世界看热讯:F5预计2023年影子API将带来不可预知的漏洞
2022-12-26 15:35:51来源:TechWeb
【TechWeb】12月26日消息,全新的2023年就将到来,F5安全运营中心(SOC)的工程师们预测了2023年会出现的五大网络安全风险,从而为企业提供前瞻性洞察分析,为网络安全保驾护航。
威胁一:影子API将带来不可预知的漏洞
今天,应用程序接口(APIs)正在迅速普及。移动应用的融合、组织间的数据共享以及不断增加的应用程序自动化,使得在2021年有11.3亿个请求通过以API为中心的开发者工具Postman提交。然而,根据Postman发布的API状况报告中显示,48%的调查对象承认每月要处理至少一次API安全事件。
(资料图)
与网络安全的所有方面一样,你无法为未知内容提供保障。F5认为,影子API代表了一种日益增长的风险,可能会导致大规模数据泄露,而受到侵害的组织甚至不知道这种风险的存在。
时至今日,许多企业没有准确的API库存清单,因此导致了一种新的威胁形式,即“影子API”。拥有成熟API开发流程的企业会保存一个API库存清单的资产目录,理想状态下会包含所有可用的API端点信息、可接受参数的细节、认证和授权信息等。然而,许多企业由于没有API库存清单,生产中的API和受益于持续开发的API将会偏离于它们在清单中的原始定义。在这两种情况下都会出现组织不可见的公开API,这些API被称为“影子API”,而许多应用会通过“影子API”被攻破,而企业对这些API了解甚少,甚至毫无察觉。
威胁二:多重身份验证将失去效力
在F5发布的《2020网络钓鱼和欺诈报告》中,F5演示了攻击者如何使用实时网络钓鱼代理来绕过多重身份验证(MFA)系统。在实时网络钓鱼代理攻击中使用的虚假网站中,攻击者收集了常见的6位数MFA验证码,并用它来验证真正的目标网站。由于攻击是实时发生的,包括短信、移动端认证应用,甚至令牌在内的MFA方法都没有能够打败实时网络钓鱼代理。自2020年以来,F5持续分享了绕过MFA的技术增长趋势报告,从会话重用攻击到可窃取MFA代码的移动恶意软件,帮助企业高效规避网络攻击。
为了减少MFA阻力,许多新的解决方案依赖于推送通知。当用户试图登录一个系统时,现代解决方案不是要求他们手动输入多因素认证代码,而是向用户的注册手机发送推送通知,要求他们允许或拒绝登入操作。
但是,MFA疲劳攻击只会越来越频繁和有效。这种攻击的目的是通过用大量的认证请求骚扰受害者,使他们意外或无奈地允许通知请求。这种类型的攻击将为公司带来直接的风险,因为员工通常是最容易受到社交工程攻击的威胁载体。除此之外,MFA作为一项关键的安全控制,可用于阻止对关键资产的未授权访问。通常情况下,公司会忽略被破解的密码,或使用要求较低的密码类型,因为有额外的如MFA的补偿性控制。适用于MFA的网络钓鱼工具包和MFA炸弹攻击破除了这种补偿性控制,并再次凸显了口令、深度防御和转向零信任架构的重要性,在这种架构中,企业及个人的安全还需要考虑更多因素。
网络安全领域的大部分情况都是防御者和攻击者之间的军备竞赛,认证方法也不例外。当前,攻击者正在使用各种技术来适应MFA解决方案,包括误植域名、账户接管、MFA设备欺诈和社交工程。因此,应用和网络防御者正在考虑下一步的应对策略。目前,人们对生物识别认证持怀疑态度,因为指纹等生物特征是不可改变的,所以容易被窃取。然而,行为则更难被用于欺骗,通常是针对用户的行为,尤其是在规模上更是如此。这可能包括普遍的行为动作,如使用过的浏览器和所获取的地理位置,网站的导航模式、停留时间等针对应用的行为,以及诸如双击速度、鼠标移动模式、打字速度等用户行为。
短期内,在线快速身份认证(FIDO)联盟的通行证解决方案可能是第一个真正有效缓解社交工程攻击的方法,因为用于认证用户的加密密钥是以他们正在访问的网站地址为基础的。这项新技术能多快被普通用户所采用,仍有待观察。
威胁三:云部署故障排除将带来更多问题
预测云部署的安全事件,听起来是老生常谈,但随着云应用的违规频率不断增加,且规模巨大,F5认为这是值得重申的问题。正如F5在《2022应用保护报告》中强调的那样,大多数云事件都与配置错误有关,通常是过于广泛的访问控制。因此,虽然可能看起来是能轻易做到的事情,但F5安全运营中心(SOC)的工程师们依然发现了很多帮助补救云应用的违规行为,并认识到这些众多问题存在的原因。
