網(wǎng)絡(luò )安全攻防演練中不能忽視的API風(fēng)險

網(wǎng)絡(luò )安全實(shí)戰化攻防演練是檢驗企業(yè)網(wǎng)絡(luò )安全建設效果的有效方式，攻防雙方在真實(shí)的網(wǎng)絡(luò )環(huán)境中開(kāi)展對抗，更貼近實(shí)際情況，有利于發(fā)現企業(yè)真實(shí)存在的安全問(wèn)題。從以往攻防演練活動(dòng)的實(shí)際案例來(lái)看，各組織單位在攻擊面梳理過(guò)程中容易忽略的幾個(gè)關(guān)鍵點(diǎn)：

1.影子API。在資產(chǎn)梳理過(guò)程中，難免有些資產(chǎn)在安全視線(xiàn)之外，如有些API沒(méi)有經(jīng)過(guò)WAF或API網(wǎng)關(guān)，這些API可能是歷史遺留下來(lái)的僵尸API，由于缺乏安全防護容易被攻擊。

2.邏輯漏洞。傳統安全檢測產(chǎn)品很難發(fā)現未授權訪(fǎng)問(wèn)、越權訪(fǎng)問(wèn)、允許弱密碼、錯誤提示不合理、未禁用目錄瀏覽等邏輯漏洞（安全缺陷）。

3.涉敏流量?，F有WAF、API網(wǎng)關(guān)等產(chǎn)品更多是對入站流量的檢測，缺乏對出站流量的檢測，出站流量中如果暴露了明文的敏感數據，可能會(huì )被攻擊者加以利用。

4.高危組件。承載API的后端組件可能存在安全隱患），同時(shí)這些組件因為API對外提供業(yè)務(wù)而暴露在互聯(lián)網(wǎng)中，往往會(huì )成為攻擊者的攻擊目標。

盡管很多企業(yè)通過(guò)持續的攻防演練有效提升了安全防護能力，但隨著(zhù)組織數字化進(jìn)程的加快以及業(yè)務(wù)的迅速發(fā)展，總有一些跟不上變化的風(fēng)險點(diǎn)出現。在了解了攻防演練中那些容易被忽略的API安全風(fēng)險點(diǎn)和攻擊方常見(jiàn)的攻擊套路后，各組織單位想要在攻防演練中更好應對，還需要從自身業(yè)務(wù)安全出發(fā)，制定相應的API安全管理策略，包括：資產(chǎn)動(dòng)態(tài)梳理、缺陷持續評估、攻擊精準感知。

02

企業(yè)部署到云的API驅動(dòng)應用程序應注意這些安全事項

在過(guò)去幾年中，API 驅動(dòng)的應用程序在企業(yè)級云平臺上部署以擴展規模興起。它們能夠根據用戶(hù)需求進(jìn)行擴展，徹底改變了應用程序的編寫(xiě)和部署方式。以下是企業(yè)在評估 API 安全解決方案時(shí)應考慮的一些關(guān)鍵標準。

1. API 可見(jiàn)性和監控：你無(wú)法保護看不到的東西。為了防范安全風(fēng)險，企業(yè)了解其 API 程序的所有方面及其相關(guān)的安全挑戰至關(guān)重要。這可以更好地幫助領(lǐng)導者通過(guò)適當的緩解策略改善其組織的安全狀況。

2. API 安全性：不同類(lèi)型的應用程序安全性。隨著(zhù)企業(yè)繼續擴大其 API 驅動(dòng)的應用程序，他們發(fā)現傳統的 WAF 無(wú)法很好地適應單體應用程序的需求，無(wú)法滿(mǎn)足現代 API 驅動(dòng)的應用程序的需求。

3. 威脅分析：在網(wǎng)絡(luò )攻擊發(fā)生時(shí)檢測它們。收集應用程序內所有點(diǎn)的數據交互可確保其全面了解所有用戶(hù)與應用程序的交互。數據集越豐富，就越容易將惡意與合法用戶(hù)交易區分開(kāi)來(lái)，并使企業(yè)的安全團隊能夠盡快發(fā)現數據泄露。

