在网络安全形势日益严峻的情况下,备受瞩目的一年一度的全球安全盛会黑帽大会(Black Hat)于2022年8月10日,在拉斯维加斯开幕。本次大会重点关注新型网络攻击的演进趋势和地缘政治所引发的安全威胁,以及这些因素对未来网络防御技术发展的影响和意义,主题涉及硬件/固件黑客攻击、零日恶意软件发现,以及重量级APT前沿研究等广泛领域。大会有超过225家供应商将展示其技术。事实上,在过去的四分之一个世纪里,Black Hat大会已经发展成为网络安全专业人员通过演示、技术培训和实验分享尖端研究和见解的首要舞台。
一
Black Hat 2022的聚焦点
黑帽大会以硬件和传统软件利用而为人熟知,不过今年展现了更多软件供应链安全问题,表明威胁局面正在发生改变。软件供应链安全以及由此引发的相关议题成为是Black Hat 2022关注的焦点。
(一)防御潜在供应链攻击成为关注热点
参加大会的多数供应商都推出了能够阻止潜在供应链攻击的解决方案,这也让防御潜在供应链攻击成为本次大会炒作热度最高的主题之一。软件供应链风险变得如此严重,以至于美国国家标准与技术研究院正在更新标准NIST SP 1800-34,重点关注供应链安全不可或缺的系统和组件。会上,安全公司Cycode宣布已为其供应链安全管理平台添加了应用程序安全测试(SAST)和容器扫描功能,并增加软件组合分析(SCA),静态应用程序安全测试 (SAST) 和容器扫描功能等新功能。Veracode公司以其在安全测试解决方案方面的专业知识而闻名,为其供应链安全平台引入了新的增强功能,包括软件物料清单(SBOM)API、对软件组合分析(SCA)的支持。
(二)业界首创由AI驱动的攻击指标成为亮点
CrowdStrike公司在Black Hat上发布了基于AI的攻击指标(IOA),这是业界首创的由AI驱动的防御工具。它结合了云原生机器学习(ML)和人类专业知识,这标志着网络安全业界正在利用AI和ML快速完善平台战略。AI驱动的攻击指标已被证明可以有效地根据实际的攻击行为来识别和阻止网络攻击,以实现自动检测和预防。使用AI和ML以机器速度分析IOA,提供企业阻止网络攻击所需的准确性、速度和规模。CrowdStrike公司展示了AI驱动的IOA用例,包括利用AI识别恶意行为和代码。AI生成的IOA使用基于云的ML和实时威胁情报来加强现有防御,在运行时分析事件并将IOA动态发布到传感器。然后,传感器将AI生成的IOA(行为事件数据)与本地事件和文件数据相关联,以评估恶意行为。
(三)API安全挑战受到更多关注
很多网络安全供应商看到了帮助企业解决API安全挑战的机会,此次大会推出新API安全解决方案的供应商包括Checkmarx、Traceable、Canon Security等。在这些新产品中,值得注意的是Checkmarx公司的API安全软件,该应用软件不仅可以监控已部署在生产环境中的API,还能在软件开发生命周期的早期阶段解决安全问题。产品主要功能包括:自动识别API端点的功能;开发人员嵌入或编译源代码时,能自动发现新创建或更新的API;自动比较应用程序的API及其文档,能快速识别来历不明的API;具有自动修复功能,能够让安全专业人员和开发人员可以优先修复API漏洞。此外,Traceable 公司宣布对其平台进行多项改进,包括识别和阻止恶意API机器人,识别和跟踪API滥用、欺诈和误用,以及预测整个软件供应链中的潜在API攻击。
二
最新网络安全威胁与漏洞
在本次大会上,来自世界各地的网络安全研究人员公开演示了包括Industroyer2对工业控制系统的攻击,Android漏洞利用链等最新网络威胁。
(一)自震网病毒以来对工业控制系统的最大威胁
ESET公司研究人员Robert Lipovsky和Anton Cherepanov的演讲涵盖Industroyer2的逆向工程大量技术细节,展示使用最具破坏性恶意软件的顶级威胁参与者的技术、战略和工具。Industroyer2是唯一触发停电的恶意软件Industroyer的新版本,被称为“自震网病毒以来对工业控制系统的最大威胁”,它既是模块化的,又能够直接控制配电变电站的开关和断路器。复杂且高度可定制的Industroyer2恶意软件利用称为IEC-104的工业通信协议来征用工业设备,据悉,该通信协议目前正广泛应用于变电站的保护继电器工业设备中。而且,与2016年发现的Industroyer部署一样,其最新网络攻击的目的也是造成200万人规模的大停电,并且进一步扩大了影响,使恢复变得更加困难。
