本文來(lái)自微信公眾號(hào)“安全牛”。
2022年,大量企業(yè)組織開(kāi)始關(guān)注AppSec(應(yīng)用程序系統(tǒng)的安全性),并將其作為保障組織數(shù)字化轉(zhuǎn)型發(fā)展的推動(dòng)因素。而在此前,AppSec往往被視為阻礙業(yè)務(wù)系統(tǒng)快捷運(yùn)行的一種障礙。通過(guò)正確實(shí)施AppSec計(jì)劃,不僅可以保障企業(yè)業(yè)務(wù)的穩(wěn)定開(kāi)展,而且可以避免安全攻擊導(dǎo)致的財(cái)產(chǎn)和商譽(yù)損失。不過(guò)有安全研究人員表示,為了在2023年提高應(yīng)用程序的安全性,企業(yè)組織應(yīng)該為AppSec制定專(zhuān)門(mén)的事件響應(yīng)計(jì)劃。
AppSec威脅形勢(shì)嚴(yán)峻
2022年初爆發(fā)的Log4j漏洞,讓很多企業(yè)陷入了業(yè)務(wù)系統(tǒng)應(yīng)用防護(hù)的困境,這突出表明了目前大多數(shù)的組織還不熟悉應(yīng)用程序的構(gòu)成組件,也沒(méi)有找到在應(yīng)用開(kāi)發(fā)過(guò)程中保證安全性的方法。據(jù)Sonatype最新發(fā)布的AppSec態(tài)勢(shì)研究報(bào)告研究認(rèn)為,2023年的AppSec威脅形勢(shì)將依然嚴(yán)峻,很多企業(yè)需要與不安全的應(yīng)用程序、脆弱的軟件組件以及易受攻擊的云服務(wù)開(kāi)展斗爭(zhēng)。
報(bào)告數(shù)據(jù)顯示,軟件供應(yīng)鏈攻擊在2021年快速增長(zhǎng)了633%,其中有41%的應(yīng)用程序組件還是易受攻擊的版本。與此同時(shí),隨著企業(yè)組織將IT基礎(chǔ)設(shè)施遷移至云端,并采用更多的Web應(yīng)用程序,這導(dǎo)致對(duì)API使用快速增長(zhǎng),平均每家企業(yè)使用了15,600個(gè)API。這也使得企業(yè)中的員工成為可被利用的攻擊路徑。攻擊者可以通過(guò)勒索軟件、惡意軟件、網(wǎng)絡(luò)釣魚(yú)和詐騙等諸多手段,通過(guò)普通員工的人為錯(cuò)誤達(dá)成攻擊企圖。
在2022年,有83%的受訪企業(yè)遭受了基于電子郵件的網(wǎng)絡(luò)釣魚(yú)攻擊,這很容易導(dǎo)致憑據(jù)失竊,繼而危及Web應(yīng)用程序和云基礎(chǔ)設(shè)施。西班牙桑坦德銀行(Banco Santander)網(wǎng)絡(luò)安全研究全球主管Daniel Cuthbert認(rèn)為,通過(guò)一些非常簡(jiǎn)單的社會(huì)工程技術(shù)就可以繞過(guò)企業(yè)多層應(yīng)用安全措施,實(shí)現(xiàn)訪問(wèn)敏感數(shù)據(jù)、系統(tǒng)和網(wǎng)絡(luò)的攻擊目標(biāo),而對(duì)此的防范措施還很不完善。
除此之外,攻擊者還專(zhuān)注于通過(guò)在網(wǎng)絡(luò)邊緣運(yùn)行的許多安全控制來(lái)鎖定應(yīng)用程序。在2022年舉行的Black Hat Asia會(huì)議上,研究人員就展示了通過(guò)WAF設(shè)備漏洞進(jìn)行入侵攻擊的方法。而在2021年12月,網(wǎng)絡(luò)安全公司Claroty也同樣演示了如何使用JSON繞過(guò)五款主流WAF產(chǎn)品進(jìn)行模擬攻擊。
制定專(zhuān)屬事件響應(yīng)計(jì)劃
隨著AppSec威脅變得越來(lái)越普遍,企業(yè)安全團(tuán)隊(duì)?wèi)?yīng)該在應(yīng)用系統(tǒng)安全事件響應(yīng)方面做得更好。通過(guò)制定專(zhuān)門(mén)的AppSec事件響應(yīng)計(jì)劃,企業(yè)可以更好地應(yīng)對(duì)AppSec威脅,為各種可能出現(xiàn)的應(yīng)用系統(tǒng)攻擊做好準(zhǔn)備。主要原因包括:
