下载掌阅APP,畅读海量书库
立即打开
随着持续在线连接的普及和当今可用技术的进步,利用这些技术的不同方面的威胁正在迅速演变。任何设备都容易受到攻击,随着物联网(Internet of Things,IoT)的发展,这成为现实。2016年10月,GitHub、PayPal等公司的DNS提供商遭到一系列分布式拒绝服务(Distributed Denial-of-Service,DDoS)攻击,导致一些主要的Web服务停止工作。利用物联网设备的攻击正呈指数级增长。
根据SonicWall的数据,2018年检测到3270万次物联网攻击,其中一种攻击是VPNFilter恶意软件。
此恶意软件在物联网攻击期间被用来感染路由器并捕获和泄露数据。
这是可能发生的,因为世界各地有大量不安全的物联网设备。虽然使用物联网发动大规模网络攻击还是新鲜事,但这些设备中的漏洞并不新奇。事实上,它们的存在已经有很长一段时间了。2014年,ESET报告了73000个使用默认密码的无保护安全摄像头。2017年4月,IOActive发现有7000台易受攻击的Linksys路由器正在使用中,但IOActive表示可能会有多达100000台路由器暴露于此漏洞之下。
首席执行官(Chief Executive Officer,CEO)甚至可能会问:家用设备中的漏洞与我们公司有什么关系?此时,首席信息安全官(Chief Information Security Officer,CISO)应该准备好给出答案。因为CISO应该更好地了解威胁形势,以及家庭用户设备可能如何影响该公司需要实施的整体安全措施。答案来自两个简单的场景:远程访问和自带设备(Bring Your Own Device,BYOD)。
虽然远程访问不是什么新鲜事,但需要远程办公的员工的数量正呈指数级增长。根据盖洛普(Gallup)的数据,43%的受雇美国人报告说,他们至少有一段时间会远程办公,这意味着他们正在使用自己的基础设施来访问公司的资源。让这个问题变得更加复杂的是,允许在工作场所使用BYOD的公司数量不断增加。请记住,安全使用BYOD有多种方法,但BYOD方案中的大多数故障通常是由于规划和网络架构不佳,从而导致安全问题。
前面提到的所有技术的共同点是什么?它们需要由用户操作,而用户仍然是最大的攻击目标。人是安全链中最薄弱的一环,因此,钓鱼邮件等老式威胁仍在上升。这是因为它们往往通过心理的弱点来引诱用户点击某些东西(如文件附件或恶意链接)。一旦用户执行了这些操作之一,他们的设备通常就会受到恶意软件的危害或被黑客远程访问。2019年4月,IT服务公司Wipro Ltd开始受到网络钓鱼活动的威胁,这被视为之后导致许多客户数据泄露的大型攻击的第一步。这正好表明,即使在所有安全控制措施到位的情况下,网络钓鱼活动依旧有效。
网络钓鱼活动通常被用作攻击者的入口点,并从那里通过其他威胁来利用系统中的漏洞。
利用网络钓鱼电子邮件作为攻击入口点的威胁的最典型例子是勒索软件,而且在日益增多。仅在2016年的前三个月,美国联邦调查局(FBI)就报告称勒索支付金额高达2.09亿美元。根据趋势科技(Trend Micro)的预测,勒索软件的增长将在2017年趋于平稳,但攻击方法和目标将会多样化。这一预测实际上非常准确,正如我们现在可以从Sophos的最新研究中看到的,勒索软件攻击从2020年的51%下降到2021年的37%。
图1.1突出显示了这些攻击与最终用户之间的关联。
图1.1 攻击与最终用户之间的关联
该图显示了最终用户的四个入口点。这些入口点都必须进行风险识别和适当的控制。场景如下所示:
●内部部署和云之间的连接(入口点1)
●自带设备和云之间的连接(入口点2)
●公司设备和内部部署之间的连接(入口点3)
●个人设备和云之间的连接(入口点4)
请注意,这些虽然是不同的场景,但都由一个实体关联:最终用户。所有场景中的公共元素通常都是网络犯罪分子的首选目标,图1.1显示网络犯罪分子访问了云资源。
在所有场景中,还有一个不断出现的重要元素,那就是云计算资源。现实情况中不能忽视的一个事实是,许多公司都在采用云计算。绝大多数公司从混合方案开始,其中基础架构即服务(Infrastructure as a Service,IaaS)是公司的主要云服务。其他一些公司可能会选择将软件即服务(Software as a Service,SaaS)用于某些解决方案,例如,入口点2所示的移动设备管理(Mobile Device Management,MDM)。你可能会认为高度安全的组织(如军队)可能没有云连接。这当然是可能的,但从商业角度来说,云的采用正在增长,并将慢慢主导大多数部署场景。
