伴隨新年鐘聲的敲響，全新的2023年就將到來。對于網(wǎng)絡(luò)安全領(lǐng)域的從業(yè)者來說，在迎新的同時，還需要關(guān)注在新一年里可能的網(wǎng)絡(luò)安全威脅。畢竟，威脅攻擊者很少會等到新年的鐘聲敲響才突然發(fā)起新型攻擊，威脅的變化通常是緩慢演進的，并且會不斷適應(yīng)改進中的安全策略。

對此，F(xiàn)5安全運營中心（SOC）的工程師們?nèi)翰呷毫ΓA(yù)測了2023年會出現(xiàn)的五大網(wǎng)絡(luò)安全風(fēng)險，從而為企業(yè)提供前瞻性洞察分析，為網(wǎng)絡(luò)安全保駕護航。

威脅一：影子API將帶來不可預(yù)知的漏洞

今天，應(yīng)用程序接口（APIs）正在迅速普及。移動應(yīng)用的融合、組織間的數(shù)據(jù)共享以及不斷增加的應(yīng)用程序自動化，使得在2021年有11.3億個請求通過以API為中心的開發(fā)者工具Postman提交。然而，根據(jù)Postman發(fā)布的API狀況報告中顯示，48%的調(diào)查對象承認每月要處理至少一次API安全事件。

與網(wǎng)絡(luò)安全的所有方面一樣，你無法為未知內(nèi)容提供保障。F5認為，影子API代表了一種日益增長的風(fēng)險，可能會導(dǎo)致大規(guī)模數(shù)據(jù)泄露，而受到侵害的組織甚至不知道這種風(fēng)險的存在。

時至今日，許多企業(yè)沒有準確的API庫存清單，因此導(dǎo)致了一種新的威脅形式，即“影子API”。擁有成熟API開發(fā)流程的企業(yè)會保存一個API庫存清單的資產(chǎn)目錄，理想狀態(tài)下會包含所有可用的API端點信息、可接受參數(shù)的細節(jié)、認證和授權(quán)信息等。然而，許多企業(yè)由于沒有API庫存清單，生產(chǎn)中的API和受益于持續(xù)開發(fā)的API將會偏離于它們在清單中的原始定義。在這兩種情況下都會出現(xiàn)組織不可見的公開API，這些API被稱為“影子API”，而許多應(yīng)用會通過“影子API”被攻破，而企業(yè)對這些API了解甚少，甚至毫無察覺。

威脅二：多重身份驗證將失去效力

在F5發(fā)布的??《2020網(wǎng)絡(luò)釣魚和欺詐報告》??中，F(xiàn)5演示了攻擊者如何使用實時網(wǎng)絡(luò)釣魚代理來繞過多重身份驗證（MFA）系統(tǒng)。在實時網(wǎng)絡(luò)釣魚代理攻擊中使用的虛假網(wǎng)站中，攻擊者收集了常見的6位數(shù)MFA驗證碼，并用它來驗證真正的目標網(wǎng)站。由于攻擊是實時發(fā)生的，包括短信、移動端認證應(yīng)用，甚至令牌在內(nèi)的MFA方法都沒有能夠打敗實時網(wǎng)絡(luò)釣魚代理。自2020年以來，F(xiàn)5持續(xù)分享了繞過MFA的技術(shù)增長趨勢報告，從??會話重用攻擊??到??可竊取MFA代碼的移動惡意軟件??，幫助企業(yè)高效規(guī)避網(wǎng)絡(luò)攻擊。

為了減少MFA阻力，許多新的解決方案依賴于推送通知。當(dāng)用戶試圖登錄一個系統(tǒng)時，現(xiàn)代解決方案不是要求他們手動輸入多因素認證代碼，而是向用戶的注冊手機發(fā)送推送通知，要求他們允許或拒絕登入操作。

但是，MFA疲勞攻擊只會越來越頻繁和有效。這種攻擊的目的是通過用大量的認證請求騷擾受害者，使他們意外或無奈地允許通知請求。這種類型的攻擊將為公司帶來直接的風(fēng)險，因為員工通常是最容易受到社交工程攻擊的威脅載體。除此之外，MFA作為一項關(guān)鍵的安全控制，可用于阻止對關(guān)鍵資產(chǎn)的未授權(quán)訪問。通常情況下，公司會忽略被破解的密碼，或使用要求較低的密碼類型，因為有額外的如MFA的補償性控制。適用于MFA的網(wǎng)絡(luò)釣魚工具包和MFA炸彈攻擊破除了這種補償性控制，并再次凸顯了口令、深度防御和轉(zhuǎn)向零信任架構(gòu)的重要性，在這種架構(gòu)中，企業(yè)及個人的安全還需要考慮更多因素。

