上周在拉斯维加斯举行的Black Hat2022大会连续第25年通过调查分析和报告大规模安全漏洞和网络攻击为业界敲响警钟,指明方向。本届Black Hat大会揭示了企业网络安全的重大趋势:企业的网络攻击的“爆炸半径”将继续增长,并延伸到软件供应链、开发运营和技术堆栈的几个层面。企业的技术堆栈正面临更复杂、更具破坏性的网络攻击的风险。
技术堆栈越复杂,越依赖隐含的信任,就越有可能被黑客入侵。这是美国网络安全和基础设施安全局(CISA)前任创始主任克里斯·克雷布斯(Chris Krebs)上周在Black Hat 2022会议上向观众发表的几条信息之一。Krebs提到,漏洞通常始于构建过于复杂的技术堆栈,这些堆栈为网络犯罪分子创造了更多攻击面,然后试图加以利用。
Krebs还强调了软件供应链安全的重要性,并解释说企业和全球政府没有采取足够的措施来阻止类似SolarWinds的另一次大规模供应链攻击。提供软件产品的公司同时也在提供攻击目标。”他指出。
以下,我们整理了Black Hat2022主题演讲和厂商发布中包含的企业网络安全重大趋势:
一、企业安全:不断扩大的爆炸半径
基础设施、devops和企业软件漏洞是Black Hat2022企业安全专场的关注焦点。此外,如何改进身份访问管理(IAM)和特权访问管理(PAM)、阻止勒索软件攻击、减少Azure Active Directory (AD)和SAP HTTP服务器攻击以及软件供应链安全也都是热门话题。
持续集成和持续交付(CI/CD)管道是软件供应链最危险的攻击面。尽管许多企业尽最大努力将网络安全集成到devops流程的核心部分,但CI/CD软件管道仍然可以破解。
企业安全会议上的几场演讲探讨了网络犯罪分子如何使用远程代码执行(RCE)和受感染的代码存储库侵入软件供应链。其中一个会议特别关注高级黑客如何使用代码签名假冒devops团队成员。
另一个值得关注的会议主题是关于黑客如何快速使用源代码管理(SCM)系统在整个企业中实现横向移动和权限升级,感染存储库并大规模访问软件供应链(下图)。
软件供应链攻击风险:源代码管理系统面临的安全威胁
随着网络犯罪分子技能的不断提高,企业技术堆栈也正成为更容易得手的目标。其中一个演讲介绍了黑客利用外部身份链接绕过多因素身份验证(MFA)和条件访问策略来对Azure AD用户帐户进行后门和劫持操作,导致企业在数分钟内失去对其技术堆栈核心部分的控制。
在SAP专有HTTP服务器的专项研讨会上,专家们介绍了网络犯罪分子如何利用高级协议利用技术利用SAP HTTP服务器中发现的两个内存损坏漏洞(CVE-2022-22536和CVE-2022-22532)这两个漏洞可被远程利用,未经身份验证的攻击者可以利用它们来破坏全球任何SAP系统。
恶意软件攻击威胁在整个企业安全领域中不断升级,攻击者能够绕过依赖隐式信任的技术堆栈并破坏基础设施和网络。使用机器学习(ML)来识别潜在的恶意软件攻击并使用先进的分类技术在攻击发生之前就阻止它们是一个非常具有吸引力的研究领域。微软安全软件工程师Dmitrijs Trizna介绍了基于Windows内核仿真增强机器学习的恶意软件分类技术,这是一种混合ML架构,该架构同时利用静态和动态恶意软件分析方法。
二、网络安全供应商的关注焦点:人工智能、API和供应链安全
超过300家网络安全供应商在Black Hat 2022上亮相,大多数新产品发布都集中在API安全以及软件供应链安全领域。
CrowdStrike在Black Hat上发布了业界首创的基于AI的IOA(攻击指标),结合了云原生ML和人类专业知识,这标志着网络安全业界正在利用AI和ML快速完善平台战略。IOA已被证明可以有效地根据实际的对手行为来识别和阻止违规行为,而与攻击中使用的恶意软件或漏洞无关。
CrowdStrike的人工智能驱动的IOA能够利用CrowdStrike Security Cloud遥测数据训练的云原生ML模型,以及公司威胁搜寻团队的专业知识。使用AI和ML以机器速度分析IOA,提供企业阻止网络攻击所需的准确性、速度和规模。
