在上月结束的RSAC2021会议上,由SANS研究所的专家主持的年度“五种最危险的新攻击技术及其应对会议”成为了一大亮点。
相对于2020年的威胁列表,今年RSAC大会提出的许多攻击媒介并不都是全新的,一些旧的威胁“沉渣泛起”,而且值得注意的是,研究人员在会议上讨论的威胁并不限于以下五种:
威胁一:命令与控制(C2)卷土重来
SANS研究所的讲师Ed Skoudis强调了“C2的黄金时代”,这是他看到的最大的新威胁之一。C2代表命令控制,通常与从中央命令点控制的僵尸网络活动关联。
Skoudis确定了企业保护自己免受C2活动影响的几种方法。他的建议之一是要求防御者加大出站流量的控制力度、检测信标和异常日志。他还建议安全专业人员强制执行应用程序白名单,以限制可以在企业内部运行的内容。
威胁二:就地取材
Skoudis强调的另一个威胁趋势是“就地取材”,即攻击者利用组织网络中已经存在的工具来从事恶意活动,获取收益。
他说:“如果你是攻击者,你可以先使用操作系统本身的资源来攻击该计算机,并传播到环境中的其他系统里,以此实现就地取材,自给自足。”
业界至少早在2015年就已报道过“就地取材”的概念。
企业可以采取多种措施来保护自己免受“就地取材”的影响。Skoudis推荐的一组资源是LOLBAS项目,该项目提供了有助于识别和限制“就地取材”攻击风险的工具。
威胁三:深度驻留
由于存在持久威胁,Skoudis警告说,恶意软件现在可以以前所未有的方式深深地潜入到设备中。例如,攻击者可以将恶意软件嵌入USB充电电缆中。
以充电线为例,即使企业清除了系统中驻留的恶意软件,但是下次用户插入电缆时,恶意软件将再次感染整个系统。
Skoudis指出,对于个人和公司而言,紧要的不仅是不要在系统中插入任何东西,还要确保从可信来源获得线缆和其他周边设备。
威胁四:移动设备完整性
SANS研究所高级讲师兼数字智能总监Heather Mahalik强调,移动设备的风险是她认为的最大威胁之一。
考虑到手机已成为日常生活中必不可少的一部分,她指出,如果手机落入坏人手中,可能会造成灾难性的后果。她指的不仅是丢失或被盗的设备,还包括未正确擦除先前所有者数据的翻新设备的风险。
她还提到了Apple IOS设备中checkm8漏洞的风险,该硬件漏洞允许checkra1n越狱。
威胁五:警惕2FA双因素认证的“后遗症”
业界推荐使用双因素身份验证(2FA)作为帮助提高用户安全性的最佳实践,但这也不是万能药。Mahalik指出,仅以输入(短信)验证码的方式部署2FA是不够的。
她还警告说,有些应用程序只需要一个电话号码(就可以完成所有账户认证),如果用户放弃他们的电话号码,而运营商随后将该号码重新发行给新客户,则存在风险。
她说:“密码和2FA缺一不可。如果只是其中之一,则该认证方案存在脆弱风险。”
Mahalik建议,当用户获得新的电话号码时,应确保他们对进入2FA的每个应用程序都具有将双因素认证手机号码变更为新号码的权限。
威胁六:企业安全边界漏洞
SANS研究所的研究主任Johannes Ullrich认为企业边界漏洞的风险是最大威胁之一。
在过去的一年中,在广泛部署的企业防火墙和外围安全设备中存在许多公开报告的问题。
除了打补丁外,Ullrich建议用户不要将企业边界设备上的管理界面暴露到互联网上。
威胁七:Localhost API
Ullrich认为值得重视的新威胁之一是嵌入在调用第三方资源的企业应用程序中的localhost API。尽管API的目的是启用诸如技术代理支持之类的功能,但它们也使企业面临潜在风险。
为了限制风险,Ullrich建议用户在可能的情况下,确定正在侦听系统端口的内容,并监视应用程序如何调用外部资源。