8月初,2022年黑帽大会(Black Hat 2022) 在拉斯维加斯召开。作为安全行业技术大会,黑帽大会及其姊妹会议 DEF CON以展示硬件和传统软件漏洞而闻名。
在今年的第25届大会上,参会者在聆听关于这类漏洞分享的同时,也有更多机会聆听和探讨对开发者、开源软件和底层基础设施的威胁、漏洞和潜在攻击——这标志着威胁格局的转变及对软件供应链的安全威胁日益突出。
在大会上,安全厂商还展示了零信任、扩展检测和响应 (XDR) 以及威胁和漏洞管理等产品。
短期看空、长期看好
美国网络安全和基础设施局 (CISA) 前主任克里斯·克雷布斯 (Chris Krebs )是黑帽大会第一天的主题演讲人。他在演讲中表示,网络安全状况在短期内会变得更糟,但安全行业在未来3~5年内将会有效应对安全挑战。
攻击者的低门槛和IT 系统日益复杂是两大主要原因。疫情加速云的部署,进一步降低了可见性、增加了复杂性。很多云设施上的应用在开发设计方面的安全性不高,比如人力资源、工资单和业务管理。扩大的攻击面使攻击者更容易获得想要的东西。此外,现在网络攻击者的进入壁垒几乎消失了,他们现在可使用国家攻击组织使用的漏洞利用。
克雷布斯警告,如果网络安全行业在技术上跟不上攻击者的步伐,未来的网络犯罪将是无穷无尽。
克雷布斯督促安全技术企业重新开发解决核心安全问题的产品——必须解决最常见和最持久的安全问题。“安全技术供应商正在努力解决基础设施中的核心问题,但还没有达到需要的速度。”
克雷布斯还建议政府重新思考与技术互动的方式。“过去 25 年中,我们的数字环境在发生了巨大的变化,而政府却没有跟上步伐。现在的监管不一定有效:过度依赖清单和合规,而不是基于实战效果。”
克雷布斯建议政府应该利用其作为消费者、执法者、防护者和推动者的角色。例如,美国国防部作为作为消费者,是大型科技公司的最大客户,拥有令人难以置信的购买力,必须进行有效利用。
软件供应链安全最受关注
软件供应链安全是Black Hat 2022的热点话题。
向云原生开发的转移,以及采用 DevOps 流程带来的开发速度加快,使得与保护软件供应链相关的挑战变得无限复杂。对 SolarWinds 和 Kaseya 等公司的软件供应链成功攻击,促使攻击者加强对软件构建和分发环境的攻击。
在过去的 12 个月中,供应链攻击的数量和复杂程度急剧增加,成为行业关注焦点。CIO 越来越关注对软件供应链的成功网络攻击可能导致严重的业务中断、收入损失、数据盗窃和客户损害。
黑帽大会对与会网络安全专业人士的调查报告显示,对云服务攻击、勒索软件和全球供应链日益增长风险忧虑尤其突出。60% 参会者担心第三方系统和应用中的漏洞,55% 的参会者担心云或网络服务中的漏洞,47% 参会者担心现成商业软件中的漏洞。61% 的安全专业人员对 Microsoft Exchange 和其他非定制应用中的漏洞表示关注,
Cybereason 首席安全官 Sam Curry表示,大多数供应链漏洞都存在于被利用的网络中,但目前还不可见。另一只鞋是否会落下或变得更可预测还有待观察。卡巴斯基首席安全研究员库尔特·鲍姆加特纳 (Kurt Baumgartner) 发现,APT 组织可能也已将注意力转向通过供应链来破坏感兴趣的目标。
今年举办的首届创新聚光灯比赛(类似于RSAC的创新沙盒比赛),软件供应链安全公司Phylum击败其他三家网络安全初创公司夺冠 。Phylum 联合创始人兼总裁 Peter Morgan介绍,公司专注于提升开源软件包的安全性,使用对风险指标的演绎分析来创建 “软件包信用评分”。
在黑帽大会上, 安全公司Cycode对供应链安全管理平台进行升级,增加软件组合分析 (SCA)、静态应用程序安全测试 (SAST) 和容器扫描功能等新功能。所有新组件都将添加到 Cycode 的知识图谱,可以结构和关联来自软件开发生命周期工具和不同阶段的数据,以使程序员和安全专业人员能够了解风险并协调对威胁的响应。
NCC 集团的研究人员认为, CI/CD 管道本身对组织构成重大风险,是一个危险的攻击面。
NCC 集团研究人员 Iain Smart 和 Viktor Gazdag 的演讲—— RCE 即服务:从 5 年真实世界 CI/CD 管道妥协中吸取的教训,将 CI/CD 管道描述为“软件供应链中最危险的潜在攻击面”。他们认为,这些开发平台是任何公司 IT 基础设施皇冠上的明珠,却帮助攻击者将加快软件开发的工具变成恶意的“远程代码执行即服务”平台。