CrowdStrike首席产品和工程官Amol Kulkarni表示:“凭借行业领先的攻击能力指标,我们在阻止最复杂的攻击方面处于领先地位,这标志着安全团队预防威胁的方式发生重大改变:根据对手行为而不是善变的指标。现在,我们通过添加AI驱动的攻击指标再次改变游戏规则,这使组织能够利用CrowdStrike安全云的力量以机器速度大规模检查对手行为,以最有效的方式阻止攻击行为。”
人工智能驱动的IOA已识别出20多种前所未见的对手模式,专家已在Falcon平台上验证并实施这些模式,以实现自动检测和预防。
工程咨询公司Cundall的首席信息官Lou Lwin说。“今天,攻击变得越来越复杂,如果它们是基于机器的攻击,那么操作员就无法跟上瞬息万变的威胁形势。因此,您需要基于机器的防御和了解安全性并非‘一劳永逸’的长期战略合作伙伴。”
CrowdStrike展示了AI驱动的IOA用例,包括利用AI识别恶意行为和代码的后利用有效负载检测和PowerShell IOA。
AI生成的IOA使用基于云的ML和实时威胁情报来加强现有防御,在运行时分析事件并将IOA动态发布到传感器。然后,传感器将AI生成的IOA(行为事件数据)与本地事件和文件数据相关联,以评估恶意行为。CrowdStrike表示,人工智能驱动的IOA与现有的传感器防御层异步运行,包括基于传感器的ML和IOA。
三、API安全是一个战略弱点
很多网络安全供应商看到了帮助企业解决API安全挑战的机会,推出新API安全解决方案的供应商包括Canon Security、Checkmarx、Contrast Security、Cybersixgill、Traceable和Veracode。
在这些新产品中,值得注意的是Checkmarx的API安全方案,它是其著名的Checkmarx One平台的一个组件。Checkmarx以其在保护CI/CD流程工作流方面的专业知识而闻名。Checkmark的APISecurity安全方案可以识别僵尸API和未知(影子)API,执行自动API发现和清点,并执行以API为中心的修复。
此外,Traceable AI宣布对其平台进行多项改进,包括识别和阻止恶意API机器人,识别和跟踪API滥用、欺诈和误用,以及预测整个软件供应链中的潜在API攻击。
四、在供应链攻击开始之前阻止它们
在参加Black Hat的300多家供应商中,大多数拥有CI/CD、devops或零信任解决方案的供应商都推出了能够阻止潜在供应链攻击的解决方案,这也是本次Black Hat大会炒作热度最高的主题。软件供应链风险变得如此严重,以至于美国国家标准与技术研究院(NIST)正在更新其标准,包括NIST SP 1800-34,重点关注供应链安全不可或缺的系统和组件。
供应链安全专家Cycode宣布已为其平台添加了应用程序安全测试(SAST)和容器扫描功能,并引入了软件组合分析(SCA)。
Veracode以其在安全测试解决方案方面的专业知识而闻名,为其持续软件安全平台引入了新的增强功能,包括软件物料清单(SBOM)API、对软件组合分析(SCA)的支持以及对包括PHP Symfony、Rails在内的新框架的支持7.0和Ruby 3.x。
五、开放网络安全架构框架(OCSF)可满足企业安全需求
CISO对端点检测和响应(EDR)、端点管理和安全监控平台最常见的抱怨是:没有用于跨平台启用警报的通用标准。18家领先的安全供应商合作应对这个挑战,开发了开放网络安全架构框架(OCSF)项目。该项目包括一个开放规范,该规范能够跨广泛的安全产品和服务实现安全遥测的规范化。此外,开源工具也可用于支持和加速OCSF模式的采用。
安全供应商AWS和Splunk是OCSF项目的联合创始人,该项目还得到了CrowdStrike、Palo AltoNetworks、IBM Security和其他公司的支持。其目标是不断开发支持OCSF规范的新产品和服务,使来自网络监控工具、网络记录器和其他软件的警报标准化,以简化和加快对数据的解释。
CrowdStrike首席技术官Michael Sentonas表示:“在CrowdStrike,我们的使命是阻止违规行为并提高组织的生产力。我们坚信共享数据模式的概念,它使企业能够理解和消化所有数据,简化其安全运营并降低风险。”