如今的網(wǎng)絡安全形勢發(fā)展迅速����,并且不斷出現(xiàn)新的威脅類別,網(wǎng)絡攻擊者還在不斷學習和采用發(fā)起和隱藏網(wǎng)絡攻擊的新方法。本文揭示了2023年影響數(shù)據(jù)中心的主要安全風險��。
1��、網(wǎng)絡攻擊者避開傳統(tǒng)的數(shù)據(jù)中心安全保護措施�。
分析人士的普遍共識是���,威脅行為者越來越善于規(guī)避傳統(tǒng)的安全保護措施�����。網(wǎng)絡犯罪分子將更具體地將目光投向多因素身份驗證(MFA)和端點檢測和響應(EDR)技術����。
2、不斷增長的數(shù)據(jù)中心合規(guī)性挑戰(zhàn)����。新的法規(guī)遵循框架(如CPRA)已經(jīng)上線,現(xiàn)有的框架(如PCIDSS)正在進行全面檢查���。掌握不斷變化的合規(guī)性規(guī)則�����,以及部署必要的專業(yè)技術來符合這些規(guī)則���,并將其轉化為可以在數(shù)據(jù)中心內部實現(xiàn)的安全控制。根據(jù)業(yè)務需要遵守的合規(guī)性要求而有所不同����,但它們的范圍可以從設置特定的物理訪問控制,到確?����;A設施得到適當?shù)膫浞荩俚綄崿F(xiàn)網(wǎng)絡級別的安全控制等�����。
3�、勒索軟件事件,因為網(wǎng)絡攻擊者發(fā)起更復雜且有目的的攻擊�,勒索軟件攻擊有更高的成功幾率,更難防范���。
目前的趨勢是網(wǎng)絡攻擊變得更加復雜,而能夠抵御網(wǎng)絡攻擊的網(wǎng)絡安全人員卻越來越少���。不斷變化的合規(guī)性規(guī)則為現(xiàn)代數(shù)據(jù)中心安全性增加了另一層復雜性�����,并且針對運營技術的網(wǎng)絡攻擊也很普遍���。當網(wǎng)絡攻擊者無法通過數(shù)字手段侵入服務器或應用程序時,他們可能會攻擊空調系統(tǒng)��、電源和其他關鍵設施,以破壞數(shù)據(jù)中心的運行�����。
英國多所學校數(shù)據(jù)遭大規(guī)模泄露,教育行業(yè)成勒索軟件的主目標在 2022 年發(fā)生高校攻擊事件后���,來自 14 所英國學校的數(shù)據(jù)被黑客在線泄露����。泄露的文件包括學生的 SEN 信息����、學生護照掃描件、員工工資表和合同細節(jié)����。在被攻擊的學校拒絕支付贖金要求后,信息被泄露����。
據(jù)報,攻擊和泄露事件是由黑客組織 Vice Society 實施的���,該組織針對英國和美國的教育機構進行了多次勒索攻擊�。
2022 年 10 月,洛杉磯聯(lián)合學區(qū) (LAUSD)警告稱��,Vice Society已開始發(fā)布從該機構竊取的數(shù)據(jù)�����。此前�,LAUSD 宣布不會向勒索者付款。
在過去幾年中�,教育行業(yè)一直是勒索軟件的主要目標。Sophos 于 2022 年 7 月發(fā)布的一份報告發(fā)現(xiàn)���,56% 的低等教育機構和 64% 的高等教育機構在過去一年受到了勒索軟件的攻擊�����。為確保教育的連續(xù)性,尤其是在遠程學習的背景下���,政府需要投資教育部門的網(wǎng)絡安全���,加強教育部門端點安全,以應對勒索軟件威脅���。
由于缺乏網(wǎng)絡安全投資以及大量設備等因素����,學校和大學已經(jīng)被網(wǎng)絡犯罪分子視為“軟目標” ,敏感的個人和研究數(shù)據(jù)面臨風險�����。學校和大學系統(tǒng)中存儲了大量敏感數(shù)據(jù)�,教育部門是惡意網(wǎng)絡犯罪分子有利可圖的目標。因此����,勒索軟件攻擊是一個必然問題,而不是偶然問題���,這就要求教育機構要準備好預防和應對這些攻擊�,否則他們就有文件被盜和泄露的風險�����。
巴爾干地區(qū)緊張局勢下,塞爾維亞政府機構遭DDoS攻擊塞爾維亞政府宣布其內政部網(wǎng)站和 IT 基礎設施遭遇了幾次“大規(guī)模 ”分布式拒絕服務(DDoS)攻擊��。
目前,巴爾干地區(qū)緊張局勢加劇�,科索沃北部的塞族人與阿爾巴尼亞族當局發(fā)生了暴力沖突?��?扑魑挚偫戆栙e·庫爾蒂曾指責外部勢力試圖煽動族裔��,制造緊張局勢���。
