当前位置:资讯 > 正文

F5:2023年将面临五大网络安全威胁

2022-12-26 12:45:10  来源:壹点网
伴随新年钟声的敲响,全新的2023年就将到来。对于网络安全领域的从业者来说,在迎新的同时,还需要关注在新一年里可能的网络安全威胁。毕竟,威胁攻击者很少会等到新年的钟声敲响才突然发起新型攻击,威胁的变化通常是缓慢演进的,并且会不断适应改进中的安全策略。

对此,F5安全运营中心(SOC)的工程师们群策群力,预测了2023年会出现的五大网络安全风险,从而为企业提供前瞻性洞察分析,为网络安全保驾护航。

威胁一:影子API将带来不可预知的漏洞

今天,应用程序接口(APIs)正在迅速普及。移动应用的融合、组织间的数据共享以及不断增加的应用程序自动化,使得在2021年有11.3亿个请求通过以API为中心的开发者工具Postman提交。然而,根据Postman发布的API状况报告中显示,48%的调查对象承认每月要处理至少一次API安全事件。

与网络安全的所有方面一样,你无法为未知内容提供保障。F5认为,影子API代表了一种日益增长的风险,可能会导致大规模数据泄露,而受到侵害的组织甚至不知道这种风险的存在。

时至今日,许多企业没有准确的API库存清单,因此导致了一种新的威胁形式,即“影子API”。拥有成熟API开发流程的企业会保存一个API库存清单的资产目录,理想状态下会包含所有可用的API端点信息、可接受参数的细节、认证和授权信息等。然而,许多企业由于没有API库存清单,生产中的API和受益于持续开发的API将会偏离于它们在清单中的原始定义。在这两种情况下都会出现组织不可见的公开API,这些API被称为“影子API”,而许多应用会通过“影子API”被攻破,而企业对这些API了解甚少,甚至毫无察觉。

威胁二:多重身份验证将失去效力

在F5发布的《2020网络钓鱼和欺诈报告》中,F5演示了攻击者如何使用实时网络钓鱼代理来绕过多重身份验证(MFA)系统。在实时网络钓鱼代理攻击中使用的虚假网站中,攻击者收集了常见的6位数MFA验证码,并用它来验证真正的目标网站。由于攻击是实时发生的,包括短信、移动端认证应用,甚至令牌在内的MFA方法都没有能够打败实时网络钓鱼代理。自2020年以来,F5持续分享了绕过MFA的技术增长趋势报告,从会话重用攻击到可窃取MFA代码的移动恶意软件,帮助企业高效规避网络攻击。

为了减少MFA阻力,许多新的解决方案依赖于推送通知。当用户试图登录一个系统时,现代解决方案不是要求他们手动输入多因素认证代码,而是向用户的注册手机发送推送通知,要求他们允许或拒绝登入操作。

但是,MFA疲劳攻击只会越来越频繁和有效。这种攻击的目的是通过用大量的认证请求骚扰受害者,使他们意外或无奈地允许通知请求。这种类型的攻击将为公司带来直接的风险,因为员工通常是最容易受到社交工程攻击的威胁载体。除此之外,MFA作为一项关键的安全控制,可用于阻止对关键资产的未授权访问。通常情况下,公司会忽略被破解的密码,或使用要求较低的密码类型,因为有额外的如MFA的补偿性控制。适用于MFA的网络钓鱼工具包和MFA炸弹攻击破除了这种补偿性控制,并再次凸显了口令、深度防御和转向零信任架构的重要性,在这种架构中,企业及个人的安全还需要考虑更多因素。

网络安全领域的大部分情况都是防御者和攻击者之间的军备竞赛,认证方法也不例外。当前,攻击者正在使用各种技术来适应MFA解决方案,包括误植域名、账户接管、MFA设备欺诈和社交工程。因此,应用和网络防御者正在考虑下一步的应对策略。目前,人们对生物识别认证持怀疑态度,因为指纹等生物特征是不可改变的,所以容易被窃取。然而,行为则更难被用于欺骗,通常是针对用户的行为,尤其是在规模上更是如此。这可能包括普遍的行为动作,如使用过的浏览器和所获取的地理位置,网站的导航模式、停留时间等针对应用的行为,以及诸如双击速度、鼠标移动模式、打字速度等用户行为。