内部安全也至关重要,因为它是公司的核心,也是大多数用户访问资源的地方。当组织决定通过云提供商扩展其内部基础架构以使用IaaS(入口点1)时,公司需要通过风险评估来评估此连接的威胁以及针对这些威胁的对策。
最后一个场景描述(入口点4)可能会使一些持怀疑态度的分析师颇感兴趣,主要是因为他们可能不会立即看到这个场景与公司的资源有什么关联。是的,这是一台个人设备,与内部资源没有直接连接。但是,如果该设备遭到破坏,那么用户可能会在以下情况下破坏公司的数据:
●从此设备打开公司电子邮件。
●从此设备访问企业SaaS应用程序。
●如果用户对其个人电子邮件和公司账户使用相同的密码,那么可能会通过暴力破解或密码猜测导致账户泄露。
实施技术安全控制有助于减轻针对最终用户的某些威胁。然而,主要的保障是通过持续教育开展安全意识培训。
在意识培训中,需要牢记于心的两种常见攻击是供应链攻击和勒索软件,我们稍后将对此进行更详细的讨论。
根据欧盟网络安全局(European Union Agency for Cybersecurity,ENISA)于2021年7月发布的“供应链攻击威胁形势”(Threat Landscape for Supply Chain Attacks),在对客户的攻击中,大约62%可能源自客户对供应商的信任程度,该数据基于2020年1月至2021年7月报告的24起供应链攻击。还需要补充的是,上面提到的信任关系引自MITRE ATT&CK技术T1199,详见https://attack.mitre.org/techniques/T1199。这种技术被威胁行为者用来通过第三方关系锁定受害者。这种关系可能是受害者和供应商之间的不安全连接。供应链攻击中最常见的一些攻击技术如表1.1所示。
表1.1 常见的供应链攻击技术
为了更好地理解供应链攻击的实施过程,让我们使用图1.2作为参考。
图1.2 供应链攻击示例
在图1.2中,假设威胁行为者已经开始针对供应商的鱼叉式网络钓鱼活动,并且能够获得一些将在步骤3中利用的有效用户凭据。许多专业人员仍然会问:为什么威胁行为者不直接面对受害者(在这种情况下是客户)?因为在这种类型的攻击中,威胁行为者发现了一个更有可能进行更大规模行动的供应商,而且该供应商的安全防御系统较弱,更容易受到攻击。很多时候,真正的受害者有更多适当的安全控制措施,也更难被攻破。
吸引威胁行为者进行此类攻击的另一种情况是,能够危害由多家公司使用的一家供应商。SolarWinds事件就是一个典型的例子,恶意代码被作为软件更新的一部分部署在SolarWinds自己的服务器上,并使用受损的证书签名。更新针对的是部署最广泛的SolarWinds网络管理系统(Network Management System,NMS)Orion。现在,使用该软件并收到该版本更新的每一个客户都将受到威胁。如你所见,威胁行为者不需要危害许多目标,只需要专注于一个目标(供应商)并诱发连锁效应。
为了最大限度地降低组织受到供应链攻击的可能性,你至少应该实施以下最佳实践:
●确定与组织打交道的所有供应商。
●按照优先顺序列举这些供应商。
●定义不同供应商的风险标准。
●调查供应商如何为自己的业务执行供应链缓解措施。
●监控供应链风险和威胁。
●尽量减少对敏感数据的访问。
●实施安全技术控制,例如:
■零信任构架。
■增强工作负载的安全卫生。
在本书中,你还将学到许多其他可以用于此目的的应对措施。
Cognyte的网络威胁情报研究小组在其年度网络情报报告中发布了一些关于勒索软件增长的统计数据,这些数据令人瞠目结舌。一个令人震惊的发现是,在2021年上半年,勒索软件受害者的数量增长了100%,但60%的攻击来自以勒索软件即服务(Ransomware-as-a-Service,RaaS)的方式运营的三个主要组织:
●Conti:参见MITRE ATT&CK文档(https://attack.mitre.org/software/S0575/)。
●Avaddon:参见MITRE ATT&CK文档(https://attack.mitre.org/software/S0640/)。
●Revil:参见MITRE ATT&CK文档(https://attack.mitre.org/software/S0496/)。
同一份报告还显示,制造业领域受害者数量占受害者总量的30%以上,这使其在遭受勒索软件攻击的五大行业中排名第一,其次是金融服务、交通、技术以及法律和人力资源领域。