網(wǎng)絡(luò)安全領(lǐng)域的大部分情況都是防御者和攻擊者之間的軍備競賽，認證方法也不例外。當(dāng)前，攻擊者正在使用各種技術(shù)來適應(yīng)MFA解決方案，包括誤植域名、賬戶接管、MFA設(shè)備欺詐和社交工程。因此，應(yīng)用和網(wǎng)絡(luò)防御者正在考慮下一步的應(yīng)對策略。目前，人們對生物識別認證持懷疑態(tài)度，因為指紋等生物特征是不可改變的，所以容易被竊取。然而，行為則更難被用于欺騙，通常是針對用戶的行為，尤其是在規(guī)模上更是如此。這可能包括普遍的行為動作，如使用過的瀏覽器和所獲取的地理位置，網(wǎng)站的導(dǎo)航模式、停留時間等針對應(yīng)用的行為，以及諸如雙擊速度、鼠標移動模式、打字速度等用戶行為。

短期內(nèi)，在線快速身份認證（FIDO）聯(lián)盟的通行證解決方案可能是第一個真正有效緩解社交工程攻擊的方法，因為用于認證用戶的加密密鑰是以他們正在訪問的網(wǎng)站地址為基礎(chǔ)的。這項新技術(shù)能多快被普通用戶所采用，仍有待觀察。

威脅三：云部署故障排除將帶來更多問題

預(yù)測云部署的安全事件，聽起來是老生常談，但隨著云應(yīng)用的違規(guī)頻率不斷增加，且規(guī)模巨大，F(xiàn)5認為這是值得重申的問題。正如F5在??《2022應(yīng)用保護報告》??中強調(diào)的那樣，大多數(shù)云事件都與配置錯誤有關(guān)，通常是過于廣泛的訪問控制。因此，雖然可能看起來是能輕易做到的事情，但F5安全運營中心（SOC）的工程師們依然發(fā)現(xiàn)了很多幫助補救云應(yīng)用的違規(guī)行為，并認識到這些眾多問題存在的原因。

實際上，無論是意外還是出于故障排除的目的，許多云用戶都致力于在用戶和網(wǎng)絡(luò)層面設(shè)置正確地配置訪問控制。2022年，F(xiàn)5 SOC時?？吹接脩魟?chuàng)建臨時服務(wù)用戶，然后通過內(nèi)置身份和訪問管理（IAM）策略或內(nèi)聯(lián)策略為其分配非常廣泛的權(quán)限。這些臨時用戶的創(chuàng)建通常是為了排除問題，或者是為了讓依賴特定用戶或角色的應(yīng)用重新啟動和運行。F5經(jīng)常看到這種臨時的配置變成永久性的配置，回滾變化也變得更加困難。此外，如果用戶使用的是長期固定的憑證，而不是短期憑證，那么這些憑證也有可能以某種方式被盜或泄露。

威脅四：開源軟件庫將成為攻擊的主要目標

軟件正變得越來越相互依賴，許多應(yīng)用和服務(wù)都基于開源代碼庫進行構(gòu)建，但很少有企業(yè)能夠準確地說明所使用的每一個庫。隨著防御者加強應(yīng)用“周邊”（即面向公眾的網(wǎng)絡(luò)應(yīng)用和API），威脅者自然會將目光投向其他載體。攻擊目標逐漸變?yōu)閼?yīng)用中第三方代碼、代碼庫和服務(wù)。在硬件和軟件代碼庫中，多達78%的代碼由開源代碼庫組成，而非內(nèi)部開發(fā)。作為攻擊者，如果知道一個應(yīng)用超過四分之三的代碼是由開源代碼庫維系的，那么將這些代碼庫作為目標就變得異常合理了。