快速變化的 API 驅動(dòng)應用程序有助于加快產(chǎn)品上市速度，但也釋放了可被網(wǎng)絡(luò )犯罪分子快速利用的 API 漏洞。由于跨更復雜和分布式應用架構的快速變化，API 安全的要求與市場(chǎng)上現有的應用安全產(chǎn)品有著(zhù)根本的不同。在評估 API 安全解決方案時(shí)，一定要關(guān)注解決方案如何提供可見(jiàn)性、它對應用程序的理解程度以及威脅分析的質(zhì)量和深度。

03

構建數據成熟度模型和數據成熟度的四個(gè)階段

數據成熟度是對組織利用其數據的程度的衡量。為了實(shí)現高水平的數據成熟度，數據必須在組織中充分融入所有決策和實(shí)踐。數據成熟度通常分階段進(jìn)行衡量。數據成熟度是衡量組織數據分析先進(jìn)程度的指標。為了創(chuàng )建數據成熟度模型，國外某公司研究以業(yè)務(wù)的六個(gè)方面：戰略、數據、文化、架構、數據治理和采購/入職作為入手，呈現出他們理解的數據成熟度的四個(gè)獨特階段。

階段1.探索者。剛剛開(kāi)始使用數據的組織雖然可能將數據用于報告目的，但是臨時(shí)性的。

階段 2. 用戶(hù)。通過(guò)添加臨時(shí)數據集來(lái)幫助擴大內部數據源，使其成為在整個(gè)組織內部使用數據的標準。他們對數據的反應性使用有助于做出有洞察力的業(yè)務(wù)決策。

階段 3. 領(lǐng)導者。為了完成組織使命和業(yè)務(wù)成功，領(lǐng)導者除了使用自己的數據外，還使用第三方數據集。

階段 4. 創(chuàng )新者。數據不僅僅用于分析和觀(guān)察。事實(shí)上，作為創(chuàng )新者的組織正在使用數據來(lái)創(chuàng )建算法并預測他們如何保持領(lǐng)先地位。

數據是世界上增長(cháng)最快的資源之一，估計每天創(chuàng )建 2.5 萬(wàn)億字節。數據是當今任何組織都可以使用的最有價(jià)值的資產(chǎn)之一。如果組織還不能充分利用數據，意味著(zhù)正好可以開(kāi)始自己的數據成熟度之旅。隨著(zhù)可用數據量的不斷增長(cháng)并變得更易于訪(fǎng)問(wèn)，組織使用數據的方式——以及數據成熟——將繼續發(fā)展。

04

零信任對MSP意味著(zhù)什么？

零信任已經(jīng)對客戶(hù)購買(mǎi)的產(chǎn)品和服務(wù)類(lèi)型產(chǎn)生了重大影響。然而，實(shí)施階段將需要數年時(shí)間，這意味著(zhù)長(cháng)期的銷(xiāo)售潛力以及隨著(zhù)時(shí)間的推移與客戶(hù)建立更牢固關(guān)系的可能性。尤其是所有托管服務(wù)提供商 (MSP)，他們的工作是將客戶(hù)利益與他們自己的利益相匹配。那么，MSP 應該如何傳達零信任的價(jià)值呢？

1) 了解客戶(hù)驅動(dòng)力。隨著(zhù)最近遠程辦公的興起而變得更加強烈，這使人們認識到周邊安全的局限性。組織被迫依賴(lài)端點(diǎn)安全和 VPN，并在可能的情況下改進(jìn)身份驗證。

2) 零信任是為了降低風(fēng)險。它提供了改進(jìn)網(wǎng)絡(luò )資源、用戶(hù)和數據管理的可能性，同時(shí)還能降低成本，使技術(shù)采用更加容易。

3) 零信任帶來(lái)競爭優(yōu)勢。越來(lái)越多的組織認識到，通過(guò)與服務(wù)提供商合作形成的一致的網(wǎng)絡(luò )安全戰略，使他們比落后的競爭對手更具競爭性市場(chǎng)優(yōu)勢。這遠遠超出了公認的合規和監管理念，后者的運作時(shí)間更長(cháng)。在某些情況下，網(wǎng)絡(luò )安全現在甚至可能是生死攸關(guān)的問(wèn)題。