为了防范勒索软件,必须从头到尾了解它通常的工作过程。以前面提到的Conti和Revil为例,让我们看看它们在整个杀伤链中是如何运作的,如图1.3所示。
可以看到,不同的RaaS将利用不同的方法在网络杀伤链上移动;它们可能在一个或多个阶段利用通用技术,但在大多数情况下,它们会有自己的独有特点。通过了解它们的运行方式,可以确保优先改善你的网络安全卫生状况,以克服基础设施的弱点。
图1.3 RaaS危害系统的示例
图1.4是使用Microsoft Defender for Cloud作为安全态势管理平台的示例,你可以根据MITRE ATT&CK框架审查所有建议。让我们从筛选适用于初始访问阶段的所有建议开始。
图1.4 适用于MITRE ATT&CK初始访问阶段的建议
注意图1.4中指向Tactics筛选器的箭头,在这里你可以选择MITRE ATT&CK阶段。通过使用Microsoft Defender for Cloud中的这一功能,你可以开始根据MITRE ATT&CK策略,对当前打开的安全建议进行优先级排序,并确保你正在增强安全态势。
本演示的目的是向你展示没有“银弹”可以保护组织免受勒索软件的攻击,如果有供应商找到你,试图出售一个黑盒子,声称它足以抵御勒索软件,请远离它,因为防御系统不是这样起作用的。只需查看图1.3,你就可以看到每个阶段针对的最有可能被不同的安全控制系统所监控的不同领域。
让我们以Conti-RaaS的初始访问为例,即RDP暴力攻击。无论如何,管理端口不应该总是用于互联网访问,这就是为什么Microsoft Defender for Cloud等安全态势管理平台为此有专门的建议,如图1.5所示。
你可以看到针对此建议映射的MITRE ATT&CK策略和技术,以及如果不及时采纳此建议将易受攻击的工作负载。这就是需要做的预防工作:安全卫生。此外,你还应该进行威胁检测,以识别没有预测到的情况,因为现在有威胁行为者试图利用开放的管理端口。为此,你还需要能够识别这种攻击类型的安全控制系统。Microsoft Defender for Servers具有针对RDP暴力攻击的检测能力。
图1.5 关闭管理端口的建议
表1.2显示了你可以适当添加的其他缓解控制措施。
表1.2 勒索软件攻击的缓解控制措施
虽然此列表提供了一些关键的缓解措施,但还必须确保你的基础设施足够安全,使威胁行为者在能够危及系统安全的情况下,更难提升权限或进入其他攻击阶段。为了降低威胁行为者在能破坏系统后继续执行其任务的可能性,你应该解决表1.3所示的情况。
根据组织的需求和行业,可能需要额外的安全控制和缓解措施。如前所述,一些威胁行为者正在积极投资于某些行业,因此可能需要增加更多的防护层。
表1.3 防止威胁因素升级的场景和缓解措施
(续)
使用假定入侵的思维模式,我们知道在你的组织受到威胁的情况下做好应对措施非常重要。在存在勒索软件时,一旦得知某个威胁行为者已经攻陷了某个系统并提升了权限,你怎么办?在这种情况下,目的始终是最小化威胁行为者可能拥有的财务杠杆。为此,你需要确保:
●一个处于安全位置的良好备份,最好与生产环境隔离,并且你信任该备份,因为你会通过恢复一些数据来验证备份,从而对其进行常规测试。
●访问此备份的保护已到位。并非每个人都应该有权访问该备份,任何有权访问该备份的人都需要使用强大的身份验证机制,包括多因子认证(Multi-Factor Authentication,M FA)。
●制定灾难恢复计划,准确了解在紧急情况下需要做什么。
●对静态数据进行加密,以确保即使威胁行为者能够访问数据,也无法读取数据。
如果这些要素都满足,则将大大降低威胁行为者进行违规行为时所带来的损失。
虽然威胁行为者可以使用多种技术来实施攻击,如供应链攻击和勒索软件,但要注意,他们可以从多个不同的入口点进行攻击。用户将使用他们的凭据与应用程序进行交互,以便使用数据或将数据写入位于云中或本地的服务器。粗体显示的内容都具有独特的威胁前景,必须加以识别和处理。我们将在接下来的章节中对这些领域加以讨论。
根据Verizon的2020年数据泄露调查报告,不同的行业,威胁行为者及其动机和他们的作案手法也会有所不同(该报告相关信息参见https://www.verizon.com/business/resources/reports/2021/2021-data-breach-investigations-report.pdf?_ga=2.263398479.2121892108.1637767614-1913653505.1637767614)。然而,该报告指出,针对凭据的攻击仍然是最常见的攻击之一。这些数据非常重要,因为它表明威胁行为者正在攻击用户的凭据,从而使得公司必须特别关注用户及其访问权限的身份验证和授权。
