2023年的數(shù)據(jù)中心的安全風(fēng)險(xiǎn)
如今的網(wǎng)絡(luò)安全形勢(shì)發(fā)展迅速���,并且不斷出現(xiàn)新的威脅類(lèi)別,網(wǎng)絡(luò)攻擊者還在不斷學(xué)習(xí)和采用發(fā)起和隱藏網(wǎng)絡(luò)攻擊的新方法�����。本文揭示了2023年影響數(shù)據(jù)中心的主要安全風(fēng)險(xiǎn)��。
1�、網(wǎng)絡(luò)攻擊者避開(kāi)傳統(tǒng)的數(shù)據(jù)中心安全保護(hù)措施。
分析人士的普遍共識(shí)是��,威脅行為者越來(lái)越善于規(guī)避傳統(tǒng)的安全保護(hù)措施��。網(wǎng)絡(luò)犯罪分子將更具體地將目光投向多因素身份驗(yàn)證(MFA)和端點(diǎn)檢測(cè)和響應(yīng)(EDR)技術(shù)�。
2、不斷增長(zhǎng)的數(shù)據(jù)中心合規(guī)性挑戰(zhàn)�����。新的法規(guī)遵循框架(如CPRA)已經(jīng)上線(xiàn)����,現(xiàn)有的框架(如PCIDSS)正在進(jìn)行全面檢查����。掌握不斷變化的合規(guī)性規(guī)則����,以及部署必要的專(zhuān)業(yè)技術(shù)來(lái)符合這些規(guī)則�����,并將其轉(zhuǎn)化為可以在數(shù)據(jù)中心內(nèi)部實(shí)現(xiàn)的安全控制���。根據(jù)業(yè)務(wù)需要遵守的合規(guī)性要求而有所不同���,但它們的范圍可以從設(shè)置特定的物理訪(fǎng)問(wèn)控制,到確?�;A(chǔ)設(shè)施得到適當(dāng)?shù)膫浞?,再到?shí)現(xiàn)網(wǎng)絡(luò)級(jí)別的安全控制等。
3、勒索軟件事件�,因?yàn)榫W(wǎng)絡(luò)攻擊者發(fā)起更復(fù)雜且有目的的攻擊�����,勒索軟件攻擊有更高的成功幾率�����,更難防范���。
目前的趨勢(shì)是網(wǎng)絡(luò)攻擊變得更加復(fù)雜�����,而能夠抵御網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)安全人員卻越來(lái)越少。不斷變化的合規(guī)性規(guī)則為現(xiàn)代數(shù)據(jù)中心安全性增加了另一層復(fù)雜性,并且針對(duì)運(yùn)營(yíng)技術(shù)的網(wǎng)絡(luò)攻擊也很普遍�。當(dāng)網(wǎng)絡(luò)攻擊者無(wú)法通過(guò)數(shù)字手段侵入服務(wù)器或應(yīng)用程序時(shí)��,他們可能會(huì)攻擊空調(diào)系統(tǒng)�����、電源和其他關(guān)鍵設(shè)施��,以破壞數(shù)據(jù)中心的運(yùn)行��。
英國(guó)多所學(xué)校數(shù)據(jù)遭大規(guī)模泄露,教育行業(yè)成勒索軟件的主目標(biāo)在 2022 年發(fā)生高校攻擊事件后���,來(lái)自 14 所英國(guó)學(xué)校的數(shù)據(jù)被黑客在線(xiàn)泄露�����。泄露的文件包括學(xué)生的 SEN 信息����、學(xué)生護(hù)照掃描件�����、員工工資表和合同細(xì)節(jié)�����。在被攻擊的學(xué)校拒絕支付贖金要求后���,信息被泄露。
據(jù)報(bào),攻擊和泄露事件是由黑客組織 Vice Society 實(shí)施的,該組織針對(duì)英國(guó)和美國(guó)的教育機(jī)構(gòu)進(jìn)行了多次勒索攻擊�����。
2022 年 10 月�����,洛杉磯聯(lián)合學(xué)區(qū) (LAUSD)警告稱(chēng)����,Vice Society已開(kāi)始發(fā)布從該機(jī)構(gòu)竊取的數(shù)據(jù)��。此前,LAUSD 宣布不會(huì)向勒索者付款。
在過(guò)去幾年中,教育行業(yè)一直是勒索軟件的主要目標(biāo)�。Sophos 于 2022 年 7 月發(fā)布的一份報(bào)告發(fā)現(xiàn),56% 的低等教育機(jī)構(gòu)和 64% 的高等教育機(jī)構(gòu)在過(guò)去一年受到了勒索軟件的攻擊����。為確保教育的連續(xù)性,尤其是在遠(yuǎn)程學(xué)習(xí)的背景下,政府需要投資教育部門(mén)的網(wǎng)絡(luò)安全�,加強(qiáng)教育部門(mén)端點(diǎn)安全����,以應(yīng)對(duì)勒索軟件威脅。