实际上,无论是意外还是出于故障排除的目的,许多云用户都致力于在用户和网络层面设置正确地配置访问控制。2022年,F5 SOC时常看到用户创建临时服务用户,然后通过内置身份和访问管理(IAM)策略或内联策略为其分配非常广泛的权限。这些临时用户的创建通常是为了排除问题,或者是为了让依赖特定用户或角色的应用重新启动和运行。F5经常看到这种临时的配置变成永久性的配置,回滚变化也变得更加困难。此外,如果用户使用的是长期固定的凭证,而不是短期凭证,那么这些凭证也有可能以某种方式被盗或泄露。
威胁四:开源软件库将成为攻击的主要目标
软件正变得越来越相互依赖,许多应用和服务都基于开源代码库进行构建,但很少有企业能够准确地说明所使用的每一个库。随着防御者加强应用“周边”(即面向公众的网络应用和API),威胁者自然会将目光投向其他载体。攻击目标逐渐变为应用中第三方代码、代码库和服务。在硬件和软件代码库中,多达78%的代码由开源代码库组成,而非内部开发。作为攻击者,如果知道一个应用超过四分之三的代码是由开源代码库维系的,那么将这些代码库作为目标就变得异常合理了。
近年来,F5发现了越来越多的攻击方式,为依赖开源软件库的企业带来威胁:
? 开发者账户被泄露,通常是由于缺乏MFA,导致恶意代码被插入到广泛使用的库和谷歌浏览器扩充程式中;
? 木马攻击和误植域名攻击,威胁者开发的工具看起来攻击性强,或与广泛使用的开源软件库有非常相似的名字;
? 以黑客攻击的方式,由开源软件库的原作者故意插入破坏性和其他恶意代码。
很显然,上述行为的出现为应用开发的发展带来新挑战。许多现代应用利用软件即服务(SaaS)进行安全防护,如集中式认证、数据库即服务或数据泄密防护(DLP)。如果攻击者能够破坏开源软件(OSS)的代码库或被应用消耗的SaaS产品,那么攻击者就在应用内部有了立足点,能够绕过如Web应用防火墙和API网关的外围防御,从而进行攻击。
这个立足点可以被用来进行不同形式的横向移动(如远程外壳、监控、数据渗漏)。这样做的结果是,软件开发人员希望应用所组成的组件有更强的可见性,最重要的是有一个列举所有软件组件的软件材料清单(SBoM)。这将使软件产品的终端用户能够更迅速有效地确定漏洞是否会影响该产品。
但同时,SBoM的广泛采用也将带来大量技术债务。企业将不得不做出一些重大的内部投资,使旧系统达到最新水平,并修复多达数千的漏洞,或者考虑从头开始打造新一代的产品。当然,客户总要接受他们所选择的产品中存在大量未修复的漏洞,因为它们都是大同小异的。因此,企业应当对产品进行全面革新,而不是置之不理。
而对于未披露漏洞或零日漏洞,检测攻击者的最佳机会是观察软件组件和服务‘内部’应用之间的内部‘东西向’流量以及基础架构即服务(IaaS)的交互方式。现如今,这些互动可以被云安全态势管理(基础架构)、云工作负载保护平台(跨平台),以及应用检测与响应(应用层)所感知;这些独立市场需要整合起来,以提供一个整体视图,而这是高效、准确地检测应用内部威胁所必需的。
威胁五:勒索软件将进一步扩张
加密恶意软件现在已经十分泛滥了。但是,正如MITRE开发的对抗性战术、技术和公共知识库框架提及的勒索软件,这并不全是 “加密数据的影响”。F5发现,包括非加密种类在内,恶意软件是2021年企业数据泄露的最大原因。攻击者的重点是渗透或窃取数据。一旦他们掌握了这些数据,就能够通过不同的方法从中获取收益。
F5 SOC发现,针对数据库的勒索软件正呈现增长趋势。有组织的网络犯罪将继续发展勒索软件技术,并将特别关注关键基础设施。针对云数据库的勒索软件攻击将在未来一年大幅增加,因为企业和政府的关键数据都存储在其中。与传统的恶意软件在文件系统层面加密文件不同,数据库勒索软件能够在数据库内部加密数据。
同时,攻击者将增加尝试次数,通过各种诈骗和下游欺诈手段(如申请新的信用卡),直接从受影响的个人身上获取漏洞数据。从攻击者的心态来看,如果盗窃客户的个人信息不能通过勒索被破坏的组织(例如,要求赎金,威胁释放知识产权等)来赚钱,那么他们的目标就将转移到个人身上。
责任编辑:hnmd003
相关阅读
-
世界看热讯:F5预计2023年影子API将带来不可预知的漏洞
威胁一影子API将带来不可预知的漏洞。今天,应用程序接口(APIs)正在迅速普及。在F5发布的《2020网络钓...