即使按照網(wǎng)絡(luò )安全行業(yè)大肆宣傳的標準，零信任 (ZT) 的興起和崛起也是一個(gè)不容忽視的現象。網(wǎng)絡(luò )安全領(lǐng)域的任何人都不能忽視這一層面的利益，尤其是所有托管服務(wù)提供商 (MSP)，他們的工作是將客戶(hù)利益與他們自己的利益相匹配。越來(lái)越多的 MSP 必須解決他們的服務(wù)如何與零信任網(wǎng)絡(luò )安全相吻合的問(wèn)題。MSP 受益于零信任，因為這意味著(zhù)與客戶(hù)的長(cháng)期關(guān)系超越了傳統的銷(xiāo)售周期，在出現問(wèn)題后，MSP才會(huì )聯(lián)系客戶(hù)。?

05

從合規視角看工控安全防護體系建設

基于工控安全的監管合規要求，工業(yè)企業(yè)應根據自身生產(chǎn)設備及系統的實(shí)際情況，構建一套從工業(yè)設備管理、到網(wǎng)絡(luò )安全防護再到綜合安全管理的三層防護體系：

1、 在工業(yè)設備管理層面，需要對對工業(yè)體系內部的物理設備進(jìn)行管理，保證其運行的安全問(wèn)題。針對工業(yè)系統及工業(yè)設備，企業(yè)需通過(guò)驗證供應商資質(zhì)、加密合同等方式，構建安全的采購供應鏈路。

2、 網(wǎng)絡(luò )安全防護層則是通過(guò)部署安全產(chǎn)品，依照“一個(gè)中心三重防護”的安全要求進(jìn)行。安全防護是進(jìn)行工控安全體系建設的核心。安全防護能力建設可以分為針對計算環(huán)境的安全建設、對邊界的安全建設以及對網(wǎng)絡(luò )通訊的安全建設。

3、 安全管理是指建立相應的組織架構、管理體系，從制度維度做好工控安全防護。工業(yè)企業(yè)需構建專(zhuān)門(mén)的工控安全組織管理部門(mén)，明確組織架構，負責對企業(yè)內部網(wǎng)絡(luò )安全的規劃、建設、實(shí)施。建立相應的安全制度，以做到工業(yè)企業(yè)內部的人員管理、配置管理及補丁管理，做到記錄和審計。

工業(yè)環(huán)境的特殊性造成了工業(yè)企業(yè)的安全建設不能照搬互聯(lián)網(wǎng)防護。當前，我國工控安全還處于起步階段，工業(yè)領(lǐng)域整體防護水平有待提高，專(zhuān)業(yè)的工業(yè)安全人才缺乏。近年來(lái)，國家頒布的一系列網(wǎng)絡(luò )安全法律法規一方面對工業(yè)安全提出了要求，另一方面也對工業(yè)安全的建設提供了指導。工業(yè)企業(yè)應根據自身的情況，由簡(jiǎn)入繁，以網(wǎng)絡(luò )安全提升生產(chǎn)安全，完成兩化融合的信息化改造，切實(shí)提升企業(yè)的生產(chǎn)能力。?

06

面對防不勝防的釣魚(yú)郵件攻擊，企業(yè)該如何防患于未然？

釣魚(yú)郵件通過(guò)模擬真實(shí)郵件來(lái)進(jìn)行網(wǎng)絡(luò )攻擊，模擬釣魚(yú)演練則是通過(guò)模擬釣魚(yú)郵件讓人員實(shí)景學(xué)習釣魚(yú)郵件的防范要點(diǎn)。具體包括：

1、如果郵件發(fā)件人賬戶(hù)名稱(chēng)是某機構，但地址欄中顯示的卻是個(gè)人賬號，同時(shí)檢查“收件人”及“抄送人”的地址欄?？雌浒l(fā)送的對象中是否有你不認識或者不和你在一起工作的人。

2、對使用“親愛(ài)的用戶(hù)”或者一些泛化問(wèn)候的郵件保持警惕。如果某個(gè)可信機構有必要聯(lián)系你，他們應該會(huì )知道你的名字和信息。同樣也要問(wèn)問(wèn)自己，該公司為什么會(huì )發(fā)郵件給你。