由于缺乏網(wǎng)絡(luò)安全投資以及大量設(shè)備等因素���,學(xué)校和大學(xué)已經(jīng)被網(wǎng)絡(luò)犯罪分子視為“軟目標(biāo)” ����,敏感的個(gè)人和研究數(shù)據(jù)面臨風(fēng)險(xiǎn)�。學(xué)校和大學(xué)系統(tǒng)中存儲(chǔ)了大量敏感數(shù)據(jù),教育部門(mén)是惡意網(wǎng)絡(luò)犯罪分子有利可圖的目標(biāo)����。因此��,勒索軟件攻擊是一個(gè)必然問(wèn)題,而不是偶然問(wèn)題�,這就要求教育機(jī)構(gòu)要準(zhǔn)備好預(yù)防和應(yīng)對(duì)這些攻擊,否則他們就有文件被盜和泄露的風(fēng)險(xiǎn)�����。
巴爾干地區(qū)緊張局勢(shì)下,塞爾維亞政府機(jī)構(gòu)遭DDoS攻擊塞爾維亞政府宣布其內(nèi)政部網(wǎng)站和 IT 基礎(chǔ)設(shè)施遭遇了幾次“大規(guī)模 ”分布式拒絕服務(wù)(DDoS)攻擊。
目前,巴爾干地區(qū)緊張局勢(shì)加劇�����,科索沃北部的塞族人與阿爾巴尼亞族當(dāng)局發(fā)生了暴力沖突�?���?扑魑挚偫戆栙e·庫(kù)爾蒂曾指責(zé)外部勢(shì)力試圖煽動(dòng)族裔,制造緊張局勢(shì)��。
值得一提的是��,不同于以往網(wǎng)絡(luò)攻擊事件發(fā)生后���,立刻會(huì)有黑客組織“站出來(lái)”為此負(fù)責(zé)��,但目前還沒(méi)任何黑客團(tuán)體站出來(lái)對(duì)塞爾維亞內(nèi)政部 DDoS 攻擊事件負(fù)責(zé)�。眾所周知,DDoS 攻擊是短時(shí)間內(nèi)通過(guò)向目標(biāo)網(wǎng)站注入大量垃圾流量��,使其無(wú)法訪(fǎng)問(wèn)���。在俄烏沖突中�����,俄羅斯和烏克蘭雙方支持的黑客團(tuán)體之間��,進(jìn)行了一系列的 DDoS 攻擊活動(dòng)�����。
DDoS 攻擊事件背后的政治環(huán)境����。塞爾維亞領(lǐng)導(dǎo)人武契奇曾表示�����,北約領(lǐng)導(dǎo)的維和科索沃部隊(duì)(KFOR)拒絕允許其根據(jù)聯(lián)合國(guó)安理會(huì)決議賦予的權(quán)力�,向該領(lǐng)土部署 1000 名軍事和警察人員以應(yīng)對(duì)最近的沖突。
塞爾維亞首都貝爾格萊德在聲明中表示��,政府安全專(zhuān)家和塞爾維亞電信公司(Telekom Srbija)的工作人員有能力對(duì)抗此次網(wǎng)絡(luò)攻擊,旨在使內(nèi)政部 IT 基礎(chǔ)設(shè)施癱瘓的五次大型 DDoS 攻擊目前已經(jīng)被“擊退”��。此外�,塞爾維亞政府補(bǔ)充強(qiáng)調(diào)���,強(qiáng)化的安全協(xié)議已經(jīng)啟動(dòng)����,雖然此舉可能會(huì)導(dǎo)致某些服務(wù)間歇性中斷���,政府工作效率降低�,但這一切都是為了保護(hù)內(nèi)政部的數(shù)據(jù)安全���。
基于瀏覽器的工作機(jī)制原因�,形成一種WEB攻擊形式��,即CSRF攻擊��;是一種對(duì)網(wǎng)站的惡意利用����,是挾制用戶(hù)在當(dāng)前已登錄的Web應(yīng)用程序上執(zhí)行非本意的操作的攻擊方法����。
CSRF簡(jiǎn)稱(chēng):跨站請(qǐng)求偽造��,跟XSS攻擊一樣��,存在巨大的危害性�����。在CSRF的攻擊場(chǎng)景中���,攻擊者會(huì)偽造一個(gè)請(qǐng)求然后欺騙目標(biāo)用戶(hù)進(jìn)行點(diǎn)擊����,用戶(hù)一旦點(diǎn)擊了這個(gè)請(qǐng)求����,整個(gè)攻擊就完成了,所以CSRF攻擊也稱(chēng)為one-click attack����。攻擊者盜用了用戶(hù)的身份,以用戶(hù)的名義發(fā)送惡意請(qǐng)求����,對(duì)服務(wù)器來(lái)說(shuō)這個(gè)請(qǐng)求是完全合法的����,但是卻完成了攻擊者期望的操作����,比如以用戶(hù)的名義發(fā)送郵件���,甚至于購(gòu)買(mǎi)商品���、虛擬貨幣轉(zhuǎn)賬等�。
