上周在拉斯維加斯舉行的Black Hat2022大會連續(xù)第25年通過調(diào)查分析和報告大規(guī)模安全漏洞和網(wǎng)絡(luò)攻擊為業(yè)界敲響警鐘，指明方向。本屆Black Hat大會揭示了企業(yè)網(wǎng)絡(luò)安全的重大趨勢：企業(yè)的網(wǎng)絡(luò)攻擊的“爆炸半徑”將繼續(xù)增長，并延伸到軟件供應(yīng)鏈、開發(fā)運營和技術(shù)堆棧的幾個層面。企業(yè)的技術(shù)堆棧正面臨更復(fù)雜、更具破壞性的網(wǎng)絡(luò)攻擊的風(fēng)險。

技術(shù)堆棧越復(fù)雜，越依賴隱含的信任，就越有可能被黑客入侵。這是美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)前任創(chuàng)始主任克里斯·克雷布斯(Chris Krebs)上周在Black Hat 2022會議上向觀眾發(fā)表的幾條信息之一。Krebs提到，漏洞通常始于構(gòu)建過于復(fù)雜的技術(shù)堆棧，這些堆棧為網(wǎng)絡(luò)犯罪分子創(chuàng)造了更多攻擊面，然后試圖加以利用。

Krebs還強調(diào)了軟件供應(yīng)鏈安全的重要性，并解釋說企業(yè)和全球政府沒有采取足夠的措施來阻止類似SolarWinds的另一次大規(guī)模供應(yīng)鏈攻擊。提供軟件產(chǎn)品的公司同時也在提供攻擊目標。”他指出。

以下，我們整理了Black Hat2022主題演講和廠商發(fā)布中包含的企業(yè)網(wǎng)絡(luò)安全重大趨勢：

一、企業(yè)安全：不斷擴大的爆炸半徑

基礎(chǔ)設(shè)施、devops和企業(yè)軟件漏洞是Black Hat2022企業(yè)安全專場的關(guān)注焦點。此外，如何改進身份訪問管理(IAM)和特權(quán)訪問管理(PAM)、阻止勒索軟件攻擊、減少Azure Active Directory (AD)和SAP HTTP服務(wù)器攻擊以及軟件供應(yīng)鏈安全也都是熱門話題。

持續(xù)集成和持續(xù)交付(CI/CD)管道是軟件供應(yīng)鏈最危險的攻擊面。盡管許多企業(yè)盡最大努力將網(wǎng)絡(luò)安全集成到devops流程的核心部分，但CI/CD軟件管道仍然可以破解。

企業(yè)安全會議上的幾場演講探討了網(wǎng)絡(luò)犯罪分子如何使用遠程代碼執(zhí)行(RCE)和受感染的代碼存儲庫侵入軟件供應(yīng)鏈。其中一個會議特別關(guān)注高級黑客如何使用代碼簽名假冒devops團隊成員。

另一個值得關(guān)注的會議主題是關(guān)于黑客如何快速使用源代碼管理(SCM)系統(tǒng)在整個企業(yè)中實現(xiàn)橫向移動和權(quán)限升級，感染存儲庫并大規(guī)模訪問軟件供應(yīng)鏈（下圖）。

軟件供應(yīng)鏈攻擊風(fēng)險：源代碼管理系統(tǒng)面臨的安全威脅

隨著網(wǎng)絡(luò)犯罪分子技能的不斷提高，企業(yè)技術(shù)堆棧也正成為更容易得手的目標。其中一個演講介紹了黑客利用外部身份鏈接繞過多因素身份驗證(MFA)和條件訪問策略來對Azure AD用戶帳戶進行后門和劫持操作，導(dǎo)致企業(yè)在數(shù)分鐘內(nèi)失去對其技術(shù)堆棧核心部分的控制。

在SAP專有HTTP服務(wù)器的專項研討會上，專家們介紹了網(wǎng)絡(luò)犯罪分子如何利用高級協(xié)議利用技術(shù)利用SAP HTTP服務(wù)器中發(fā)現(xiàn)的兩個內(nèi)存損壞漏洞（CVE-2022-22536和CVE-2022-22532）這兩個漏洞可被遠程利用，未經(jīng)身份驗證的攻擊者可以利用它們來破壞全球任何SAP系統(tǒng)。

