三月�����,信息安全圈爆出了兩起極為嚴(yán)重的安全事件�。
三月,信息安全圈爆出了兩起極為嚴(yán)重的安全事件����。
首先,一家全球知名IT公司的電子郵件系統(tǒng)被發(fā)現(xiàn)存在多個遠(yuǎn)程代碼執(zhí)行高危漏洞�,截至目前全球范圍內(nèi)已經(jīng)有數(shù)萬家組織的數(shù)十萬臺服務(wù)器被感染�。借此�����,攻擊者無需身份驗證或有效電子郵件賬戶�,只需一個Web瀏覽器即可從服務(wù)器上讀取電子郵件,甚至完全接管郵件服務(wù)器���。
就在大量IT人員忙著給自家郵件服務(wù)器打補(bǔ)丁的同時����,緊接著硅谷一家安防領(lǐng)域初創(chuàng)公司又被爆出重大漏洞����,攻擊者可以借此拿到該公司客戶所部署的,超過15萬個安防攝像頭的遠(yuǎn)程管理權(quán)限��,并查看實時和存檔的監(jiān)控錄像����。
事情到底多嚴(yán)重?僅從Akamai圍繞上述郵件系統(tǒng)漏洞在48小時內(nèi)全球范圍的觀察結(jié)果來看�����,就發(fā)現(xiàn):
共有290,000個嘗試掃描和/或利用這些漏洞的唯一嘗試企圖
這些企圖共涉及952個唯一IP��,其中731個IP早已被Akamai Client Reputation威脅智能引擎標(biāo)記為已知的Web掃描器或Web攻擊者
23,910臺主機(jī)成為被攻擊的目標(biāo)
80%的攻擊活動針對商業(yè)��、高科技�、金融服務(wù)、制造業(yè)等垂直行業(yè)
90%的攻擊以美國�、澳大利亞、印度��、加拿大�����、德國�、法國和英國的組織為目標(biāo)
其實在Akamai看來,這兩起事件再次證明了我們始終強(qiáng)調(diào)的一個重要原則:選擇云為先的零信任安全模型���,這才是大部分企業(yè)面向未來實現(xiàn)安全性的最佳方式�。
為什么這樣說�����?原因很簡單���。
如何看待這兩起事件��?
先來看看上文提到的那個電子郵件系統(tǒng)的遠(yuǎn)程代碼執(zhí)行漏洞�。雖然廠商強(qiáng)烈建議客戶盡快為部署在本地環(huán)境的郵件服務(wù)器打補(bǔ)丁,但眾所周知��,給系統(tǒng)安裝補(bǔ)丁并不像聽起來那么簡單或快速就能完成�����,尤其是當(dāng)IT人員本已非常忙碌并且人手不足時更是如此�。其實從以往類似事件的發(fā)展歷程就可以很自然地想到:盡管相關(guān)廠商已經(jīng)預(yù)警并提供了補(bǔ)丁程序,但未來很長一段時間里�,依然會有很多用戶出于各種原因繼續(xù)運行未打補(bǔ)丁的軟件,進(jìn)而遭受攻擊并承受損失���。
再來說說安防公司這起事件�。關(guān)于該攻擊的技術(shù)細(xì)節(jié)還有很多疑問和不確定的地方�����,但很多證據(jù)表明����,該公司將一臺Jenkins服務(wù)器暴露至公眾互聯(lián)網(wǎng)上�,可能是導(dǎo)致此次攻擊的最主要原因����。借此�,攻擊者只需要利用一些眾所周知的戰(zhàn)術(shù)、技術(shù)以及工具����,即可獲得系統(tǒng)訪問權(quán)限,并以此為跳板訪問內(nèi)部網(wǎng)絡(luò)中的更多資源���。
而這兩起事件也有一些共通之處:只要通過某種形式的智能訪問控制機(jī)制對有漏洞的服務(wù)器施以訪問限制措施��,就能阻止攻擊者直接訪問到網(wǎng)絡(luò)中的內(nèi)部資源�。這樣做�,來自外部的攻擊者就無法直接觸及包含漏洞的內(nèi)部系統(tǒng),而只能通過“扮演”真正的最終用戶�����,以間接的方式發(fā)起攻擊���。而隨著各類可結(jié)合上下文情境����,具備自適應(yīng)能力,可智能感知用戶身份的訪問控制解決方案(如兼容FIDO2標(biāo)準(zhǔn)���,采用零信任網(wǎng)絡(luò)訪問[ZTNA]方法的多重身份驗證機(jī)制)陸續(xù)普及�,這樣的做法其實已經(jīng)越來越難以成功了�。
Aamai如何提供幫助?
