上个月结束了RSAC2021会议上,由SANS研究所专家主持的年度“五种最危险的新攻击技术及其应对会议”成为亮点。
与2020年表与2020年的威胁列表相比,RSAC会议提出的许多攻击媒体并不全新,一些旧的威胁“沉渣泛起”,值得注意的是,研究人员在会议上讨论的威胁不限于以下五种:
威胁1:命令和控制(C2)卷土重来
SANS研究所讲师Ed Skoudis强调了“C2的黄金时代”,这是他看到的最大的新威胁之一。C2代表命令控制通常与从中央命令点控制的僵尸网络活动有关。
Skoudis确定企业保护自己免受C2影响活动的几种方法。他的建议之一是要求防御者增加对出口流量的控制、检测信标和异常日志。他还建议安全专业人员强制执行应用程序白名单,以限制可以在企业内运行的内容。
威胁二:就地取材
Skoudis另一种强调的威胁趋势是“就地取材”,也就是说,攻击者利用组织网络中现有的工具从事恶意活动并获得收入。
他说:“如果您是攻击者,您可以首先使用操作系统本身的资源来攻击计算机,并将其传输到环境中的其他系统,以实现当地材料和自给自足。”
业界至少早在2015年就已报道过“就地取材”的概念。
企业可以采取多种措施保护自己免受伤害“就地取材”的影响。Skoudis一组推荐资源是LOLBAS该项目有助于识别和限制“就地取材”攻击风险的工具。
威胁3:深度停留
由于持久威胁,Skoudis警告说,恶意软件现在可以以前所未有的方式深入设备。例如,攻击者可以嵌入恶意软件USB在充电电缆中。
以充电线为例,即使企业清除了停留在系统中的恶意软件,恶意软件下次插入电缆时也会再次感染整个系统。
Skoudis指出,对于个人和公司来说,不仅要在系统中插入任何东西,还要确保电缆和其他周电缆和其他周边设备。
威胁4:移动设备的完整性
SANS高级讲师兼数字智能总监Heather Mahalik强调移动设备的风险是她认为的最大威胁之一。
考虑到手机已经成为日常生活中不可或缺的一部分,她指出,如果手机落入坏人手中,可能会造成灾难性后果。她不仅指丢失或被盗的设备,还指翻新设备的风险,没有正确清除以前的所有者数据。
她还提到了Apple IOS设备中checkm8硬件漏洞允许漏洞的风险checkra1n越狱。
威胁五:警惕2FA双因素认证“后遗症”
行业推荐双因素身份验证(2FA)作为帮助提高用户安全性的最佳实践,但也不是万能药。Mahalik指出只部署输入(短信)验证码2FA是不够的。
她还警告说,一些应用程序只需要一个电话号码(所有的账户认证都可以完成),如果用户放弃了他们的电话号码,而运营商随后向新客户发布了这个号码,就有风险。
她说:“密码和2FA缺一不可。若只是其中之一,则认证方案存在脆弱风险。”
Mahalik建议当用户获得新的电话号码时,确保他们进入2FA每个应用程序都有权将双因素认证的手机号码更改为新号码。
威胁6:企业安全边界漏洞
SANS研究所研究主任Johannes Ullrich企业边界漏洞的风险是最大的威胁之一。
在过去的一年里,广泛部署的企业防火墙和外围安全设备存在许多公开报告问题。
除补丁外,Ullrich建议用户不要将企业边界设备上的管理界面暴露在互联网上。
威胁七:Localhost API
Ullrich新的威胁之一是嵌入在企业应用程序中调用第三方资源localhost API。尽管API其目的是利用技术代理支持等功能,但也使企业面临潜在风险。
限制风险,Ullrich建议用户在可能的情况下,确定正在侦听系统端口的内容,并监视应用程序如何调用外部资源。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章