網(wǎng)絡安全攻防演練中不能忽視的API風險

網(wǎng)絡安全實戰(zhàn)化攻防演練是檢驗企業(yè)網(wǎng)絡安全建設效果的有效方式，攻防雙方在真實的網(wǎng)絡環(huán)境中開展對抗，更貼近實際情況，有利于發(fā)現(xiàn)企業(yè)真實存在的安全問題。從以往攻防演練活動的實際案例來看，各組織單位在攻擊面梳理過程中容易忽略的幾個關鍵點：

1.影子API。在資產(chǎn)梳理過程中，難免有些資產(chǎn)在安全視線之外，如有些API沒有經(jīng)過WAF或API網(wǎng)關，這些API可能是歷史遺留下來的僵尸API，由于缺乏安全防護容易被攻擊。

2.邏輯漏洞。傳統(tǒng)安全檢測產(chǎn)品很難發(fā)現(xiàn)未授權訪問、越權訪問、允許弱密碼、錯誤提示不合理、未禁用目錄瀏覽等邏輯漏洞（安全缺陷）。

3.涉敏流量。現(xiàn)有WAF、API網(wǎng)關等產(chǎn)品更多是對入站流量的檢測，缺乏對出站流量的檢測，出站流量中如果暴露了明文的敏感數(shù)據(jù)，可能會被攻擊者加以利用。

4.高危組件。承載API的后端組件可能存在安全隱患），同時這些組件因為API對外提供業(yè)務而暴露在互聯(lián)網(wǎng)中，往往會成為攻擊者的攻擊目標。

盡管很多企業(yè)通過持續(xù)的攻防演練有效提升了安全防護能力，但隨著組織數(shù)字化進程的加快以及業(yè)務的迅速發(fā)展，總有一些跟不上變化的風險點出現(xiàn)。在了解了攻防演練中那些容易被忽略的API安全風險點和攻擊方常見的攻擊套路后，各組織單位想要在攻防演練中更好應對，還需要從自身業(yè)務安全出發(fā)，制定相應的API安全管理策略，包括：資產(chǎn)動態(tài)梳理、缺陷持續(xù)評估、攻擊精準感知。

02

企業(yè)部署到云的API驅(qū)動應用程序應注意這些安全事項

在過去幾年中，API 驅(qū)動的應用程序在企業(yè)級云平臺上部署以擴展規(guī)模興起。它們能夠根據(jù)用戶需求進行擴展，徹底改變了應用程序的編寫和部署方式。以下是企業(yè)在評估 API 安全解決方案時應考慮的一些關鍵標準。

1. API 可見性和監(jiān)控：你無法保護看不到的東西。為了防范安全風險，企業(yè)了解其 API 程序的所有方面及其相關的安全挑戰(zhàn)至關重要。這可以更好地幫助領導者通過適當?shù)木徑獠呗愿纳破浣M織的安全狀況。

2. API 安全性：不同類型的應用程序安全性。隨著企業(yè)繼續(xù)擴大其 API 驅(qū)動的應用程序，他們發(fā)現(xiàn)傳統(tǒng)的 WAF 無法很好地適應單體應用程序的需求，無法滿足現(xiàn)代 API 驅(qū)動的應用程序的需求。

3. 威脅分析：在網(wǎng)絡攻擊發(fā)生時檢測它們。收集應用程序內(nèi)所有點的數(shù)據(jù)交互可確保其全面了解所有用戶與應用程序的交互。數(shù)據(jù)集越豐富，就越容易將惡意與合法用戶交易區(qū)分開來，并使企業(yè)的安全團隊能夠盡快發(fā)現(xiàn)數(shù)據(jù)泄露。

快速變化的 API 驅(qū)動應用程序有助于加快產(chǎn)品上市速度，但也釋放了可被網(wǎng)絡犯罪分子快速利用的 API 漏洞。由于跨更復雜和分布式應用架構的快速變化，API 安全的要求與市場上現(xiàn)有的應用安全產(chǎn)品有著根本的不同。在評估 API 安全解決方案時，一定要關注解決方案如何提供可見性、它對應用程序的理解程度以及威脅分析的質(zhì)量和深度。

03

構建數(shù)據(jù)成熟度模型和數(shù)據(jù)成熟度的四個階段

數(shù)據(jù)成熟度是對組織利用其數(shù)據(jù)的程度的衡量。為了實現(xiàn)高水平的數(shù)據(jù)成熟度，數(shù)據(jù)必須在組織中充分融入所有決策和實踐。數(shù)據(jù)成熟度通常分階段進行衡量。數(shù)據(jù)成熟度是衡量組織數(shù)據(jù)分析先進程度的指標。為了創(chuàng)建數(shù)據(jù)成熟度模型，國外某公司研究以業(yè)務的六個方面：戰(zhàn)略、數(shù)據(jù)、文化、架構、數(shù)據(jù)治理和采購/入職作為入手，呈現(xiàn)出他們理解的數(shù)據(jù)成熟度的四個獨特階段。