惡意軟件攻擊威脅在整個企業(yè)安全領(lǐng)域中不斷升級，攻擊者能夠繞過依賴隱式信任的技術(shù)堆棧并破壞基礎(chǔ)設(shè)施和網(wǎng)絡(luò)。使用機器學(xué)習(xí)(ML)來識別潛在的惡意軟件攻擊并使用先進的分類技術(shù)在攻擊發(fā)生之前就阻止它們是一個非常具有吸引力的研究領(lǐng)域。微軟安全軟件工程師Dmitrijs Trizna介紹了基于Windows內(nèi)核仿真增強機器學(xué)習(xí)的惡意軟件分類技術(shù)，這是一種混合ML架構(gòu)，該架構(gòu)同時利用靜態(tài)和動態(tài)惡意軟件分析方法。

二、網(wǎng)絡(luò)安全供應(yīng)商的關(guān)注焦點：人工智能、API和供應(yīng)鏈安全

超過300家網(wǎng)絡(luò)安全供應(yīng)商在Black Hat 2022上亮相，大多數(shù)新產(chǎn)品發(fā)布都集中在API安全以及軟件供應(yīng)鏈安全領(lǐng)域。

CrowdStrike在Black Hat上發(fā)布了業(yè)界首創(chuàng)的基于AI的IOA（攻擊指標），結(jié)合了云原生ML和人類專業(yè)知識，這標志著網(wǎng)絡(luò)安全業(yè)界正在利用AI和ML快速完善平臺戰(zhàn)略。IOA已被證明可以有效地根據(jù)實際的對手行為來識別和阻止違規(guī)行為，而與攻擊中使用的惡意軟件或漏洞無關(guān)。

CrowdStrike的人工智能驅(qū)動的IOA能夠利用CrowdStrike Security Cloud遙測數(shù)據(jù)訓(xùn)練的云原生ML模型，以及公司威脅搜尋團隊的專業(yè)知識。使用AI和ML以機器速度分析IOA，提供企業(yè)阻止網(wǎng)絡(luò)攻擊所需的準確性、速度和規(guī)模。

CrowdStrike首席產(chǎn)品和工程官Amol Kulkarni表示：“憑借行業(yè)領(lǐng)先的攻擊能力指標，我們在阻止最復(fù)雜的攻擊方面處于領(lǐng)先地位，這標志著安全團隊預(yù)防威脅的方式發(fā)生重大改變：根據(jù)對手行為而不是善變的指標?，F(xiàn)在，我們通過添加AI驅(qū)動的攻擊指標再次改變游戲規(guī)則，這使組織能夠利用CrowdStrike安全云的力量以機器速度大規(guī)模檢查對手行為，以最有效的方式阻止攻擊行為?！?/p>

人工智能驅(qū)動的IOA已識別出20多種前所未見的對手模式，專家已在Falcon平臺上驗證并實施這些模式，以實現(xiàn)自動檢測和預(yù)防。

工程咨詢公司Cundall的首席信息官Lou Lwin說?！敖裉?，攻擊變得越來越復(fù)雜，如果它們是基于機器的攻擊，那么操作員就無法跟上瞬息萬變的威脅形勢。因此，您需要基于機器的防御和了解安全性并非‘一勞永逸’的長期戰(zhàn)略合作伙伴。”

CrowdStrike展示了AI驅(qū)動的IOA用例，包括利用AI識別惡意行為和代碼的后利用有效負載檢測和PowerShell IOA。

AI生成的IOA使用基于云的ML和實時威脅情報來加強現(xiàn)有防御，在運行時分析事件并將IOA動態(tài)發(fā)布到傳感器。然后，傳感器將AI生成的IOA（行為事件數(shù)據(jù)）與本地事件和文件數(shù)據(jù)相關(guān)聯(lián)，以評估惡意行為。CrowdStrike表示，人工智能驅(qū)動的IOA與現(xiàn)有的傳感器防御層異步運行，包括基于傳感器的ML和IOA。