軟件開(kāi)發(fā)成為新的攻擊面:由于軟件系統(tǒng)的研發(fā)速度不斷加快,開(kāi)發(fā)人員成為一個(gè)重要的攻擊目標(biāo)。根據(jù)供應(yīng)鏈攻擊防護(hù)的要求,企業(yè)安全團(tuán)隊(duì)需要對(duì)業(yè)務(wù)有更深入的了解,他們必須能夠展示出具備數(shù)據(jù)管理和評(píng)估安全問(wèn)題的領(lǐng)導(dǎo)力,而不是在安全攻擊發(fā)生后成為研發(fā)部門(mén)的負(fù)擔(dān);
大規(guī)模災(zāi)難事件:供應(yīng)鏈攻擊通常是大規(guī)模災(zāi)難事件,可能在一次“攻擊”中影響數(shù)千個(gè)組織。標(biāo)準(zhǔn)的安全事件響應(yīng)計(jì)劃通常不適用于需要外部協(xié)商的大規(guī)模應(yīng)用系統(tǒng)安全事件。外部的安全專(zhuān)家們此時(shí)可能已經(jīng)不堪重負(fù),而企業(yè)組織卻無(wú)法承擔(dān)響應(yīng)延遲的后果與損失;
AppSec還是一個(gè)不成熟的領(lǐng)域:AppSec的重要性直到最近才得到企業(yè)組織的關(guān)注,這也是安全團(tuán)隊(duì)必須正視的客觀現(xiàn)象,因此很多安全人員對(duì)這類(lèi)威脅的認(rèn)知并不全面。如今,隨著應(yīng)用程序攻擊面不斷擴(kuò)大并在全球范圍內(nèi)相互交織,可用的解決方案和專(zhuān)有技術(shù)在能力上仍然存在不足;
攻擊者并不需要先進(jìn)的技術(shù):由于企業(yè)缺乏足夠的工具來(lái)保護(hù)行業(yè)免受供應(yīng)鏈風(fēng)險(xiǎn)的影響,并且現(xiàn)有的安全工具仍然不夠完善。這對(duì)攻擊者而言是非常有利的,一旦攻擊成功,他們可以從數(shù)千個(gè)組織獲得重要數(shù)據(jù),而非一個(gè)組織。在防御方面,組織對(duì)通過(guò)CI/CD構(gòu)建的應(yīng)用系統(tǒng)缺乏可見(jiàn)性,對(duì)開(kāi)發(fā)過(guò)程的可見(jiàn)性更少,這使得保護(hù)AppSec非常困難。
事件響應(yīng)是一項(xiàng)專(zhuān)業(yè)的工作,涉及大量的資源和策略,并非一蹴而就的,每個(gè)AppSec事件響應(yīng)計(jì)劃都只適合特定的組織。以下是針對(duì)惡意應(yīng)用系統(tǒng)攻擊(如ESLint攻擊)的基本AppSec事件響應(yīng)清單示例:
1.檢查CI日志,查看惡意包的具體使用情況;
2.識(shí)別被惡意代碼獲取到訪問(wèn)權(quán)限的資產(chǎn);
3.識(shí)別所有可能受到損害的憑據(jù),并在相關(guān)環(huán)境中更新/輪換所有憑據(jù);
4.識(shí)別所有提交了惡意包的相關(guān)開(kāi)發(fā)人員,輪換相關(guān)憑據(jù),并讓安全或IT部門(mén)對(duì)其工作站進(jìn)行調(diào)查;
5.通知研發(fā)部門(mén)(R&D)存在惡意包嫌疑,相關(guān)密鑰需要盡快輪換;
6.審計(jì)對(duì)組織資產(chǎn)的所有訪問(wèn)。識(shí)別任何表明憑據(jù)使用被破壞的異常情況。在初始事件響應(yīng)之后繼續(xù)執(zhí)行此步驟;
在采取以上步驟的同時(shí),企業(yè)管理層應(yīng)該考慮并起草一份針對(duì)攻擊事件的公開(kāi)回應(yīng),并讓所有利益相關(guān)者和部門(mén)參與進(jìn)來(lái),共同完成后續(xù)的事件處置工作。