业界已经达成共识,用户的身份就是新的边界。这需要专门设计的安全控制措施,以便根据个人的工作和对网络中特定数据的需求对其进行身份验证和授权。凭据盗窃可能只是让网络罪犯能够访问你的系统的第一步。在网络中拥有一个有效的用户账户将使他们能够横向移动(支点),并在某种程度上找到适当的机会将权限提升到域管理员账户。
因此,基于旧的深度防御概念仍然是保护用户身份的好策略,如图1.6所示。
图1.6 多层身份保护
图1.6中有多层保护,从对账户的常规安全策略实施开始,遵循行业最佳实践,例如,强密码要求,包括频繁更改密码和使用高强度密码。
保护用户身份的另一个日益增长的趋势是强制执行M FA。一种正在被越来越多地采用的方法是回调功能,用户最初使用自己的凭据(用户名和密码)进行身份验证,然后接收到输入PIN码的请求。如果身份验证成功,则用户将被授权访问系统或网络。我们将在第7章更详细地探讨这个问题。另一个重要的层是持续监控,因为到了最后,如果你不主动监控自己的身份以了解正常的行为并识别可疑的活动,那么拥有所有的安全控制层是没有任何意义的。我们将在第12章中详细介绍这部分内容。
应用程序(APP)是用户消费数据,并将信息传输、处理或存储到系统中的入口点。应用程序的发展速度很快,基于SaaS的应用程序的采用量也在不断增加。然而,这种应用程序的搭配也存在固有的问题,以下是两种典型的例子:
●安全性:这些内部开发以及你为之付费的应用程序的安全性如何?
●公司应用程序与个人应用程序:用户将在其设备上拥有自己的应用程序集(自带设备场景)。这些应用程序如何危及公司的安全态势?它们是否会导致潜在的数据泄露?
如果你的开发小组在内部构建应用程序,则应采取措施确保他们在整个软件开发生命周期中使用安全的框架,例如,微软的SDL(Security Development Lifecycle,安全开发生命周期)(SDL的详细信息可以在https://www.microsoft.com/sdl查找)。如果要使用SaaS应用程序,如Office 365,则你需要确保阅读供应商的安全和合规策略,其目的是查看供应商和SaaS应用程序是否能够满足公司的安全和合规要求。
应用程序面临的另一个安全挑战是如何在不同的应用程序之间处理公司的数据,即公司使用和批准的应用程序以及最终用户使用的应用程序(个人应用程序)。
这个问题在SaaS中变得更加严重,因为在SaaS中,用户使用的许多应用程序可能不安全。支持应用程序的传统网络安全方法并非为保护SaaS应用程序中的数据而设计,更糟糕的是,它们不能让IT部门了解到员工的使用情况。此场景也被称为影子IT,根据云安全联盟(Cloud Security Alliance,CSA)进行的一项调查,只有8%的公司知道影子IT在其组织内的范围。你不能保护自己不知道所拥有的东西,这是危险所在。
根据2016年卡巴斯基全球IT风险报告,54%的企业认为主要的IT安全威胁与通过移动设备不恰当地共享数据有关。IT部门有必要控制应用程序,并跨设备(公司所有和自带设备)实施安全策略。你要缓解的关键场景之一如图1.7所示。
图1.7 企业应用程序审批隔离的自带设备方案
在这个场景中,有用户的个人平板电脑,其中安装有批准的应用程序,以及个人的应用程序。如果没有可以将设备与应用程序集成管理的平台,该公司将面临潜在的数据泄露风险。
在这种情况下,如果用户将Excel电子表格下载到自己的设备上,然后将其上传到个人Dropbox云存储,并且电子表格包含公司的机密信息,那么用户现在已经在公司不知情或无法保护数据的情况下造成了数据泄露。
无论数据的当前状态如何(传输中或静止),保护数据都很重要。在不同的状态下,数据可能存在不同的威胁。表1.4中是潜在威胁和对策的一些示例。
这些只是潜在威胁和建议对策的一些示例。必须进行更深入的分析,才能根据客户的需求全面了解数据路径。每个客户在数据路径、合规、规则和法规方面都有自己的特殊性。在项目开始之前就了解这些需求也至关重要。
表1.4 不同数据状态的威胁和策略
正如你从我们所讨论的主题中看到的,在当前的安全威胁形势下,有许多不同的领域需要考虑。你必须考虑应用程序、数据、凭据、供应链攻击和勒索软件面临的独特问题,以便更好地应对威胁。
考虑到这一点,我们现在继续讨论网络安全挑战,更具体地说,我们将研究特定攻击如何塑造网络安全格局,以及威胁行为者使用的技术如何随着时间的推移而演变。