(二)针对汽车无钥匙系统的新型重放攻击
本次大会上新加坡大学和NCS集团研究人员展示的RollBack是一种针对汽车无钥匙系统(RKE),与时间无关的新型重放攻击。不同于2015年黑客大会上展示的RollJam设备的是,即便一次性代码在滚动代码系统中变得无效,RollBack也能利用和重放先前捕获的信号,进而触发RKE系统中的类似回滚机制。换句话说,滚动代码可以重新同步回过去使用的旧代码来发挥作用。通过精心设计的信号干扰、捕捉与重放序列,攻击者能够预测出尚未被实际使用的后续有效解锁信号。
(三)新型HTTP请求夹带攻击
HTTP请求夹带(HTTP request smuggling,简称 HRS)攻击开始兴起,多个门户级网站被攻陷,不过目前发现的威胁还仅限于具有反向代理前端的系统。PortSwigger公司在该领域一直处于领先位置,PortSwigger公司研究人员展示如何将受害者的Web浏览器变成一个异步的交付平台,通过暴露单服务器网站和内部网络来转移请求走私的边界。在此过程中,展示如何把跨域请求与服务器漏洞相结合,以投毒浏览器连接池、安装后门和释放异步蠕虫。通过使用这些技术,研究人员已经成功破坏了包括Apache、Akamai、Varnish、Amazon和多个Web VPN在内的目标。
(四)Android利用链漏洞
谷歌和Android安全团队已经发现并分析了监控软件供应商的多个疯狂的1day/0day漏洞。谷歌安全团队的演讲公开了有关CVE-2021-0920的技术细节,这是一个0day Android Linux内核漏洞,尽管目前认知度较低,但与其他漏洞相比,它表现得更加复杂和神秘。该演讲还讨论开发CVE-2021-0920漏洞利用的供应商,并将多个Android 0day/1day漏洞利用样本连接到该供应商。通过分析该供应商的漏洞利用,研究人员发现了一个针对Android设备的完整链。该漏洞利用链使用1day/0day浏览器漏洞,并利用CVE-2020-16040、CVE-2021-38000和0day CVE-2021-0920 漏洞来远程控制 Android设备。
(五)现代安全芯片的漏洞
Titan M是谷歌在其Pixel 3设备中引入的芯片,在之前的研究中,谷歌Quarks lab研究人员Damiano Melotti和Maxime Rossi Bellom分析了这款芯片并展示了它的内部结构和保护措施。基于这个已知背景,在最新演讲中,他们关注如何在一个受限目标上进行软件漏洞研究。
三
顶级创新的网络安全“军火库”
在这次全球最高规格的网络安全盛会上,顶级的网络安全“军火库”内容自然备受关注,众多厂商纷纷抓住此次机会展示自身创新的网络安全产品与能力。这些产品会让企业组织在对抗网络攻击时防御能力大大提升。
·云威胁检测和响应防护产品
Sysdig公司本次大会展示的CDR(云威胁检测和响应)是一种加密货币劫持防护产品,旨在防范未经授权使用计算资源来挖掘加密货币的活动。Sysdig CDR基于机器学习算法来管理规则,以检测隐藏和忽视的威胁,并进一步深入了解云上容器的应用可靠性。据Sysdig公司介绍,其所使用的机器学习算法经过长期训练,可以准确识别加密货币挖掘模式,并避免加密货币挖掘被劫持所产生的额外费用。
·终端安全管理产品
Syxsense Zero Trust是Syxsense公司面向终端安全管理推出的一款新应用产品,旨在使企业终端工作能够符合零信任网络访问(ZTNA)策略。这款新应用方案对传统端点安全产品作了优化,增添了评估设备运行状况、确保细粒度的策略合规和自动化风险合规等功能。此外,它借助单个软件代理帮助用户深入了解终端安全性,并为每一项公司资产提供自定义策略配置参数。Syxsense Zero Trust将于2022年9月下旬正式发售。
·数据分析引擎
XDR Ingest是Sentinel One公司为Singularity XDR客户提供的免费工具,基于Sentinel One的DataSet数据分析引擎,旨在提供集成化的大数据分析能力,以分析各种类型的PB级日志数据。产品可以快速获取、保留、关联和搜索企业的所有安全数据(包括实时数据和历史数据),并对其采取最优化响应措施。据了解,XDR Ingest已经正式发售,可在一定程度上帮助用户替代、优化传统的SIEM产品。
·新型供应链安全管理平台
