2021年最危險的七大攻擊技術(shù)

安全牛
安全牛
由于存在持久威脅,Skoudis警告說,惡意軟件現(xiàn)在可以以前所未有的方式深深地潛入到設(shè)備中。例如,攻擊者可以將惡意軟件嵌入USB充電電纜中。

360截圖16251112669372.png

在上月結(jié)束的RSAC2021會議上,由SANS研究所的專家主持的年度“五種最危險的新攻擊技術(shù)及其應(yīng)對會議”成為了一大亮點。

相對于2020年的威脅列表,今年RSAC大會提出的許多攻擊媒介并不都是全新的,一些舊的威脅“沉渣泛起”,而且值得注意的是,研究人員在會議上討論的威脅并不限于以下五種:

威脅一:命令與控制(C2)卷土重來

SANS研究所的講師Ed Skoudis強(qiáng)調(diào)了“C2的黃金時代”,這是他看到的最大的新威脅之一。C2代表命令控制,通常與從中央命令點控制的僵尸網(wǎng)絡(luò)活動關(guān)聯(lián)。

Skoudis確定了企業(yè)保護(hù)自己免受C2活動影響的幾種方法。他的建議之一是要求防御者加大出站流量的控制力度、檢測信標(biāo)和異常日志。他還建議安全專業(yè)人員強(qiáng)制執(zhí)行應(yīng)用程序白名單,以限制可以在企業(yè)內(nèi)部運行的內(nèi)容。

威脅二:就地取材

Skoudis強(qiáng)調(diào)的另一個威脅趨勢是“就地取材”,即攻擊者利用組織網(wǎng)絡(luò)中已經(jīng)存在的工具來從事惡意活動,獲取收益。

他說:“如果你是攻擊者,你可以先使用操作系統(tǒng)本身的資源來攻擊該計算機(jī),并傳播到環(huán)境中的其他系統(tǒng)里,以此實現(xiàn)就地取材,自給自足。”

業(yè)界至少早在2015年就已報道過“就地取材”的概念。

企業(yè)可以采取多種措施來保護(hù)自己免受“就地取材”的影響。Skoudis推薦的一組資源是LOLBAS項目,該項目提供了有助于識別和限制“就地取材”攻擊風(fēng)險的工具。

威脅三:深度駐留

由于存在持久威脅,Skoudis警告說,惡意軟件現(xiàn)在可以以前所未有的方式深深地潛入到設(shè)備中。例如,攻擊者可以將惡意軟件嵌入USB充電電纜中。

以充電線為例,即使企業(yè)清除了系統(tǒng)中駐留的惡意軟件,但是下次用戶插入電纜時,惡意軟件將再次感染整個系統(tǒng)。

Skoudis指出,對于個人和公司而言,緊要的不僅是不要在系統(tǒng)中插入任何東西,還要確保從可信來源獲得線纜和其他周邊設(shè)備。

威脅四:移動設(shè)備完整性

SANS研究所高級講師兼數(shù)字智能總監(jiān)Heather Mahalik強(qiáng)調(diào),移動設(shè)備的風(fēng)險是她認(rèn)為的最大威脅之一。

考慮到手機(jī)已成為日常生活中必不可少的一部分,她指出,如果手機(jī)落入壞人手中,可能會造成災(zāi)難性的后果。她指的不僅是丟失或被盜的設(shè)備,還包括未正確擦除先前所有者數(shù)據(jù)的翻新設(shè)備的風(fēng)險。

她還提到了Apple IOS設(shè)備中checkm8漏洞的風(fēng)險,該硬件漏洞允許checkra1n越獄。

威脅五:警惕2FA雙因素認(rèn)證的“后遺癥”

業(yè)界推薦使用雙因素身份驗證(2FA)作為幫助提高用戶安全性的最佳實踐,但這也不是萬能藥。Mahalik指出,僅以輸入(短信)驗證碼的方式部署2FA是不夠的。

她還警告說,有些應(yīng)用程序只需要一個電話號碼(就可以完成所有賬戶認(rèn)證),如果用戶放棄他們的電話號碼,而運營商隨后將該號碼重新發(fā)行給新客戶,則存在風(fēng)險。

她說:“密碼和2FA缺一不可。如果只是其中之一,則該認(rèn)證方案存在脆弱風(fēng)險。”

Mahalik建議,當(dāng)用戶獲得新的電話號碼時,應(yīng)確保他們對進(jìn)入2FA的每個應(yīng)用程序都具有將雙因素認(rèn)證手機(jī)號碼變更為新號碼的權(quán)限。

威脅六:企業(yè)安全邊界漏洞

SANS研究所的研究主任Johannes Ullrich認(rèn)為企業(yè)邊界漏洞的風(fēng)險是最大威脅之一。

在過去的一年中,在廣泛部署的企業(yè)防火墻和外圍安全設(shè)備中存在許多公開報告的問題。

除了打補(bǔ)丁外,Ullrich建議用戶不要將企業(yè)邊界設(shè)備上的管理界面暴露到互聯(lián)網(wǎng)上。

威脅七:Localhost API

Ullrich認(rèn)為值得重視的新威脅之一是嵌入在調(diào)用第三方資源的企業(yè)應(yīng)用程序中的localhost API。盡管API的目的是啟用諸如技術(shù)代理支持之類的功能,但它們也使企業(yè)面臨潛在風(fēng)險。

為了限制風(fēng)險,Ullrich建議用戶在可能的情況下,確定正在偵聽系統(tǒng)端口的內(nèi)容,并監(jiān)視應(yīng)用程序如何調(diào)用外部資源。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論