值得一提的是,不同于以往網(wǎng)絡攻擊事件發(fā)生后�����,立刻會有黑客組織“站出來”為此負責�,但目前還沒任何黑客團體站出來對塞爾維亞內政部 DDoS 攻擊事件負責。眾所周知�,DDoS 攻擊是短時間內通過向目標網(wǎng)站注入大量垃圾流量,使其無法訪問��。在俄烏沖突中����,俄羅斯和烏克蘭雙方支持的黑客團體之間���,進行了一系列的 DDoS 攻擊活動���。
DDoS 攻擊事件背后的政治環(huán)境����。塞爾維亞領導人武契奇曾表示����,北約領導的維和科索沃部隊(KFOR)拒絕允許其根據(jù)聯(lián)合國安理會決議賦予的權力,向該領土部署 1000 名軍事和警察人員以應對最近的沖突��。
塞爾維亞首都貝爾格萊德在聲明中表示�����,政府安全專家和塞爾維亞電信公司(Telekom Srbija)的工作人員有能力對抗此次網(wǎng)絡攻擊��,旨在使內政部 IT 基礎設施癱瘓的五次大型 DDoS 攻擊目前已經(jīng)被“擊退”���。此外����,塞爾維亞政府補充強調���,強化的安全協(xié)議已經(jīng)啟動�����,雖然此舉可能會導致某些服務間歇性中斷�����,政府工作效率降低�,但這一切都是為了保護內政部的數(shù)據(jù)安全。
基于瀏覽器的工作機制原因��,形成一種WEB攻擊形式���,即CSRF攻擊���;是一種對網(wǎng)站的惡意利用,是挾制用戶在當前已登錄的Web應用程序上執(zhí)行非本意的操作的攻擊方法�����。
CSRF簡稱:跨站請求偽造�,跟XSS攻擊一樣,存在巨大的危害性���。在CSRF的攻擊場景中�����,攻擊者會偽造一個請求然后欺騙目標用戶進行點擊��,用戶一旦點擊了這個請求��,整個攻擊就完成了�����,所以CSRF攻擊也稱為one-click attack���。攻擊者盜用了用戶的身份,以用戶的名義發(fā)送惡意請求����,對服務器來說這個請求是完全合法的,但是卻完成了攻擊者期望的操作���,比如以用戶的名義發(fā)送郵件�����,甚至于購買商品����、虛擬貨幣轉賬等。
CSRF防護方法包括驗證HTTP請求頭��、Token機制���、在請求頭中自定義屬性并驗證�、設置Cookie的SameSite屬性��。CSRF攻擊就是利用了cookie中攜帶的用戶信息����,想要防護Cookie不被第三方網(wǎng)站利用,可以通過設置Samesite屬性��。SameSite最初設計的目的就是防CSRF����,SameSite有三個值Strict/Lax/None。
對于防范CSRF攻擊���,我們可以針對實際情況將一些關鍵的Cookie設置為Strict或者Lax模式�,這樣在跨站點請求時,這些關鍵的Cookie就不會被發(fā)送到服務器����,從而使得黑客的CSRF攻擊失效��。除了技術層面的防護方法��,常用的是驗證HTTP請求頭和Token機制�����;使用WAF(Web應用防火墻���,如免費的ShareWAF)可以抵御絕大多數(shù)的攻擊�,極大的提高網(wǎng)站安全性���。
構建主動安全防護能力的關鍵技術—安全態(tài)勢管理(SPM)當前����,網(wǎng)絡安全形勢嚴峻����,在企業(yè)安全防護更強調攻防對抗和有效性的背景下�,構建主動安全防護能力體系�,是有效應對日益復雜的網(wǎng)絡攻擊手段,保障數(shù)字化轉型成功的必要路徑�。
安全態(tài)勢管理(SPM) 有多種類型,包括了專注于云基礎設施(包括IaaS�����、SaaS和PaaS)的云安全態(tài)勢管理�,以及識別敏感數(shù)據(jù)并確保其安全的數(shù)據(jù)安全態(tài)勢管理。
在2023年���,最重要的SPM技術是SaaS安全態(tài)勢管理(SSPM)���,用于檢測和修復SaaS應用程序中的錯誤配置和其他問題。SSPM是云訪問安全代理(CASB)技術發(fā)展以來SaaS安全領域最重要的創(chuàng)新之一���。