階段1.探索者。剛剛開始使用數(shù)據(jù)的組織雖然可能將數(shù)據(jù)用于報告目的，但是臨時性的。

階段 2. 用戶。通過添加臨時數(shù)據(jù)集來幫助擴大內(nèi)部數(shù)據(jù)源，使其成為在整個組織內(nèi)部使用數(shù)據(jù)的標準。他們對數(shù)據(jù)的反應性使用有助于做出有洞察力的業(yè)務決策。

階段 3. 領導者。為了完成組織使命和業(yè)務成功，領導者除了使用自己的數(shù)據(jù)外，還使用第三方數(shù)據(jù)集。

階段 4. 創(chuàng)新者。數(shù)據(jù)不僅僅用于分析和觀察。事實上，作為創(chuàng)新者的組織正在使用數(shù)據(jù)來創(chuàng)建算法并預測他們?nèi)绾伪３诸I先地位。

數(shù)據(jù)是世界上增長最快的資源之一，估計每天創(chuàng)建 2.5 萬億字節(jié)。數(shù)據(jù)是當今任何組織都可以使用的最有價值的資產(chǎn)之一。如果組織還不能充分利用數(shù)據(jù)，意味著正好可以開始自己的數(shù)據(jù)成熟度之旅。隨著可用數(shù)據(jù)量的不斷增長并變得更易于訪問，組織使用數(shù)據(jù)的方式——以及數(shù)據(jù)成熟——將繼續(xù)發(fā)展。

04

零信任對MSP意味著什么？

零信任已經(jīng)對客戶購買的產(chǎn)品和服務類型產(chǎn)生了重大影響。然而，實施階段將需要數(shù)年時間，這意味著長期的銷售潛力以及隨著時間的推移與客戶建立更牢固關系的可能性。尤其是所有托管服務提供商 (MSP)，他們的工作是將客戶利益與他們自己的利益相匹配。那么，MSP 應該如何傳達零信任的價值呢？

1) 了解客戶驅(qū)動力。隨著最近遠程辦公的興起而變得更加強烈，這使人們認識到周邊安全的局限性。組織被迫依賴端點安全和 VPN，并在可能的情況下改進身份驗證。

2) 零信任是為了降低風險。它提供了改進網(wǎng)絡資源、用戶和數(shù)據(jù)管理的可能性，同時還能降低成本，使技術采用更加容易。

3) 零信任帶來競爭優(yōu)勢。越來越多的組織認識到，通過與服務提供商合作形成的一致的網(wǎng)絡安全戰(zhàn)略，使他們比落后的競爭對手更具競爭性市場優(yōu)勢。這遠遠超出了公認的合規(guī)和監(jiān)管理念，后者的運作時間更長。在某些情況下，網(wǎng)絡安全現(xiàn)在甚至可能是生死攸關的問題。

即使按照網(wǎng)絡安全行業(yè)大肆宣傳的標準，零信任 (ZT) 的興起和崛起也是一個不容忽視的現(xiàn)象。網(wǎng)絡安全領域的任何人都不能忽視這一層面的利益，尤其是所有托管服務提供商 (MSP)，他們的工作是將客戶利益與他們自己的利益相匹配。越來越多的 MSP 必須解決他們的服務如何與零信任網(wǎng)絡安全相吻合的問題。MSP 受益于零信任，因為這意味著與客戶的長期關系超越了傳統(tǒng)的銷售周期，在出現(xiàn)問題后，MSP才會聯(lián)系客戶。?

05

從合規(guī)視角看工控安全防護體系建設

基于工控安全的監(jiān)管合規(guī)要求，工業(yè)企業(yè)應根據(jù)自身生產(chǎn)設備及系統(tǒng)的實際情況，構建一套從工業(yè)設備管理、到網(wǎng)絡安全防護再到綜合安全管理的三層防護體系：

1、 在工業(yè)設備管理層面，需要對對工業(yè)體系內(nèi)部的物理設備進行管理，保證其運行的安全問題。針對工業(yè)系統(tǒng)及工業(yè)設備，企業(yè)需通過驗證供應商資質(zhì)、加密合同等方式，構建安全的采購供應鏈路。

2、 網(wǎng)絡安全防護層則是通過部署安全產(chǎn)品，依照“一個中心三重防護”的安全要求進行。安全防護是進行工控安全體系建設的核心。安全防護能力建設可以分為針對計算環(huán)境的安全建設、對邊界的安全建設以及對網(wǎng)絡通訊的安全建設。

3、 安全管理是指建立相應的組織架構、管理體系，從制度維度做好工控安全防護。工業(yè)企業(yè)需構建專門的工控安全組織管理部門，明確組織架構，負責對企業(yè)內(nèi)部網(wǎng)絡安全的規(guī)劃、建設、實施。建立相應的安全制度，以做到工業(yè)企業(yè)內(nèi)部的人員管理、配置管理及補丁管理，做到記錄和審計。

工業(yè)環(huán)境的特殊性造成了工業(yè)企業(yè)的安全建設不能照搬互聯(lián)網(wǎng)防護。當前，我國工控安全還處于起步階段，工業(yè)領域整體防護水平有待提高，專業(yè)的工業(yè)安全人才缺乏。近年來，國家頒布的一系列網(wǎng)絡安全法律法規(guī)一方面對工業(yè)安全提出了要求，另一方面也對工業(yè)安全的建設提供了指導。工業(yè)企業(yè)應根據(jù)自身的情況，由簡入繁，以網(wǎng)絡安全提升生產(chǎn)安全，完成兩化融合的信息化改造，切實提升企業(yè)的生產(chǎn)能力。?

