重大软件漏洞是不可避免的生活现实。从各大软件公司每年发布的补丁数据可以看出,微软今年每月修复55至110个漏洞,其中7%至17%是关键漏洞。
5月度漏洞最少,55个总漏洞中只有4个评级为关键漏洞。但问题是,这些关键漏洞伴随着我们多年的老面孔,如远程代码执行漏洞和授权漏洞。
微软不是唯一一家经常修复重大漏洞的软件巨头,苹果,Adobe、谷歌、思科等行业领袖也每月推出安全更新。
新旧相对
鉴于这么多应用中存在重大漏洞,我们还希望有一个安全的未来吗?答案当然是肯定的,但并不意味着通往安全的道路没有困难和挑战。
在防御一线奋战多年的安全从业人员,可能是老熟人,但对手的战术却在不断变化。
将合法资源用于邪恶目的的做法并不少见,我们在构建应用时也无法为这种滥用规划万全之策。
权限痛点
80%的安全事件涉及特权账户,使用权利提升漏洞只会越来越严重。勒索软件运营商和其他恶意黑客经常在系统中使用权利提升漏洞,化运营,成功访问敏感数据。
如果信息窃贼拥有跟当前用户一样的权限,渗漏敏感数据的机会就显着增加了。同时,管理员权限几乎可以保证入手极具价值的数据。
除了保持软件更新,零信任倡议和数据流监控也是防御权利提升漏洞的关键。至少,零信任意味着应用最小权限原则,多因素身份验证应用于任何地方。
基本上,零信任可以确保不需要访问系统或文件的用户没有这样的权限,而真正需要这样的权限的用户必须证明他们所声称的身份。数据流监控也有助于早期捕获数据泄露,限制被盗数据的总量。
远程控制
执行远程代码(RCE)短期内不会消失。这种攻击占2020年所有攻击的27%,远高于去年的7%。只要你能在你的系统上找到远程执行任何代码的方法,攻击者就能获得比恶意软件更多的控制权,这些软件只允许用户无意中操作具有预定义功能的软件。
如果攻击者能够远程执行任何代码,他们就有能力在系统或网络上四处游荡,并根据他们发现的东西改变攻击目标和战术。
行为监测是检测系统上的检测系统RCE最好的方法之一。如果应用程序开始运行不属于其正常行为的命令和过程,您可以准备早点阻止攻击。RCE这样一个常见的事实也意味着用户应该保持安全补丁更新,以防止许多此类攻击处于萌芽状态。
谁还需要恶意软件?
如今,流行的攻击方法是利用合法的过程和可信的应用程序来实现恶意目的。由于没有恶意软件,很难检测到这种无文件或无需着陆的攻击。
PowerShell这种使用方法最常见的应用之一。PowerShell本来就是用于编写脚本和执行系统命令的强大应用。
无文件攻击的例子也证明了监控应用程序和过程是快速阻止攻击的关键。PowerShell真的需要禁用安全功能吗?
在大多数情况下,这种行为是可以监控的,即使它来自PowerShell这种可信的应用程序。监控和高级机器学习AI相结合,就可以提取网络上正常行为的特征,对不正常行为实施自动化响应。
继续前行
虽然常见的攻击类型不会改变太多,但任何应用程序或代码的变化都可能导致新的漏洞。这并不意味着我们应该放弃抵抗,让对手直接进入,但现在是加倍努力挫败对手的好时机。
我们需要实现补丁管理策略,监控网络,使用行为测试,避免自满。事实上,主流软件供应商定期修复重大漏洞是件好事。既然攻击者不放弃混乱,我们就不应该放弃防御。