开源网络风险成中心主题
软件行业高度依赖开源软件来促进开发,目前通过开源平台和代码实施的威胁和攻击日益普遍,作为供应链安全子话题,开源网络风险成为今年黑帽大会的另一个中心主题也就不足为奇了。
Synopsys 公司的数据显示,2021 年的软件应用依赖 500 多个开源库和组件,这一数字在两年内增长了 77%。这已经引起了攻击者的关注:严重依赖 PyPi 和 npm 等开源存储库的开发人员(和开发团队)已发生多起软件供应链攻击。FortiGuard Labs 研究人员指出,从2021年第一季度到第四季度,ELF 和其他 Linux 恶意软件检测的发生率在 2021 年翻了一番。
Black Hat 的议程探讨了开源代码带来的风险并提出了补救措施。研究人员 Jonathan Leitschuh、Patrick Way 和 Shyam Mehta 在演讲中分享开源安全中的一个关键问题:如何扩展安全响应,以应对 GitHub 等大型开源平台的挑战。现代工具使我们能够自动化漏洞扫描和识别,但最终的输出结果给评估和响应人员带来挑战。研究人员提出了自动批量拉取请求生成,以及 Netflix 开发的 OpenRewrite 等工具解决方案,可以帮助安全团队改进安全响应。
安全研究人员表示,Linux 等开源软件运行于很多网络的后端系统,以及物联网设备和关键任务应用解决方案。随着 Linux 部署的扩大,针对它的攻击也将增加。
安全专家认为,机构必须立即采取行动。强化 Linux 系统和操作技术环境。这包括添加实时保护、检测和响应威胁工具,以及部署集成的安全防护方案。
云安全与资产漏洞管理成为焦点
在云环境下,企业的攻击面也日趋扩大和复杂。企业数字资产及漏洞风险管理也成为大会的热门话题之一。
在黑帽大会期间,SentinelOne公司公布了与 Armis 的新集成——Singularity 扩展检测和响应 (XDR) 平台集成到 Armis 资产情报平台中。此次合作有助于保护机构免受现代威胁,提供跨端点、云、移动、物联网、运营技术 (OT) 设备等方面无与伦比的可见性和风险降低。
Armis 是一家专门提供统一资产情报的领先平台。公司联合创始人兼首席技术官 Nadir Izrael 表示,Armis帮助客户管理漏洞并优先处理最关键的问题。目前,自动化漏洞管理成为 Armis增长最快的业务领域,帮助许多金融服务公司确定哪些资产易受最新漏洞影响。
就安全运营来说,上下文、可见性和资产覆盖范围对减少攻击面绝对至关重要。XDR 平台与资产情报平台的集成将有助于缓解资产可见性和控制方面的挑战,特别是在医疗保健、制造和关键基础设施垂直领域。
安全公司Darktrace 则通过 收购 Cybersprint 进入攻击面管理领域,通过为机构提供与黑客相同的外部视图来防止攻击。公司战术风险和响应副总裁 Justin Fier介绍,该公司的技术将帮助组织解决外部暴露面增加的问题,并主动思考如何阻止攻击,而不仅仅是对检测到的异常活动做出反应。借助攻击面管理工具可以实现超越网络的可见性,并实现风险面减少。依靠年度渗透测试和红队演习来评估攻击面的方法无法实时捕捉启动新系统。
黑帽大会上,与会者对云安全同样极其关注。目前云安全已成为安全公司SentinelOne 业务中增长最快的部分,甚至吸引到选择了其他厂商的端点安全方案的客户。
公司联合创始人兼首席执行官 Tomer Weingarten 表示,SentinelOne 专注于云工作负载保护,在性能和部署方面优于竞争对手,因为不需进入内核或侵入式集成,无需繁琐的部署即可实现对云、Linux 和 Kubernetes 环境的可见性和安全保护。
目前SentinelOne正在寻求关键功能扩展,例如云安全态势管理(CSPM)和云基础设施授权管理 (CIEM)。
在针对安全项目的部署意向方面,根据对黑帽大会与会者的项目预算调查,云安全态势管理(CSPM)、元原生应用保护平台(CNAPP)、API 安全等必备项目在快速增长。同时,随着机构意识到没有资源为其 SOC 配备人员,托管检测和响应仍然非常热门。
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。