3、對任何制造緊急氛圍的郵件都要提高警惕，如要求“請在今日下班前務(wù)必完成升級操作”這是讓人在慌忙之中犯錯的慣用手段。

4、將鼠標放在鏈接處，會(huì )顯示真實(shí)網(wǎng)址。如果顯示的真實(shí)網(wǎng)址與郵件中所列出的鏈接網(wǎng)址不同，這就很可能是一次釣魚(yú)攻擊。

5、對附件保持警惕，如內容包含文檔、圖片、壓縮包、腳本程序（exe、vbs、bat）等，在確認郵件可信之前一定不要點(diǎn)擊附件。

Verizon 2021年數據泄露調查報告發(fā)現，在所有數據泄露事件中有25%涉及網(wǎng)絡(luò )釣魚(yú)。Proofpoint 2022年網(wǎng)絡(luò )釣魚(yú)威脅狀態(tài)報告顯示，2021年有83%的企業(yè)成為網(wǎng)絡(luò )釣魚(yú)攻擊的受害者。釣魚(yú)郵件攻擊如此普遍，關(guān)鍵在于釣魚(yú)郵件攻擊的高成功率，這種網(wǎng)絡(luò )攻擊很容易被攻擊機器人反復復制和自動(dòng)化。雖然許多人相信自己在收到一封網(wǎng)絡(luò )釣魚(yú)電子郵件時(shí)會(huì )識別出來(lái)，但事實(shí)是他們通常做不到。

07

攻擊面管理——網(wǎng)絡(luò )安全運營(yíng)技術(shù)革新

賽迪顧問(wèn)發(fā)布的《中國攻擊面管理市場(chǎng)白皮書(shū)》中指出，攻擊面管理（ASM）是一種從攻擊者視角對企業(yè)數字資產(chǎn)攻擊面進(jìn)行檢測發(fā)現、分析研判、情報預警、響應處置和持續監控的資產(chǎn)安全性管理方法，其最大特性就是以外部攻擊者視角來(lái)審視企業(yè)所有資產(chǎn)可被利用的攻擊可能性，而這里的所有資產(chǎn)包含已知資產(chǎn)、未知資產(chǎn)、數字品牌、泄露數據等等一系列可存在被利用的風(fēng)險的資產(chǎn)內容。企業(yè)實(shí)施攻擊面管理時(shí)需要考慮一些最佳實(shí)踐，以最大限度地減少漏洞，并降低安全風(fēng)險。

· 繪制攻擊面。部署適當的防御必須了解暴露了哪些數字資產(chǎn)、攻擊者最有可能入侵網(wǎng)絡(luò )的位置以及需要部署哪些保護措施。因此，提高攻擊面的可見(jiàn)性并構建對攻擊漏洞的有力呈現至關(guān)重要。?

· 最小化漏洞。一旦企業(yè)繪制完成他們的攻擊面，就可以立即采取行動(dòng)減輕最重要的漏洞和潛在攻擊媒介帶來(lái)的風(fēng)險，然后再繼續執行較低優(yōu)先級的任務(wù)。在可能的情況下使資產(chǎn)離線(xiàn)并加強內部和外部網(wǎng)絡(luò )是值得關(guān)注的兩個(gè)關(guān)鍵領(lǐng)域。

企業(yè)實(shí)施攻擊面管理時(shí)還需要考慮：建立強大的安全實(shí)踐和政策。嚴格遵循一些久經(jīng)考驗的最佳安全實(shí)踐將大大減少企業(yè)的攻擊面。這包括實(shí)施入侵檢測解決方案、定期進(jìn)行風(fēng)險評估以及制定明確有效的政策。隨著(zhù)IT基礎設施的變化以及攻擊者的不斷發(fā)展，強大的網(wǎng)絡(luò )安全計劃同樣需要進(jìn)行不斷地調整。這就需要持續監控和定期測試，后者通?？梢酝ㄟ^(guò)第三方滲透測試服務(wù)實(shí)現。?