CSRF防護(hù)方法包括驗(yàn)證HTTP請(qǐng)求頭、Token機(jī)制�、在請(qǐng)求頭中自定義屬性并驗(yàn)證、設(shè)置Cookie的SameSite屬性���。CSRF攻擊就是利用了cookie中攜帶的用戶(hù)信息�,想要防護(hù)Cookie不被第三方網(wǎng)站利用��,可以通過(guò)設(shè)置Samesite屬性��。SameSite最初設(shè)計(jì)的目的就是防CSRF,SameSite有三個(gè)值Strict/Lax/None�����。
對(duì)于防范CSRF攻擊�����,我們可以針對(duì)實(shí)際情況將一些關(guān)鍵的Cookie設(shè)置為Strict或者Lax模式,這樣在跨站點(diǎn)請(qǐng)求時(shí)�����,這些關(guān)鍵的Cookie就不會(huì)被發(fā)送到服務(wù)器��,從而使得黑客的CSRF攻擊失效�。除了技術(shù)層面的防護(hù)方法,常用的是驗(yàn)證HTTP請(qǐng)求頭和Token機(jī)制�;使用WAF(Web應(yīng)用防火墻�����,如免費(fèi)的ShareWAF)可以抵御絕大多數(shù)的攻擊��,極大的提高網(wǎng)站安全性�。
構(gòu)建主動(dòng)安全防護(hù)能力的關(guān)鍵技術(shù)—安全態(tài)勢(shì)管理(SPM)當(dāng)前,網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻���,在企業(yè)安全防護(hù)更強(qiáng)調(diào)攻防對(duì)抗和有效性的背景下,構(gòu)建主動(dòng)安全防護(hù)能力體系�����,是有效應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)攻擊手段,保障數(shù)字化轉(zhuǎn)型成功的必要路徑����。
安全態(tài)勢(shì)管理(SPM) 有多種類(lèi)型�,包括了專(zhuān)注于云基礎(chǔ)設(shè)施(包括IaaS�����、SaaS和PaaS)的云安全態(tài)勢(shì)管理,以及識(shí)別敏感數(shù)據(jù)并確保其安全的數(shù)據(jù)安全態(tài)勢(shì)管理���。
在2023年�,最重要的SPM技術(shù)是SaaS安全態(tài)勢(shì)管理(SSPM)�,用于檢測(cè)和修復(fù)SaaS應(yīng)用程序中的錯(cuò)誤配置和其他問(wèn)題。SSPM是云訪(fǎng)問(wèn)安全代理(CASB)技術(shù)發(fā)展以來(lái)SaaS安全領(lǐng)域最重要的創(chuàng)新之一���。
云安全態(tài)勢(shì)管理(CSPM)是SPM一個(gè)重要的細(xì)分應(yīng)用�,旨在識(shí)別云中的錯(cuò)誤配置問(wèn)題和合規(guī)風(fēng)險(xiǎn)����。CSPM解決方案的一個(gè)重要目標(biāo)是持續(xù)監(jiān)控云基礎(chǔ)設(shè)施,以發(fā)現(xiàn)安全策略執(zhí)行方面的漏洞����。
被動(dòng)式的響應(yīng)安全事件,往往會(huì)耗費(fèi)安全人員大量精力����,同時(shí)又難以避免對(duì)企業(yè)財(cái)產(chǎn)和業(yè)務(wù)造成損失。而安全態(tài)勢(shì)管理方案則可以自動(dòng)識(shí)別和修復(fù)整個(gè)企業(yè)數(shù)字化環(huán)境中的風(fēng)險(xiǎn)�,幫助企業(yè)安全管理者進(jìn)行風(fēng)險(xiǎn)可視化��、自動(dòng)化事件響應(yīng)和合規(guī)性監(jiān)控��。在2023年����,需要重點(diǎn)關(guān)注并積極嘗試較為成熟的主動(dòng)安全防護(hù)技術(shù)/產(chǎn)品�����,推進(jìn)組織新一代安全能力體系構(gòu)建��。
構(gòu)建主動(dòng)安全防護(hù)能力的關(guān)鍵技術(shù)—攻擊面管理(ASM)當(dāng)前����,網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻,在企業(yè)安全防護(hù)更強(qiáng)調(diào)攻防對(duì)抗和有效性的背景下����,構(gòu)建主動(dòng)安全防護(hù)能力體系,是有效應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)攻擊手段���,保障數(shù)字化轉(zhuǎn)型成功的必要路徑�����。