近年來，F(xiàn)5發(fā)現(xiàn)了越來越多的攻擊方式，為依賴開源軟件庫的企業(yè)帶來威脅：

·       開發(fā)者賬戶被泄露，通常是由于缺乏MFA，導(dǎo)致惡意代碼被插入到廣泛使用的庫和谷歌瀏覽器擴充程式中；

·       木馬攻擊和誤植域名攻擊，威脅者開發(fā)的工具看起來攻擊性強，或與廣泛使用的開源軟件庫有非常相似的名字；

·       以黑客攻擊的方式，由開源軟件庫的原作者故意插入破壞性和其他惡意代碼。

很顯然，上述行為的出現(xiàn)為應(yīng)用開發(fā)的發(fā)展帶來新挑戰(zhàn)。許多現(xiàn)代應(yīng)用利用軟件即服務(wù)（SaaS）進行安全防護，如集中式認證、數(shù)據(jù)庫即服務(wù)或數(shù)據(jù)泄密防護（DLP）。如果攻擊者能夠破壞開源軟件（OSS）的代碼庫或被應(yīng)用消耗的SaaS產(chǎn)品，那么攻擊者就在應(yīng)用內(nèi)部有了立足點，能夠繞過如Web應(yīng)用防火墻和API網(wǎng)關(guān)的外圍防御，從而進行攻擊。

這個立足點可以被用來進行不同形式的橫向移動（如遠程外殼、監(jiān)控、數(shù)據(jù)滲漏）。這樣做的結(jié)果是，軟件開發(fā)人員希望應(yīng)用所組成的組件有更強的可見性，最重要的是有一個列舉所有軟件組件的軟件材料清單（SBoM）。這將使軟件產(chǎn)品的終端用戶能夠更迅速有效地確定漏洞是否會影響該產(chǎn)品。

但同時，SBoM的廣泛采用也將帶來大量技術(shù)債務(wù)。企業(yè)將不得不做出一些重大的內(nèi)部投資，使舊系統(tǒng)達到最新水平，并修復(fù)多達數(shù)千的漏洞，或者考慮從頭開始打造新一代的產(chǎn)品。當(dāng)然，客戶總要接受他們所選擇的產(chǎn)品中存在大量未修復(fù)的漏洞，因為它們都是大同小異的。因此，企業(yè)應(yīng)當(dāng)對產(chǎn)品進行全面革新，而不是置之不理。

而對于未披露漏洞或零日漏洞，檢測攻擊者的最佳機會是觀察軟件組件和服務(wù)‘內(nèi)部’應(yīng)用之間的內(nèi)部‘東西向’流量以及基礎(chǔ)架構(gòu)即服務(wù)（IaaS）的交互方式?，F(xiàn)如今，這些互動可以被云安全態(tài)勢管理（基礎(chǔ)架構(gòu)）、云工作負載保護平臺（跨平臺），以及應(yīng)用檢測與響應(yīng)（應(yīng)用層）所感知；這些獨立市場需要整合起來，以提供一個整體視圖，而這是高效、準確地檢測應(yīng)用內(nèi)部威脅所必需的。

威脅五：勒索軟件將進一步擴張

加密惡意軟件現(xiàn)在已經(jīng)十分泛濫了。但是，正如MITRE開發(fā)的對抗性戰(zhàn)術(shù)、技術(shù)和公共知識庫框架提及的勒索軟件，這并不全是“加密數(shù)據(jù)的影響”。F5發(fā)現(xiàn)，包括非加密種類在內(nèi)，??惡意軟件是2021年企業(yè)數(shù)據(jù)泄露的最大原因??。攻擊者的重點是滲透或竊取數(shù)據(jù)。一旦他們掌握了這些數(shù)據(jù)，就能夠通過不同的方法從中獲取收益。

F5 SOC發(fā)現(xiàn)，針對數(shù)據(jù)庫的勒索軟件正呈現(xiàn)增長趨勢。有組織的網(wǎng)絡(luò)犯罪將繼續(xù)發(fā)展勒索軟件技術(shù)，并將特別關(guān)注關(guān)鍵基礎(chǔ)設(shè)施。針對云數(shù)據(jù)庫的勒索軟件攻擊將在未來一年大幅增加，因為企業(yè)和政府的關(guān)鍵數(shù)據(jù)都存儲在其中。與傳統(tǒng)的惡意軟件在文件系統(tǒng)層面加密文件不同，數(shù)據(jù)庫勒索軟件能夠在數(shù)據(jù)庫內(nèi)部加密數(shù)據(jù)。

同時，攻擊者將增加嘗試次數(shù)，通過各種詐騙和下游欺詐手段（如申請新的信用卡），直接從受影響的個人身上獲取漏洞數(shù)據(jù)。從攻擊者的心態(tài)來看，如果盜竊客戶的個人信息不能通過勒索被破壞的組織（例如，要求贖金，威脅釋放知識產(chǎn)權(quán)等）來賺錢，那么他們的目標就將轉(zhuǎn)移到個人身上。