06

面對防不勝防的釣魚郵件攻擊，企業(yè)該如何防患于未然？

釣魚郵件通過模擬真實郵件來進行網(wǎng)絡攻擊，模擬釣魚演練則是通過模擬釣魚郵件讓人員實景學習釣魚郵件的防范要點。具體包括：

1、如果郵件發(fā)件人賬戶名稱是某機構，但地址欄中顯示的卻是個人賬號，同時檢查“收件人”及“抄送人”的地址欄。看其發(fā)送的對象中是否有你不認識或者不和你在一起工作的人。

2、對使用“親愛的用戶”或者一些泛化問候的郵件保持警惕。如果某個可信機構有必要聯(lián)系你，他們應該會知道你的名字和信息。同樣也要問問自己，該公司為什么會發(fā)郵件給你。

3、對任何制造緊急氛圍的郵件都要提高警惕，如要求“請在今日下班前務必完成升級操作”這是讓人在慌忙之中犯錯的慣用手段。

4、將鼠標放在鏈接處，會顯示真實網(wǎng)址。如果顯示的真實網(wǎng)址與郵件中所列出的鏈接網(wǎng)址不同，這就很可能是一次釣魚攻擊。

5、對附件保持警惕，如內(nèi)容包含文檔、圖片、壓縮包、腳本程序（exe、vbs、bat）等，在確認郵件可信之前一定不要點擊附件。

Verizon 2021年數(shù)據(jù)泄露調(diào)查報告發(fā)現(xiàn)，在所有數(shù)據(jù)泄露事件中有25%涉及網(wǎng)絡釣魚。Proofpoint 2022年網(wǎng)絡釣魚威脅狀態(tài)報告顯示，2021年有83%的企業(yè)成為網(wǎng)絡釣魚攻擊的受害者。釣魚郵件攻擊如此普遍，關鍵在于釣魚郵件攻擊的高成功率，這種網(wǎng)絡攻擊很容易被攻擊機器人反復復制和自動化。雖然許多人相信自己在收到一封網(wǎng)絡釣魚電子郵件時會識別出來，但事實是他們通常做不到。

07

攻擊面管理——網(wǎng)絡安全運營技術革新

賽迪顧問發(fā)布的《中國攻擊面管理市場白皮書》中指出，攻擊面管理（ASM）是一種從攻擊者視角對企業(yè)數(shù)字資產(chǎn)攻擊面進行檢測發(fā)現(xiàn)、分析研判、情報預警、響應處置和持續(xù)監(jiān)控的資產(chǎn)安全性管理方法，其最大特性就是以外部攻擊者視角來審視企業(yè)所有資產(chǎn)可被利用的攻擊可能性，而這里的所有資產(chǎn)包含已知資產(chǎn)、未知資產(chǎn)、數(shù)字品牌、泄露數(shù)據(jù)等等一系列可存在被利用的風險的資產(chǎn)內(nèi)容。企業(yè)實施攻擊面管理時需要考慮一些最佳實踐，以最大限度地減少漏洞，并降低安全風險。

· 繪制攻擊面。部署適當?shù)姆烙仨毩私獗┞读四男?shù)字資產(chǎn)、攻擊者最有可能入侵網(wǎng)絡的位置以及需要部署哪些保護措施。因此，提高攻擊面的可見性并構建對攻擊漏洞的有力呈現(xiàn)至關重要。?

· 最小化漏洞。一旦企業(yè)繪制完成他們的攻擊面，就可以立即采取行動減輕最重要的漏洞和潛在攻擊媒介帶來的風險，然后再繼續(xù)執(zhí)行較低優(yōu)先級的任務。在可能的情況下使資產(chǎn)離線并加強內(nèi)部和外部網(wǎng)絡是值得關注的兩個關鍵領域。

企業(yè)實施攻擊面管理時還需要考慮：建立強大的安全實踐和政策。嚴格遵循一些久經(jīng)考驗的最佳安全實踐將大大減少企業(yè)的攻擊面。這包括實施入侵檢測解決方案、定期進行風險評估以及制定明確有效的政策。隨著IT基礎設施的變化以及攻擊者的不斷發(fā)展，強大的網(wǎng)絡安全計劃同樣需要進行不斷地調(diào)整。這就需要持續(xù)監(jiān)控和定期測試，后者通常可以通過第三方滲透測試服務實現(xiàn)。?