三、API安全是一個戰(zhàn)略弱點

很多網(wǎng)絡(luò)安全供應(yīng)商看到了幫助企業(yè)解決API安全挑戰(zhàn)的機會，推出新API安全解決方案的供應(yīng)商包括Canon Security、Checkmarx、Contrast Security、Cybersixgill、Traceable和Veracode。

在這些新產(chǎn)品中，值得注意的是Checkmarx的API安全方案，它是其著名的Checkmarx One平臺的一個組件。Checkmarx以其在保護CI/CD流程工作流方面的專業(yè)知識而聞名。Checkmark的APISecurity安全方案可以識別僵尸API和未知（影子）API，執(zhí)行自動API發(fā)現(xiàn)和清點，并執(zhí)行以API為中心的修復(fù)。

此外，Traceable AI宣布對其平臺進行多項改進，包括識別和阻止惡意API機器人，識別和跟蹤API濫用、欺詐和誤用，以及預(yù)測整個軟件供應(yīng)鏈中的潛在API攻擊。

四、在供應(yīng)鏈攻擊開始之前阻止它們

在參加Black Hat的300多家供應(yīng)商中，大多數(shù)擁有CI/CD、devops或零信任解決方案的供應(yīng)商都推出了能夠阻止?jié)撛诠?yīng)鏈攻擊的解決方案，這也是本次Black Hat大會炒作熱度最高的主題。軟件供應(yīng)鏈風(fēng)險變得如此嚴重，以至于美國國家標準與技術(shù)研究院(NIST)正在更新其標準，包括NIST SP 1800-34，重點關(guān)注供應(yīng)鏈安全不可或缺的系統(tǒng)和組件。

供應(yīng)鏈安全專家Cycode宣布已為其平臺添加了應(yīng)用程序安全測試(SAST)和容器掃描功能，并引入了軟件組合分析(SCA)。

Veracode以其在安全測試解決方案方面的專業(yè)知識而聞名，為其持續(xù)軟件安全平臺引入了新的增強功能，包括軟件物料清單(SBOM)API、對軟件組合分析(SCA)的支持以及對包括PHP Symfony、Rails在內(nèi)的新框架的支持7.0和Ruby 3.x。

五、開放網(wǎng)絡(luò)安全架構(gòu)框架(OCSF)可滿足企業(yè)安全需求

CISO對端點檢測和響應(yīng)(EDR)、端點管理和安全監(jiān)控平臺最常見的抱怨是：沒有用于跨平臺啟用警報的通用標準。18家領(lǐng)先的安全供應(yīng)商合作應(yīng)對這個挑戰(zhàn)，開發(fā)了開放網(wǎng)絡(luò)安全架構(gòu)框架(OCSF)項目。該項目包括一個開放規(guī)范，該規(guī)范能夠跨廣泛的安全產(chǎn)品和服務(wù)實現(xiàn)安全遙測的規(guī)范化。此外，開源工具也可用于支持和加速OCSF模式的采用。

安全供應(yīng)商AWS和Splunk是OCSF項目的聯(lián)合創(chuàng)始人，該項目還得到了CrowdStrike、Palo AltoNetworks、IBM Security和其他公司的支持。其目標是不斷開發(fā)支持OCSF規(guī)范的新產(chǎn)品和服務(wù)，使來自網(wǎng)絡(luò)監(jiān)控工具、網(wǎng)絡(luò)記錄器和其他軟件的警報標準化，以簡化和加快對數(shù)據(jù)的解釋。

CrowdStrike首席技術(shù)官Michael Sentonas表示：“在CrowdStrike，我們的使命是阻止違規(guī)行為并提高組織的生產(chǎn)力。我們堅信共享數(shù)據(jù)模式的概念，它使企業(yè)能夠理解和消化所有數(shù)據(jù)，簡化其安全運營并降低風(fēng)險?！?/p>