2022-12-26 -
【热闻】马斯克下令Twitter删除自杀预防功能引发广泛担忧
新浪科技讯北京时间12月26日早间消息,据报道,知情人士透露,根据埃隆·马斯克(ElonMusk)的命令,Twi...
2022-12-26 -
天天观热点:格力电器声明:抖音快手平台使用董明珠相关视频售卖的N95口罩非我司生产
12月26日上午消息,格力电器发布声明,指出抖音快手平台使用董明珠相关视频售卖的N95口罩非我司生产。近...
2022-12-26 -
Apple Watch Ultra被吐槽:警笛求救功能实测效果不如几块钱的哨子 世界今日讯
AppleWatchUltra是当前苹果最高端的智能手表(6299元一块),也是一款面向户外极限运动场景设计的穿戴设...
2022-12-26 -
Meta花7.25亿美元摆平剑桥分析丑闻诉讼:创历史最高金额-今日热讯
新浪科技讯北京时间12月23日晚间消息,据报道,Facebook母公司Meta今日同意支付7 25亿美元,以了结一起...
2022-12-26
相关阅读
-
世界看热讯:F5预计2023年影子API将带来不可预知的漏洞
威胁一影子API将带来不可预知的漏洞。今天,应用程序接口(APIs)正在迅速普及。在F5发布的《2020网络钓...
-
零部件供应恢复、需求强劲,丰田11月全球产销实现双增长-环球观热点
零部件供应恢复、需求强劲,丰田11月全球产销实现双增长盖世汽车讯据外媒报道,由于强劲的需求,特别是...
-
科大讯飞AI翻译笔搭载多项先进技术,让孩子更容易上手
从2020年上市,讯飞翻译笔在科大讯飞完全自主知识产权且屡获国际大奖的AI技术加持下,不仅获得了广大孩...
-
检测结果是唯一标准,朱氏药业东贝医疗口罩、防护服获得ISO13485认证
对于防疫物资来说,质量合不合规,防护效果达不达标,只有、且只能有一个标准,那就是检测结果。无论口...
-
视焦点讯!笑靥如花怎么读?
笑靥如花怎么读(冉冉笑靥怎么读)1 倏忽(shūhū)意思是时间过得快,一般用作“倏忽之间”。比如,写...
-
鼯怎么读?寒号鸟到底是什么鸟?:世界微速讯
鼯怎么读(鼯的意思是什么)最冷这几天可算是过去了,大家这两天最常遇到的情况是不是这样的呢?不过好在...
-
叮叮当当的当有口字旁吗?口字旁的“当”存在吗?
叮叮当当的当有口字旁吗(表示声音的四字词语)听到有人说打不出口字旁的“当”,我表示不服,啪啪几下打...
-
戴尔电脑怎么样?戴尔电脑质量如何?
戴尔电脑怎么样(戴尔电脑属于什么档次)宋一聪在商务笔记本这一细分领域,戴尔的Latitude系列基本是与Thi...
-
中国方言怎么分布的?中国八大语系分别是什么?_焦点速读
中国方言地图(中国七大方言区分布图)我在看北京地区的童谣时发现其中一些段子竟然和鲁西北地区流传的...
-
当前热议!私人怎么查开的房记录?查询方法是什么?
有哪些好看的古装剧(十大必看的古装电视剧)文 星空婉儿近几年,古装剧、玄幻剧攻占了市场,成为了年...
-
每日快报!十年寒窗无人问是什么意思?十年寒窗无人问出自什么诗?
十年寒窗无人问(十年寒窗无人问全诗)“十年寒窗无人问,一举成名天下知”,封建社会的学子都把科举考...
-
环球看点!ds怎么样?谛艾仕属于什么档次?
ds怎么样(谛艾仕属于什么档次)DS的法文全称为Déesse,即“女神”的意思,这个称呼也配得上它曾经的辉煌...
-
巴德维疗法是什么?巴德维疗法有什么功效? 环球聚看点
巴德维疗法(巴德维疗法与亚麻籽油)关于酸奶的吃法,除了加水果、麦片以外,搭配亚麻籽油也是非常营养...
-
孙正义为什么是中国姓?孙正义是谁?
孙正义为什么是中国姓(阿里巴巴真正的幕后老板是谁)有这么一家公司,在全球投资过的公司超过600家,在全...
-
三年前开的房记录能不能查出来?:每日聚焦
券商佣金(最新券商佣金一览表)今天0点,电商平台一年一度的“6 18”促销大战暂时落下了帷幕,京东、...
-
友链互换平台有哪些?推荐十个比较靠谱的获取友链链接?_每日动态
友链互换平台(百度收录快速提交)网址SEO优化经过不断的更新推荐,目前剩下的有效方式已经不错了,随着...
-
宋慧乔的电视剧有哪些?推荐十部宋慧乔出演过的电视剧?:环球通讯
宋慧乔的电视剧(十部宋慧乔出演过的电视剧)一、2018年《男朋友》——饰·车秀贤二、2016年《太阳的后...
-
三国最后被谁统一了?三国历史资料简介?
三国最后被谁统一了(三国最终谁一统天下)三国(220年-280年)是汉朝与晋朝之间的一段历史时期,分为...
-
2的20次方是多少?10以内的平方数汇总?
2的20次方是多少(2的一到二十次方分别是多少)平方:11^2=12112^2=14413^2=16914^2=19615^2=22516^2=2561...
-
热推荐:洞箫名曲有哪些?洞箫十大名曲分别是什么?
洞箫名曲(洞箫十大名曲简介)1、碧涧流泉乐曲以清脆之音,表现出深山峡谷之中淙淙流水欢快地流淌的情景...
-
【世界新视野】中国有哪些神话传说?十大中国古代神话故事是什么?
中国神话传说(十大中国古代神话故事)充满神秘与魅力的中国充满了许多图像:神灵,女神,神话人物,历...
-
世界上最大的高原是什么高原?世界上最大的高原有哪些特色? 全球关注
世界上最大的高原(世界第一大高原)大家现在是不是已经在脑海里开始飙高音了,今天小风带大家看西藏,...
-
每日速讯:林雪儿是谁?林雪儿有哪些作品?
林雪儿作品(唐浣纱)“‘你去哪儿?’‘马边。’‘马边在哪?’‘小凉山区一个边城……’‘北京到马边...
-
全球即时:2017年研究生考试成绩什么时候公布?2017年考研成绩查询入口在哪里?
2017年研究生考试成绩公布时间(研究生报名时间)2017年考研成绩什么时候公布?往年考研初试成绩公布时...
-
北京一药房网上旗舰店哄抬连花清瘟被罚30万
北京市市场监管局网站显示,12月23日,北京源通百姓平安大药房有限
-
C级纯电车型再扩编,"燃电"奔驰会师终端市场
C级纯电车型再扩编, "燃电 "奔驰会师终端市场对比上个月的国产C级车销量排行榜,又有三款纯电产品的数...
-
配套升级、新品迭出,蔚来计划在2023年超越雷克萨斯
配套升级、新品迭出,蔚来计划在2023年超越雷克萨斯12月24日,2022蔚来日(NIODay2022)如约在蔚来中国总...
-
特斯拉4680电池实现周产86.8万颗电芯
特斯拉4680电池实现周产86 8万颗电芯12月25日,特斯拉官方账号在推特上表示,其4680电池团队在过去七天...
-
红旗成功组装10Ah全固态电芯,解决充电时长和续航性能痛点
红旗成功组装10Ah全固态电芯,解决充电时长和续航性能痛点12月24日据红旗汽车,通过对全固态电芯关键材...
-
唯品会发布《2022美妆热搜榜》,性价比、氛围感、成分党、防晒等入选
鞭牛士报道 在即将过去的2022年里,“后疫情时代”下的美妆新消费
精彩推荐
阅读排行
精彩推送
- 威马汽车被申请冻结7652万财产_...
- 天天播报:消息称抖音开放出行小...
- 阿里橙狮体育在上海成立文化公司...
- 潘粤明回应代言违法保健品被罚:...
- 宝马iX2谍照曝光,或将于明年发...
- 特斯拉超级充电突破1万桩 充电...
- 保时捷 718 Boxster谍照曝光,...
- 免疫产品入手好时机!快来iHerb...
- 天天观热点:潘粤明资本版图盘点
- 2022美妆大事件盘点:资本退潮,...
- 格力电器:短视频平台使用董明珠...
- 李斌再度回应蔚来数据泄露:公司...
- 什么是软文? 软文推广平台有哪些?
- 长安汽车转型:5年花570亿 第6...
- 全球热文:蔚来定调2023:完成「...
- 环球新消息丨搭1.3T插电混动系统...
- 预售10.69万起 凯翼昆仑将于202...
- 即时:特斯拉Q4或交付42万辆车,...
- 主权基金是什么意思?主权基金是...
- 缴费基数3957退休能拿多少钱?越...
- 养老保险交多少钱?交满15年就不...
- 养老保险怎么查询交了多少年了?...
- 养老保险断交了怎么办?断交多久...
- 抖音开放出行小程序入驻
- 世界视讯!李斌再回应蔚来用户数...
- 焦点!个人缴纳养老保险怎么交?...
- 微博回应收购新浪传闻:不涉及两...
- 当前简讯:Stellantis有意收购氢...
- 特斯拉上海工厂被曝周六已停产,...
- 特斯拉为全球车主提供30天EAP免...