短期内,在线快速身份认证(FIDO)联盟的通行证解决方案可能是第一个真正有效缓解社交工程攻击的方法,因为用于认证用户的加密密钥是以他们正在访问的网站地址为基础的。这项新技术能多快被普通用户所采用,仍有待观察。

威胁三:云部署故障排除将带来更多问题

预测云部署的安全事件,听起来是老生常谈,但随着云应用的违规频率不断增加,且规模巨大,F5认为这是值得重申的问题。正如F5在《2022应用保护报告》中强调的那样,大多数云事件都与配置错误有关,通常是过于广泛的访问控制。因此,虽然可能看起来是能轻易做到的事情,但F5安全运营中心(SOC)的工程师们依然发现了很多帮助补救云应用的违规行为,并认识到这些众多问题存在的原因。

实际上,无论是意外还是出于故障排除的目的,许多云用户都致力于在用户和网络层面设置正确地配置访问控制。2022年,F5 SOC时常看到用户创建临时服务用户,然后通过内置身份和访问管理(IAM)策略或内联策略为其分配非常广泛的权限。这些临时用户的创建通常是为了排除问题,或者是为了让依赖特定用户或角色的应用重新启动和运行。F5经常看到这种临时的配置变成永久性的配置,回滚变化也变得更加困难。此外,如果用户使用的是长期固定的凭证,而不是短期凭证,那么这些凭证也有可能以某种方式被盗或泄露。

威胁四:开源软件库将成为攻击的主要目标

软件正变得越来越相互依赖,许多应用和服务都基于开源代码库进行构建,但很少有企业能够准确地说明所使用的每一个库。随着防御者加强应用“周边”(即面向公众的网络应用和API),威胁者自然会将目光投向其他载体。攻击目标逐渐变为应用中第三方代码、代码库和服务。在硬件和软件代码库中,多达78%的代码由开源代码库组成,而非内部开发。作为攻击者,如果知道一个应用超过四分之三的代码是由开源代码库维系的,那么将这些代码库作为目标就变得异常合理了。

近年来,F5发现了越来越多的攻击方式,为依赖开源软件库的企业带来威胁:

· 开发者账户被泄露,通常是由于缺乏MFA,导致恶意代码被插入到广泛使用的库和谷歌浏览器扩充程式中;

· 木马攻击和误植域名攻击,威胁者开发的工具看起来攻击性强,或与广泛使用的开源软件库有非常相似的名字;

· 以黑客攻击的方式,由开源软件库的原作者故意插入破坏性和其他恶意代码。

很显然,上述行为的出现为应用开发的发展带来新挑战。许多现代应用利用软件即服务(SaaS)进行安全防护,如集中式认证、数据库即服务或数据泄密防护(DLP)。如果攻击者能够破坏开源软件(OSS)的代码库或被应用消耗的SaaS产品,那么攻击者就在应用内部有了立足点,能够绕过如Web应用防火墙和API网关的外围防御,从而进行攻击。

这个立足点可以被用来进行不同形式的横向移动(如远程外壳、监控、数据渗漏)。这样做的结果是,软件开发人员希望应用所组成的组件有更强的可见性,最重要的是有一个列举所有软件组件的软件材料清单(SBoM)。这将使软件产品的终端用户能够更迅速有效地确定漏洞是否会影响该产品。

但同时,SBoM的广泛采用也将带来大量技术债务。企业将不得不做出一些重大的内部投资,使旧系统达到最新水平,并修复多达数千的漏洞,或者考虑从头开始打造新一代的产品。当然,客户总要接受他们所选择的产品中存在大量未修复的漏洞,因为它们都是大同小异的。因此,企业应当对产品进行全面革新,而不是置之不理。

而对于未披露漏洞或零日漏洞,检测攻击者的最佳机会是观察软件组件和服务‘内部’应用之间的内部‘东西向’流量以及基础架构即服务(IaaS)的交互方式。现如今,这些互动可以被云安全态势管理(基础架构)、云工作负载保护平台(跨平台),以及应用检测与响应(应用层)所感知;这些独立市场需要整合起来,以提供一个整体视图,而这是高效、准确地检测应用内部威胁所必需的。

