按照每年RSA大會(huì)的傳統(tǒng)，最后的小組活動(dòng)是最危險(xiǎn)的五大新攻擊技術(shù)會(huì)議，雖然2021年RSA大會(huì)轉(zhuǎn)為了全線上形式，但依舊沿襲了這個(gè)傳統(tǒng)。

[[400967]]

軟件完整性的危機(jī)

SANS研究所的研究員兼主任Ed Skoudis指出，破壞軟件完整性是他在如今看到的最大攻擊載體之一。軟件完整性包括構(gòu)成現(xiàn)代應(yīng)用程序的所有嵌入式庫(kù)和組件的供應(yīng)鏈安全。

Skoudis表示我們今天的軟件開(kāi)發(fā)和分銷過(guò)程的重點(diǎn)全在速度上，一味追求更快地推出新代碼和功能。開(kāi)發(fā)商們不注重可靠性和安全性，而這是一個(gè)相當(dāng)嚴(yán)重的問(wèn)題。

對(duì)此，Skoudis同時(shí)表示，對(duì)于軟件完整性和軟件供應(yīng)鏈管理的問(wèn)題，并沒(méi)有單一的解決方案，企業(yè)需要根據(jù)自身情況來(lái)制定計(jì)劃。首先需要做的就是，組織要知道他們的環(huán)境中有哪些軟件，以便他們能夠?qū)ζ溥M(jìn)行防御。下一步就是要有一個(gè)軟件材料清單，這基本上可以確定構(gòu)成一組特定軟件應(yīng)用程序的所有組件。Skoudis還建議企業(yè)將威脅狩獵也納入其工作流程，以幫助尋找潛在的風(fēng)險(xiǎn)。

會(huì)話處理不當(dāng)?shù)娘L(fēng)險(xiǎn)

SANS研究所的數(shù)字情報(bào)總監(jiān)Heather Mahalik認(rèn)為會(huì)話處理不當(dāng)是最大的風(fēng)險(xiǎn)。

Mahalik警告說(shuō)每次用戶登錄一個(gè)應(yīng)用程序或服務(wù)時(shí)，都會(huì)授予某種形式的訪問(wèn)令牌，以便能夠訪問(wèn)會(huì)話。但有些會(huì)話沒(méi)有很好地保護(hù)令牌，從而導(dǎo)致數(shù)據(jù)可能會(huì)遭泄露或?yàn)E用。

不過(guò)，通過(guò)一些簡(jiǎn)單的步驟，就可以減少會(huì)話處理不當(dāng)?shù)娘L(fēng)險(xiǎn)。Mahalik所建議的最簡(jiǎn)潔有效的措施是，用戶在完成工作后就退出設(shè)備和應(yīng)用會(huì)話。

Mahalik表示，現(xiàn)在的大部分用戶都喜歡保持屏幕打開(kāi)狀態(tài)，喜歡自己的設(shè)備隨時(shí)可用，喜歡勾選未來(lái)七天內(nèi)免密登錄，但這其實(shí)都是不安全的。并且她還鼓勵(lì)開(kāi)發(fā)者們制作有期限限制的令牌，把用戶“踢出”網(wǎng)絡(luò)。

警惕人工智能

SANS技術(shù)研究所所長(zhǎng)Johannes Ullrich警告說(shuō)，被用于惡意目的的人工智能和機(jī)器學(xué)習(xí)是一個(gè)潛在的風(fēng)險(xiǎn)。

Ullrich警告說(shuō)，攻擊者可以影響或操縱機(jī)器學(xué)習(xí)訓(xùn)練數(shù)據(jù)集，這將影響人工智能系統(tǒng)將采取的行動(dòng)。用戶的訓(xùn)練數(shù)據(jù)十分重要，我們需要了解這些模型。明白他們?cè)谧鍪裁?，并知道如何調(diào)整它們。

勒索軟件不僅僅是一個(gè)可用性問(wèn)題

SANS研究所的認(rèn)證講師和情報(bào)總監(jiān)Katie Nickels表示，雖然勒索軟件不是一個(gè)新威脅，但事實(shí)上2021年的勒索軟件正在造成新的風(fēng)險(xiǎn)。

她指出，從歷史上看，勒索軟件一直被作為一個(gè)可用性問(wèn)題來(lái)討論，即數(shù)據(jù)被攻擊者加密之后，而用戶無(wú)法繼續(xù)訪問(wèn)、使用這些數(shù)據(jù)。在她看來(lái)，勒索軟件如今已不再僅僅是一個(gè)可用性問(wèn)題，它開(kāi)始與數(shù)據(jù)泄露聯(lián)系在一起。Nickels解釋說(shuō)，攻擊者現(xiàn)在還會(huì)竊取數(shù)據(jù)，然后將其用于不同的目的，再對(duì)數(shù)據(jù)進(jìn)行加密并索取贖金。

"事實(shí)上，在2020年第四季度，我們發(fā)現(xiàn)超過(guò)70%的勒索軟件案件涉及某種泄露和勒索，"

并且，Nickels還表示這種危險(xiǎn)的新攻擊會(huì)成為新常態(tài)。此后，我們不僅要考慮到數(shù)據(jù)的可用性，還要考慮到數(shù)據(jù)的保密性，并意識(shí)到攻擊者非常有可能會(huì)竊取并導(dǎo)出我們的數(shù)據(jù)。

由于勒索軟件已經(jīng)不僅僅是一個(gè)可用性問(wèn)題，所以關(guān)于組織如何保護(hù)自己的建議也隨之轉(zhuǎn)變。Nickels表示，僅僅擁有一個(gè)離線備份是不夠的，企業(yè)還應(yīng)該采取預(yù)防措施，如禁止任何非必要的文件共享工具。

面對(duì)疫情的壓力和似乎永無(wú)止境的網(wǎng)絡(luò)安全威脅，Nickels提供了一個(gè)鼓舞人心的建議。她指出，前美國(guó)總統(tǒng)羅斯福曾經(jīng)說(shuō)過(guò)，"用你所擁有的東西，在你所處的地方做你能做的事"。在她看來(lái)，這個(gè)建議對(duì)IT安全專業(yè)人員來(lái)說(shuō)同樣適用。

"你可能無(wú)法解決每一個(gè)挑戰(zhàn)，但不要被壓垮，試著從某個(gè)地方重新開(kāi)始。比如從提高你的檢測(cè)能力開(kāi)始，不管這對(duì)你的組織到底能貢獻(xiàn)多少。"Nickels說(shuō)，"無(wú)論在網(wǎng)絡(luò)安全還是在生活中，用你所擁有的和你所處的位置，做你能做的。

來(lái)源：https://www.infosecurity-magazine.com/news/rsac-most-dangerous-new-attack/