在本次大会展示的最新版本的Cycode供应链安全管理平台上,创新集成了软件组合分析(SCA)、静态应用程序安全测试(SAST)和容器扫描等功能。所有新组件都被添加到Cycode的知识库中,可基于知识图分析和关联软件系统开发生命周期里的诸多工具和阶段性数据,以便程序员和安全专业人员了解风险,并协调威胁响应工作。知识图的一项关键功能包括能够协调平台上的安全工具,以执行综合性分析任务,比如识别泄露的代码是否含有API密钥等隐私信息,从而降低风险。
·物联网威胁检测工具
NetRise是一款基于云的SaaS应用软件,可深入了解组织XIoT(扩展物联网)固件系统中的安全漏洞。产品旨在持续监控物联网固件,以识别漏洞、违规行为、软件材料清单(SBOM)、错误配置和整体风险,从而全面了解组织内使用的所有物联网产品。通过与供应链网络安全平台提供商Fortress Information Security(FIS)合作,NetRise 希望将其新的固件分析平台推送给FIS现有的数千家全球客户。
·安全漏洞评估软件
Mi-X是Rezilion公司开发的一款免费开源工具,旨在评估某个安全漏洞的可利用度和危险性。目前,它已经可以从Github代码存储库下载,可以帮助安全研究人员和软件开发人员了解他们的容器和主机是否受到了特定漏洞的影响,帮助企业完善其漏洞整体修复计划。Rezilion公司表示,Mi-X能够先识别和确定已知严重CVE的可利用性,并提供详细的视图,完整展现可利用性的标准和可利用的范围。
四
几点认识
(一)网络攻击爆炸式增长,安全态势更加严峻
从本届Black Hat大会展示各种新型网络攻击与最新漏洞来看,企业面临的网络攻击将继续增长,并延伸到软件供应链、开发运维(DevOps)层面,安全态势不容忽视。这也是美国网络安全和基础设施安全局前任主任克里斯·克雷布斯上周在Black Hat 2022会议上向观众发表的几条信息之一。他表示:网络安全状况在短期内会变得更加严峻。主要原因是:攻击者的低门槛和IT 系统日益复杂。疫情加速云的部署,进一步降低了可见性、增加了复杂性。很多云设施上的应用在开发设计方面的安全性不高(比如工资单和业务管理),导致攻击者的进入壁垒几乎消失,并且扩大的攻击面使攻击者更容易获得想要的东西。
(二)使用AI来识别潜在的恶意攻击成为未来趋势
恶意软件攻击威胁在整个网络安全领域中不断升级,攻击者能够绕过依赖隐式信任的技术堆栈并破坏基础设施和网络。使用人工智能(AI)来识别潜在的恶意软件攻击并使用先进的分类技术在攻击发生之前就阻止它们是一个非常具有吸引力的研究领域。本次大会展示中,CrowdStrike公司首创的由AI驱动的防御工具更是在该领域开辟先河。微软安全软件工程师Dmitrijs Trizna也在演讲中,介绍了基于Windows内核仿真增强机器学习的恶意软件分类技术,这是一种混合ML架构,该架构同时利用静态和动态恶意软件分析方法。
(三)人为因素是网络安全风险的重要影响因子
虽然源代码分析工具能够改进专有和开源代码的安全性评估,漏洞扫描可以识别出所开发代码中的缺陷和弱点,但最佳安全“修复方案”源自更好地编写的高质量代码。网络安全专业人员的技能差距会增加不必要的安全风险,甚至导致安全工作陷入困境。Shostack公司总裁 Adam Shostack 在他培训主题中阐述如何更好地为开发人员处理安全问题做准备。他提出一种结构化的学习方法,具备一定的同理心,增加了相应的工具以减少开发人员的压力。Copado公司副总裁Kyle Tobener 也在会中强调,将人为因素视为安全风险时,应具备同理心和同情心,毕竟只要有人参与其中,中招钓鱼网站这类危险行为无法避免。因此企业在落地过程中应提供更深思熟虑的指导方案,降低人为因素对网络安全风险带来的影响。
(四)漏洞挖掘或将成为网络安全防护的价值投资重点
本次会议中有很多的安全公司展示了自身的安全理念和创新的安全产品,其中多个涉及漏洞安全。安全企业正逐渐意识到漏洞挖掘对安全性的重要意义。会上,谷歌和Android安全团队分析了监控软件供应商的多个疯狂的零日漏洞。通过漏洞挖掘,研究人员发现了针对Android设备的完整漏洞链。百度安全研究员在会上探讨蓝牙Mesh中的安全攻击面,并设计了一套自动化漏洞挖掘工具BLE Mesh Fuzzer,展示了在漏洞挖掘实践中的优秀效果。微软、谷歌等科技巨头还设立了“漏洞悬赏”机制,采取提供奖金的方式鼓励黑客发现他们产品中存在的漏洞并报告给他们。随着科技行业对其重视程度以及对黑客发掘漏洞的回应方式的变化,漏洞挖掘或许将成为网络安全防护的价值投资重点。
来自:
