相對(duì)于2020年的威脅列表，今年RSAC大會(huì)提出的許多攻擊媒介并不都是全新的，一些舊的威脅“沉渣泛起”，而且值得注意的是，研究人員在會(huì)議上討論的威脅并不限于以下五種。

在上月結(jié)束的RSAC2021會(huì)議上，由SANS研究所的專家主持的年度“五種最危險(xiǎn)的新攻擊技術(shù)及其應(yīng)對(duì)會(huì)議”成為了一大亮點(diǎn)。

相對(duì)于2020年的威脅列表，今年RSAC大會(huì)提出的許多攻擊媒介并不都是全新的，一些舊的威脅“沉渣泛起”，而且值得注意的是，研究人員在會(huì)議上討論的威脅并不限于以下五種：

威脅一：命令與控制(C2)卷土重來(lái)

SANS研究所的講師Ed Skoudis強(qiáng)調(diào)了“C2的黃金時(shí)代”，這是他看到的最大的新威脅之一。C2代表命令控制，通常與從中央命令點(diǎn)控制的僵尸網(wǎng)絡(luò)活動(dòng)關(guān)聯(lián)。Skoudis確定了企業(yè)保護(hù)自己免受C2活動(dòng)影響的幾種方法。他的建議之一是要求防御者加大出站流量的控制力度、檢測(cè)信標(biāo)和異常日志。他還建議安全專業(yè)人員強(qiáng)制執(zhí)行應(yīng)用程序白名單，以限制可以在企業(yè)內(nèi)部運(yùn)行的內(nèi)容。

威脅二：就地取材

Skoudis強(qiáng)調(diào)的另一個(gè)威脅趨勢(shì)是“就地取材”，即攻擊者利用組織網(wǎng)絡(luò)中已經(jīng)存在的工具來(lái)從事惡意活動(dòng)，獲取收益。他說(shuō)：“如果你是攻擊者，你可以先使用操作系統(tǒng)本身的資源來(lái)攻擊該計(jì)算機(jī)，并傳播到環(huán)境中的其他系統(tǒng)里，以此實(shí)現(xiàn)就地取材，自給自足?！逼髽I(yè)可以采取多種措施來(lái)保護(hù)自己免受“就地取材”的影響。Skoudis推薦的一組資源是LOLBAS項(xiàng)目，該項(xiàng)目提供了有助于識(shí)別和限制“就地取材”攻擊風(fēng)險(xiǎn)的工具。

威脅三：深度駐留

由于存在持久威脅，Skoudis警告說(shuō)，惡意軟件現(xiàn)在可以以前所未有的方式深深地潛入到設(shè)備中。例如，攻擊者可以將惡意軟件嵌入U(xiǎn)SB充電電纜中。Skoudis指出，對(duì)于個(gè)人和公司而言，緊要的不僅是不要在系統(tǒng)中插入任何東西，還要確保從可信來(lái)源獲得線纜和其他周邊設(shè)備。

威脅四：移動(dòng)設(shè)備完整性

SANS研究所高級(jí)講師兼數(shù)字智能總監(jiān)Heather Mahalik強(qiáng)調(diào)，移動(dòng)設(shè)備的風(fēng)險(xiǎn)是她認(rèn)為的最大威脅之一?？紤]到手機(jī)已成為日常生活中必不可少的一部分，她指出，如果手機(jī)落入壞人手中，可能會(huì)造成災(zāi)難性的后果。她指的不僅是丟失或被盜的設(shè)備，還包括未正確擦除先前所有者數(shù)據(jù)的翻新設(shè)備的風(fēng)險(xiǎn)。她還提到了Apple IOS設(shè)備中checkm8漏洞的風(fēng)險(xiǎn)，該硬件漏洞允許checkra1n越獄。

威脅五：警惕2FA雙因素認(rèn)證的“后遺癥”

業(yè)界推薦使用雙因素身份驗(yàn)證(2FA)作為幫助提高用戶安全性的最佳實(shí)踐，但這也不是萬(wàn)能藥。Mahalik指出，僅以輸入(短信)驗(yàn)證碼的方式部署2FA是不夠的。她說(shuō)：“密碼和2FA缺一不可。如果只是其中之一，則該認(rèn)證方案存在脆弱風(fēng)險(xiǎn)?！盡ahalik建議，當(dāng)用戶獲得新的電話號(hào)碼時(shí)，應(yīng)確保他們對(duì)進(jìn)入2FA的每個(gè)應(yīng)用程序都具有將雙因素認(rèn)證手機(jī)號(hào)碼變更為新號(hào)碼的權(quán)限。

威脅六：企業(yè)安全邊界漏洞

SANS研究所的研究主任Johannes Ullrich認(rèn)為企業(yè)邊界漏洞的風(fēng)險(xiǎn)是最大威脅之一。在過(guò)去的一年中，在廣泛部署的企業(yè)防火墻和外圍安全設(shè)備中存在許多公開(kāi)報(bào)告的問(wèn)題。除了打補(bǔ)丁外，Ullrich建議用戶不要將企業(yè)邊界設(shè)備上的管理界面暴露到互聯(lián)網(wǎng)上。

威脅七：Localhost API

Ullrich認(rèn)為值得重視的新威脅之一是嵌入在調(diào)用第三方資源的企業(yè)應(yīng)用程序中的localhost API。盡管API的目的是啟用諸如技術(shù)代理支持之類的功能，但它們也使企業(yè)面臨潛在風(fēng)險(xiǎn)。為了限制風(fēng)險(xiǎn)，Ullrich建議用戶在可能的情況下，確定正在偵聽(tīng)系統(tǒng)端口的內(nèi)容，并監(jiān)視應(yīng)用程序如何調(diào)用外部資源。

發(fā)布時(shí)間：2021年6月28日

（來(lái)源：安全牛）