(wǎng)絡(luò)攻擊很容易被攻擊機器人反復(fù)復(fù)制和自動化。雖然許多人相信自己在收到一封網(wǎng)絡(luò)釣魚電子郵件時會識別出來,但事實是他們通常做不到。

普普安全資訊一周概覽(0528-0603)
普普安全資訊一周概覽(0528-0603)
07

攻擊面管理——網(wǎng)絡(luò)安全運營技術(shù)革新

賽迪顧問發(fā)布的《中國攻擊面管理市場白皮書》中指出,攻擊面管理(ASM)是一種從攻擊者視角對企業(yè)數(shù)字資產(chǎn)攻擊面進行檢測發(fā)現(xiàn)、分析研判、情報預(yù)警、響應(yīng)處置和持續(xù)監(jiān)控的資產(chǎn)安全性管理方法,其最大特性就是以外部攻擊者視角來審視企業(yè)所有資產(chǎn)可被利用的攻擊可能性,而這里的所有資產(chǎn)包含已知資產(chǎn)、未知資產(chǎn)、數(shù)字品牌、泄露數(shù)據(jù)等等一系列可存在被利用的風險的資產(chǎn)內(nèi)容。企業(yè)實施攻擊面管理時需要考慮一些最佳實踐,以最大限度地減少漏洞,并降低安全風險。

· 繪制攻擊面。部署適當?shù)姆烙仨毩私獗┞读四男?shù)字資產(chǎn)、攻擊者最有可能入侵網(wǎng)絡(luò)的位置以及需要部署哪些保護措施。因此,提高攻擊面的可見性并構(gòu)建對攻擊漏洞的有力呈現(xiàn)至關(guān)重要。?

· 最小化漏洞。一旦企業(yè)繪制完成他們的攻擊面,就可以立即采取行動減輕最重要的漏洞和潛在攻擊媒介帶來的風險,然后再繼續(xù)執(zhí)行較低優(yōu)先級的任務(wù)。在可能的情況下使資產(chǎn)離線并加強內(nèi)部和外部網(wǎng)絡(luò)是值得關(guān)注的兩個關(guān)鍵領(lǐng)域。

普普點評

企業(yè)實施攻擊面管理時還需要考慮:建立強大的安全實踐和政策。嚴格遵循一些久經(jīng)考驗的最佳安全實踐將大大減少企業(yè)的攻擊面。這包括實施入侵檢測解決方案、定期進行風險評估以及制定明確有效的政策。隨著IT基礎(chǔ)設(shè)施的變化以及攻擊者的不斷發(fā)展,強大的網(wǎng)絡(luò)安全計劃同樣需要進行不斷地調(diào)整。這就需要持續(xù)監(jiān)控和定期測試,后者通常可以通過第三方滲透測試服務(wù)實現(xiàn)。?