攻擊面管理(ASM)技術(shù)要求持續(xù)發(fā)現(xiàn)和監(jiān)控企業(yè)所有的數(shù)字化資產(chǎn)���,從應(yīng)用程序、數(shù)字證書(shū)�����、代碼到移動(dòng)和物聯(lián)網(wǎng)設(shè)備�,以保持已知和未知資產(chǎn)的可見(jiàn)性。據(jù)最新調(diào)查數(shù)據(jù)顯示����,有52%的受訪(fǎng)企業(yè)組織管理著超過(guò)10,000個(gè)數(shù)字資產(chǎn),ASM將是一項(xiàng)重要且不斷增長(zhǎng)的技術(shù)��。
安全專(zhuān)家認(rèn)為�����,ASM是安全分析技術(shù)的進(jìn)步���,是傳統(tǒng)威脅檢測(cè)與響應(yīng)類(lèi)技術(shù)方案的能力延伸����。ASM利用了威脅檢測(cè)響應(yīng)中惡意活動(dòng)意識(shí)增強(qiáng)的趨勢(shì),并將其進(jìn)一步擴(kuò)展��。它回答了很多問(wèn)題����,比如企業(yè)哪里可能成為目標(biāo),哪里缺乏可見(jiàn)性��,組織的攻擊面整體是什么樣的?在哪些方面缺乏足夠的監(jiān)控措施��;企業(yè)是否真正具備了應(yīng)有的防御機(jī)制和能力��。
根據(jù)Gartner的描述����,ASM技術(shù)需要超越傳統(tǒng)資產(chǎn)的識(shí)別范圍(如端點(diǎn)、服務(wù)器���、設(shè)備或應(yīng)用程序等)��,通過(guò)將發(fā)現(xiàn)的資源整合到資源庫(kù)���,使用戶(hù)可以了解到傳統(tǒng)威脅檢測(cè)工具的覆蓋缺口���。ASM還可以通過(guò)API集成提供自動(dòng)化的數(shù)據(jù)收集,取代傳統(tǒng)手動(dòng)和低效的資產(chǎn)收集分析模式��,幫助安全團(tuán)隊(duì)實(shí)現(xiàn)對(duì)整體環(huán)境的安全控制�����、安全態(tài)勢(shì)感知和資產(chǎn)風(fēng)險(xiǎn)修復(fù)��,從而主動(dòng)改善企業(yè)的數(shù)字化安全狀況�����。
構(gòu)建主動(dòng)安全防護(hù)能力的關(guān)鍵技術(shù)—入侵和攻擊模擬(BAS)當(dāng)前���,網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻,在企業(yè)安全防護(hù)更強(qiáng)調(diào)攻防對(duì)抗和有效性的背景下��,構(gòu)建主動(dòng)安全防護(hù)能力體系�����,是有效應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)攻擊手段�����,保障數(shù)字化轉(zhuǎn)型成功的必要路徑。
入侵和攻擊模擬(BAS)是由Gartner首先提出的概念�����,并將之歸到了新興技術(shù)行列��。正如 Gartner 描述的����,此類(lèi)工具“可供安全團(tuán)隊(duì)以一致的方式持續(xù)測(cè)試安全控制措施,貫穿從預(yù)防到檢測(cè)乃至響應(yīng)的整個(gè)過(guò)程”�����。
入侵和攻擊模擬(BAS)工具能夠高效一致地衡量現(xiàn)有安全檢測(cè)功能及運(yùn)營(yíng)的有效性���。模擬結(jié)果可幫助指導(dǎo)產(chǎn)品投資及配置決策以堵上安全漏洞�,還有助于補(bǔ)全企業(yè)領(lǐng)導(dǎo)的網(wǎng)絡(luò)安全知識(shí)空缺�,比如:攻擊者能悄悄繞過(guò)我們的防御嗎?我們適用的風(fēng)險(xiǎn)是什么?這些風(fēng)險(xiǎn)對(duì)我們能造成什么樣的影響?這可以使安全人員處于影響短期投資決策、參與長(zhǎng)期安全規(guī)劃的位置上����,還能從商業(yè)角度總結(jié)出安全運(yùn)營(yíng)上的改善�����。
BAS與傳統(tǒng)的滲透測(cè)試和漏洞管理工具有根本上的不同����。后兩種方法都需要大量的人工指導(dǎo)���,實(shí)際上會(huì)為安全團(tuán)隊(duì)制造更多的工作和帶來(lái)更多誤報(bào)��。相比之下�����,BAS完全自動(dòng)化,并全面模擬數(shù)千種攻擊���,充分運(yùn)營(yíng)好所有的安全產(chǎn)品和工具��,幫助企業(yè)識(shí)別各種類(lèi)型的安全漏洞�����,并以合理的成本解決企業(yè)面臨的安全問(wèn)題����。