威胁五:勒索软件将进一步扩张

加密恶意软件现在已经十分泛滥了。但是,正如MITRE开发的对抗性战术、技术和公共知识库框架提及的勒索软件,这并不全是 “加密数据的影响”。F5发现,包括非加密种类在内,恶意软件是2021年企业数据泄露的最大原因。攻击者的重点是渗透或窃取数据。一旦他们掌握了这些数据,就能够通过不同的方法从中获取收益。

F5 SOC发现,针对数据库的勒索软件正呈现增长趋势。有组织的网络犯罪将继续发展勒索软件技术,并将特别关注关键基础设施。针对云数据库的勒索软件攻击将在未来一年大幅增加,因为企业和政府的关键数据都存储在其中。与传统的恶意软件在文件系统层面加密文件不同,数据库勒索软件能够在数据库内部加密数据。

同时,攻击者将增加尝试次数,通过各种诈骗和下游欺诈手段(如申请新的信用卡),直接从受影响的个人身上获取漏洞数据。从攻击者的心态来看,如果盗窃客户的个人信息不能通过勒索被破坏的组织(例如,要求赎金,威胁释放知识产权等)来赚钱,那么他们的目标就将转移到个人身上。

免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。

关键词:

推荐阅读

运动型轿车是什么 运动型轿车与普通车有何区别?

运动型轿车凭借着外观酷炫,动力性能强的特点,深受国内众多消费者的喜爱。特别是在年轻消费者心目中,运动型轿车基本上是购车的首选。但是 【详细】

汽油清洗剂是什么 汽油清洗剂加在汽油里是干嘛的?

最近有很多车主反映加油的时候总是建议用汽油清洁剂。但是,大部分人还是不太了解,还有就是一部分人纳闷汽油清洗剂加在汽油里是干嘛的?汽 【详细】

中国最便宜的汽车是哪个 最便宜的汽车汇总

现在汽车已经成为了大家最常见的交通代步工具了。但是,依然还是有很多的家庭非常的需要代步工具,却买不起特别贵的汽车。所以今天,我们就 【详细】

伊莱克斯冰箱质量怎么样 伊莱克斯冰箱质量好不好?

伊莱克斯冰箱质量怎么样:在2018年全球500强企业中,伊莱克斯排名第162位,在2020年全球2000强企业中,伊莱克斯排名第1965位,可见伊莱克斯 【详细】

劳动保护用品是什么 劳动保护用品有哪些?

劳动保护用品有哪些?劳动防护用品分为特殊劳动防护用品和一般劳动防护用品,一般劳动防护用品是指未列入目录的一般劳动防护用品。以下产品 【详细】

相关新闻

实现高并发秒杀的七种方式

引言商品秒杀-超卖解决商品超卖方式一(改进版加锁)方式二(AOP版加锁)方式三(悲观锁一)方式四(悲观锁二)方式五(乐观锁)方式六(阻塞 【详细】

全球看热讯:3D渲染引擎 HOOPS Visualize 2023全新发布-增加对顶点着色器支持

HOOPSVisualize是一款工业级3D渲染引擎,可以用于打造移动端和PC端工程应用程序,其灵活、分层的场景管理引擎,支持处理各种3D模型 【详细】

世界看热讯:「升级」Hubstudio多账号安全管理浏览器之扩展中心上线啦!

Hubstudio多账号安全管理系统,到目前为止已经安全管理600w以上的环境账号,而且小编发现大家在环境中最常用的就是插件哦,所以为了给大家在 【详细】

汽车早报 - 消息称蔚来布局百万元级别电动车 广汽称将继续为讴歌中国客户提供售后服务

吉利称2022年新能源销量较上年翻三番1月9日,吉利控股集团官微发布消息称,2022年12月,吉利汽车集团旗下新能源(含吉利、几何、领克、极氪、 【详细】

今头条!车轮上的2022∣新能源与汽车出口带动:全国乘用车零售量同比增长1.9%

21世纪经济报道记者杜巧梅北京报道“‘新十条’改变了车市的封控状态,市场明显回升,部分有购买力的消费者希望尽快提车;同时部分政策到期加 【详细】

谷歌文档新功能:看到非打印字符

谷歌周一在一篇博文中宣布,该公司正在为GoogleDocs增加一项功能,让你看到非打印字符,如空格、制表符和各种类型的断句。该选项将在视图菜单 【详细】

世界新消息丨一加新机质感高级,更有多项黑科技加持,3999的价格入手值吗?