對于上文提到的兩個安全事件��,Akamai用戶只需簡單的設(shè)置即可有效預(yù)防并獲得保護(hù)��。
對于Akamai Web應(yīng)用程序防火墻解決方案����、Kona Site Defender以及Web Application Protector用戶,在Automated Attack Groups引擎自動更新機(jī)制的保護(hù)下已經(jīng)可以獲得保護(hù)���。同時Akamai也建議客戶使用Automated Attack Groups將攻擊組(尤其是Web Platform Attack Group)設(shè)置為“Deny”��,即可有效遏制相關(guān)風(fēng)險���。
Kona Site Defender用戶則可使用Kona Rule Set(KRS)更新自己的配置文件��,并在Total Request Score(Inbound)攻擊組中啟用新發(fā)布的����,ID為3000083和3000084的規(guī)則����,這樣即可有效預(yù)防CVE-2021-26855和CVE-2021-27065這兩個漏洞的影響�。
兩個事件帶給我們什么心得和啟發(fā)?
成功發(fā)起攻擊的攻擊者將能在有漏洞的郵件服務(wù)器上執(zhí)行任意代碼甚至安裝Web Shell�,進(jìn)而獲得系統(tǒng)的持續(xù)訪問權(quán)限,并以此為基礎(chǔ)訪問服務(wù)器上的文件夾和郵箱�,以及系統(tǒng)中存儲的憑據(jù)。
Akamai相關(guān)安全產(chǎn)品可通過多種控制措施檢測到這類企圖:
01 Web Application Firewall
通過Rate Controls��、TOR IP Blocklist以及Penalty Box功能檢測并阻止漏洞掃描所產(chǎn)生的流量��,同時通過“虛擬補(bǔ)丁”功能在第一時間消除0 Day漏洞可能導(dǎo)致的隱患���,為IT人員贏得寶貴的響應(yīng)時間���。
02 Client Reputation
通過“Web Scanner”和“Web Attacker”分類可發(fā)現(xiàn)大部分掃描此類漏洞的攻擊者。
03 Bot Management
借此識別傳入的流量是否來自自動化代理或匿名代理��。
除了上述措施,Akamai還強(qiáng)烈建議組織考慮實施零信任網(wǎng)絡(luò)訪問(Zero Trust Network Access���,ZTNA)機(jī)制��,借此更好地預(yù)防同類型的軟件漏洞����。在傳統(tǒng)的“先驗證后信任”模式中�����,如果某人具備正確的憑據(jù)����,就可以訪問有權(quán)訪問的所有站點、應(yīng)用或設(shè)備��。這導(dǎo)致暴露的風(fēng)險增加�,從而瓦解了曾經(jīng)值得信任的企業(yè)控制區(qū)域,并使許多公司面臨數(shù)據(jù)泄露���、惡意軟件和勒索軟件攻擊的風(fēng)險�。
而ZTNA采取了截然不同的方法����,這種方法從來不會信任某個用戶或某個設(shè)備��,只有在用戶/設(shè)備成功通過一系列(不僅僅依賴于用戶憑據(jù)的)身份驗證和授權(quán)過程后����,才能訪問所需應(yīng)用和數(shù)據(jù)���。這種模式取代了以邊界為中心的安全架構(gòu)�。它可確保根據(jù)身份��、設(shè)備和用戶環(huán)境動態(tài)實施安全和訪問決策�����,還可以保護(hù)這些應(yīng)用程序和用戶免遭互聯(lián)網(wǎng)上的高級威脅�。
立即登錄����,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于Akamai,本站不擁有所有權(quán)�����,不承擔(dān)相關(guān)法律責(zé)任。文章內(nèi)容系作者個人觀點�,不代表快出海對觀點贊同或支持。如有侵權(quán)��,請聯(lián)系管理員(zzx@kchuhai.com)刪除�����!
閩公網(wǎng)安備 35010202001226號
