作为全球网络安全行业一年一度的盛宴,RSA Conference 2022于6月6-9日正在美国旧金山召开,RSAC大会不仅被誉为安全界的“奥林匹克”,更是网络安全的重要风向标之一。自1991年举办首届大会以来,RSAC大会就吸引着全球网安企业、大咖、极客和优秀创业者共聚一堂。思科作为全球领先的网络解决方案供应商也出席了此次会议。
在今年RSAC开幕主题演讲里,思科执行副总裁兼安全与协作总经理 Jeetu Patel发表了关于安全战略的讲话,在会议上,patel表示企业安全负责人可能需要重新考虑他们的安全策略,包括内部以及与客户、供应商、合作伙伴甚至竞争对手的关系。
Patel表示随着攻击者在不断利用新的漏洞,我们需要做的是确保采取一种更加基于风险的方法来管理漏洞。安全团队必须学会解决漏洞,不是基于它们发生的时间,而是基于它们构成的风险的大小。这种风险应该从所有类型的业务关系的角度进行评估,因为当出现问题时,它们都会受到影响。
Patel说:“企业是作为一个整体的生态系统在竞争,而不是作为单独的组织在竞争。这意味着,根据生态系统中其他成员的情况,你自己的生产线、供应链和需求周期的运作方式可能会受到重大影响。而业务关系的相互联系现在要求更加关注访问和身份管理。你不再只有员工了。你有员工和承包商,但你有供应商、客户和合作伙伴。可以影响您的安全态势的人数越来越多。”
除了业务生态系统带来的安全威胁,破坏性恶意软件的使用也变得越来越普遍,这种现象在未来一段时间里可能会变为常态。这是思科的外联负责人Nick Biasini和事件响应高级经理 Pierre Cadieux在会议中发表的观点,他们详细介绍了当前的威胁形势,并为企业自卫提供了可行的步骤。其中的关键要点包括保护凭证的重要性以及供应链威胁、破坏性攻击和零日漏洞利用的增加。
随着漏洞武器化的市场也越来越普遍,很少有企业能够及时的修复漏洞,这就导致通过部署破坏性恶意软件实时破坏性攻击的黑客数量在逐步增加,对此,Cadieux也表示出了担忧。
并且通过购买某些黑客软件,任何人无须挖掘某些系统漏洞就可以发动非常复杂的网络攻击,Biasini说,对手的广度在增加,这也导致了软件供应链风险也在增加。他说技术供应链更像是一个网络,正成为一个越来越大的问题,对手可以利用包括开源库和供应商交换数据在内的一系列途径。Biasini引用CCleaner作为一个主要的案例,这是一个在2017年被威胁行为者破坏的实用程序。攻击者将恶意代码注入到CCleaner中,这些代码最终被安装在数百万个系统上。
随着工作环境的变化,攻击者开发了新的方法来获取访问权限,例如设计恶意软件来破坏家庭路由器。Cyclops Blink是最近的一个例子,它归因于俄罗斯并感染了超过 500,000 台设备。Biasini说,家庭路由器为攻击者部署各种攻击提供了立足点,而家庭网络的检测能力有限,这增加了问题。而目前还没有很好的办法来区分家庭用户合法登录和黑客通过路由器登录。对他而言,你家的网络和你在当地咖啡馆连接的网络甚至没有区别。
另一个对威胁行为者有吸引力的目标是安全断言标记语言(SAML) 令牌,这是 SolarWinds 供应链攻击期间存在的向量。它们允许访问本地和云环境,而且它们还能绕过多因素身份验证 (MFA),虽然它告诉你MFA有效,Biasini 在会议期间说。“MFA也确实减缓了他们入侵的脚步,然后我们就会看到他们试图滥用信任来获取资源。”
零日漏洞利用也造成了更广泛的损害。例如,在Kaseya供应链攻击中,REvil 勒索软件攻击者使用供应商的软件访问托管服务提供商 (MSP),然后感染他们的客户,这些客户是资源有限的小型企业。Biasni 将其描述为基于服务的供应链攻击,“如果你在15年前告诉我,一个犯罪组织会使用多个零日对 MSP 客户发起供应链攻击,我可能不信,然而,我们现在遇到的黑客组织多数都是受资助的组织。”
尽管 MFA 已成为攻击者的目标,但思科还是建议为所有帐户实施MFA,包括限制Windows工具的可信帐户,网络分割,集中日志和保持最新的补丁。Cadieux强调访问日志的良好计划至关重要。他说,当涉及到被泄露的凭据和针对Active Directory (AD) 环境的目标时,唯一可以提供帮助的是密码重置。然而,这不是一蹴而就的事情。如果你没有在大型环境中完成它,你应该考虑如何做到这一点以及如何测试它。此外,企业需要了解他们的备份基础设施是如何工作的,如果发生勒索软件攻击,这一点至关重要。
参考来源:https://www.techtarget.com/searchsecurity/news/252521238/Cisco-Talos-Destructive-malware-supply-chain-attacks-on-the-rise
https://biztechmagazine.com/article/2022/06/rsac-2022-cisco-calls-integrated-security-strategies-combat-cybercrime