最后一加11出来的时候确实也是惊艳了所有人,产品力相当不俗,而且外观设计什么的也很好看,下面就跟着笔者一起来了解一下吧。 【详细】

焦点信息:中国手机品牌在2022年拿下俄罗斯市场份额65% 但高价机一个没有

2万~4万卢布最受喜欢的手机型号是:RedmiNote10Pro、Honor50Lite、三星GalaxyA52、三星G 【详细】

2022年这5款熟悉的产品向我们告别

在过去的一年里,有很多新产品发布,当然也有很多产品与我们就此别过。这些产品曾陪伴我们的生活,给我们带来欢乐,帮助我们成长。 【详细】

即时:陈副区长事件,引出一个老生常谈的问题,腾讯是否会保留聊天记录

陈副区长事件出来以后,我觉得,她,以及那男的,第一时间,都会删除手机上的聊天记录。如此,再要查那个男人是谁,就难度很大了。 【详细】

我国首个具备独立运行能力的新能源储能项目在内蒙古并网通电

日前,内蒙古自治区阿拉善盟额济纳旗“源网荷储”微电网示范项目完成建设,并初步实现并网供电,下一步将进入联调联试阶段。 【详细】

上海奉贤区初中转学条件2023

上海奉贤区初中转学条件2023寒假,上海奉贤区初中转学对象、不予转学情况如下:一、转学对象1、本市户籍学生;2、随父母到本区居住的非本市户籍 【详细】

新冠病毒变异逻辑的猜测

新冠病毒经历了多代变异。我有个大胆的猜测这个病毒变异的逻辑,是这样的:在遇到前面已经感染的毒株已经无法继续传播了,于是逼着毒株进行了变 【详细】

世界讯息:充1次用10天!史上续航最强的国产手机,太猛了

骁龙8Gen2继续支棱起来,性能释放猛功耗也不错,不需要再担心这方面问题。而iQOO、Redmi和realme持续发力,快充已经 【详细】

全球视点!10个暗藏惊喜的微信小程序,个个好用不要钱,还请低调使用

微信上的小程序非常便捷,无需安装就能使用。下面给大家推荐10个暗藏惊喜的微信小程序,个个好用不要钱,还大家请低调使用。 【详细】

世界热头条丨刘强东告别他的时代?回笼640亿携孕妻现身英国,祖宅半夜被泼漆

但有网友透露出发现刘强东和怀孕的章泽天出现在伦敦街头,有人推测刘强东回笼了640亿资金要移居海外,他老家祖宅半夜还曾被人泼上了油漆。 【详细】

更便捷!威海市立医院互联网医院上线“新冠感染门诊”

为保障群众就医安全、便利,威海市立医院充分发挥互联网医院线上复诊、续方开药等优势,及时开设发热线上咨询、心理线上咨询等互联网医疗服务 【详细】

七大常用的AR开发工具,总有一款适合你!

8thWall的现实引擎于2021年推出,使基于Web的增强现实体验能够立即在大量iOS和Android设备、计算机、平板电 【详细】

天天简讯:Telia为NCC提供面向北欧数字基础设施的全方位服务的ICT解决方案

该解决方案包括用于NCC数字基础设施关键部分的通信服务和数据网络。这些是可扩展、经济高效且灵活的解决方案,可以轻松地用于连接整个公司的新 【详细】

【全球播资讯】小米13Ultra最快2月底见面?或告别万年USB 2.0

声音|小白小米13、小米13Pro发布后大家也一直期待着小米13Ultra,早前消息预计是今年三四月发布,现据91mobiles独家报道 【详细】

关于我们  |  联系方式  |  免责条款  |  招聘信息  |  广告服务  |  帮助中心

联系我们:85 572 98@qq.com备案号:粤ICP备18023326号-40

科技资讯网 版权所有