云安全態(tài)勢管理(CSPM)是SPM一個重要的細分應用���,旨在識別云中的錯誤配置問題和合規(guī)風險。CSPM解決方案的一個重要目標是持續(xù)監(jiān)控云基礎設施���,以發(fā)現(xiàn)安全策略執(zhí)行方面的漏洞����。
被動式的響應安全事件,往往會耗費安全人員大量精力�����,同時又難以避免對企業(yè)財產(chǎn)和業(yè)務造成損失�。而安全態(tài)勢管理方案則可以自動識別和修復整個企業(yè)數(shù)字化環(huán)境中的風險�����,幫助企業(yè)安全管理者進行風險可視化����、自動化事件響應和合規(guī)性監(jiān)控。在2023年����,需要重點關注并積極嘗試較為成熟的主動安全防護技術/產(chǎn)品,推進組織新一代安全能力體系構建����。
構建主動安全防護能力的關鍵技術—攻擊面管理(ASM)當前,網(wǎng)絡安全形勢嚴峻����,在企業(yè)安全防護更強調攻防對抗和有效性的背景下�����,構建主動安全防護能力體系��,是有效應對日益復雜的網(wǎng)絡攻擊手段��,保障數(shù)字化轉型成功的必要路徑��。
攻擊面管理(ASM)技術要求持續(xù)發(fā)現(xiàn)和監(jiān)控企業(yè)所有的數(shù)字化資產(chǎn)���,從應用程序、數(shù)字證書��、代碼到移動和物聯(lián)網(wǎng)設備�,以保持已知和未知資產(chǎn)的可見性。據(jù)最新調查數(shù)據(jù)顯示����,有52%的受訪企業(yè)組織管理著超過10,000個數(shù)字資產(chǎn),ASM將是一項重要且不斷增長的技術�。
安全專家認為,ASM是安全分析技術的進步,是傳統(tǒng)威脅檢測與響應類技術方案的能力延伸�。ASM利用了威脅檢測響應中惡意活動意識增強的趨勢,并將其進一步擴展�����。它回答了很多問題���,比如企業(yè)哪里可能成為目標�����,哪里缺乏可見性,組織的攻擊面整體是什么樣的?在哪些方面缺乏足夠的監(jiān)控措施���;企業(yè)是否真正具備了應有的防御機制和能力���。
根據(jù)Gartner的描述,ASM技術需要超越傳統(tǒng)資產(chǎn)的識別范圍(如端點��、服務器��、設備或應用程序等)��,通過將發(fā)現(xiàn)的資源整合到資源庫,使用戶可以了解到傳統(tǒng)威脅檢測工具的覆蓋缺口����。ASM還可以通過API集成提供自動化的數(shù)據(jù)收集,取代傳統(tǒng)手動和低效的資產(chǎn)收集分析模式�,幫助安全團隊實現(xiàn)對整體環(huán)境的安全控制、安全態(tài)勢感知和資產(chǎn)風險修復�,從而主動改善企業(yè)的數(shù)字化安全狀況。
構建主動安全防護能力的關鍵技術—入侵和攻擊模擬(BAS)當前��,網(wǎng)絡安全形勢嚴峻�����,在企業(yè)安全防護更強調攻防對抗和有效性的背景下����,構建主動安全防護能力體系����,是有效應對日益復雜的網(wǎng)絡攻擊手段,保障數(shù)字化轉型成功的必要路徑��。
入侵和攻擊模擬(BAS)是由Gartner首先提出的概念�,并將之歸到了新興技術行列����。正如 Gartner 描述的�����,此類工具“可供安全團隊以一致的方式持續(xù)測試安全控制措施��,貫穿從預防到檢測乃至響應的整個過程”���。
入侵和攻擊模擬(BAS)工具能夠高效一致地衡量現(xiàn)有安全檢測功能及運營的有效性�。模擬結果可幫助指導產(chǎn)品投資及配置決策以堵上安全漏洞�����,還有助于補全企業(yè)領導的網(wǎng)絡安全知識空缺���,比如:攻擊者能悄悄繞過我們的防御嗎?我們適用的風險是什么?這些風險對我們能造成什么樣的影響?這可以使安全人員處于影響短期投資決策、參與長期安全規(guī)劃的位置上��,還能從商業(yè)角度總結出安全運營上的改善�。
BAS與傳統(tǒng)的滲透測試和漏洞管理工具有根本上的不同。后兩種方法都需要大量的人工指導���,實際上會為安全團隊制造更多的工作和帶來更多誤報�����。相比之下�����,BAS完全自動化����,并全面模擬數(shù)千種攻擊,充分運營好所有的安全產(chǎn)品和工具����,幫助企業(yè)識別各種類型的安全漏洞,并以合理的成本解決企業(yè)面臨的安全問題����。