IoT-Botnets-Fuels-DDoS-Attacks-Are-You-Prepared.png

虽然数据泄露和勒索软件仍然被认为是企业需要面对的更为重要的问题之一,但威胁有时来自我们意想不到的方向。比如网络犯罪分子将僵尸网络用于各种恶意目的,其中最重要的是用于对目标的DDoS攻击。最重要的变化是,现在机器人军队越来越多地由物联网设备组成。

到2025年,全球物联网设备的总安装基础预计将达到309亿台,这导致物联网僵尸网络的威胁及其整体影响将会继续扩大。

攻击者抓住机会创建了大型僵尸网络,通过大型复杂的DDoS攻击来禁用或击倒目标网站。虽然物联网僵尸网络可以窃取机密数据,如Torri僵尸网络的例子所示,但大多数僵尸网络都用于DDoS攻击。对于在线企业来说,这是一个危险的警告,他们需要确保他们拥有有效的反DDoS保护措施。

物联网DDoS攻击的高级解释分析

那么,什么是僵尸网络?–僵尸网络是一群受感染的计算机,由攻击者控制,用于执行各种诈骗和网络攻击。在这里,攻击者使用恶意软件控制易受攻击的物联网设备,并通过执行DDoS攻击来阻止合法用户访问互联网服务。

DDoS攻击的简单原理是:它通过消耗更多资源或占用所有可用带宽来关闭网站。拥有更多被劫持物联网设备的攻击者可以消耗更多资源并发起更具破坏性的攻击。攻击者的三个主要目标包括:

· 导致有限的资源消耗

· 导致网络设备的破坏性更改

· 更改或销毁配置信息

为什么物联网设备很容易捕食僵尸网络恶意软件?

物联网设备的日益扩散已成为攻击者有吸引力的目标。此外,大多数物联网设备包括严重的安全问题,如弱密码、对管理系统的开放访问、默认管理凭据或弱安全配置。随着数百万物联网设备及其数量的持续增加,它们不会不断更新以应对安全漏洞。

僵尸网络攻击抓住物联网漏洞的机会来控制设备,并导致在线服务的中断。它们最常放置在不受攻击监控的网络上,这使得攻击者可以轻松访问它们。此外,在大多数情况下,他们居住的网络提供高速连接,可以实现大量的DDoS攻击流量。

物联网机器人DDoS的主流攻击趋势

物联网僵尸网络DDoS攻击并不新鲜;Mirai是最普遍的,自2016年以来一直以物联网设备为目标。Mirai于2016年9月20日首次亮相,其攻击了网络安全专家Krebs的博客。而下一次著名的物联网僵尸网络DDoS攻击是在2016年10月针对主要DNS(域名服务)Dyn的攻击。Mirai僵尸网络以每秒1TB的流量攻击受害者,这在DDoS攻击中创下了新纪录。

根据ENISA威胁景观报告,2019年,Mirai变体增加了57%。Verizon数据泄露调查报告记录了103699起僵尸网络事件,主要针对专业、金融和信息服务行业垂直领域。

Mirai的新变种Mozi是2019年底至2020年观察到的占据流量最多的。Mirai及其变体在2021年继续构成威胁;他们以其重要的新功能扩大了攻击范围。

攻击者使用基于Mirai和Mozi僵尸网络的多个僵尸网络,如Echobot、BotenaGo、Moonet和Loli来瞄准设备。根据Sam关于物联网安全形势的报告,2021年发生了超过10亿次物联网安全攻击,其中近6200万次是与物联网相关的DDoS攻击。

您今天该采取何种措施防止物联网僵尸网络DDoS攻击?

随着僵尸网络环境的扩大和高度复杂的威胁变得不可避免,企业必须超越以往的安全解决方案。

应对这些持续安全挑战的第一步是转向基于风险的全面安全解决方案。此外,先进的自动端点检测和保护解决方案必须提供物联网设备及其安全状态的完整可见性。

一如既往,应采取预防措施,以免受此类攻击:

· 使用Web应用程序防火墙监控网络上的传入和传出流量的恶意活动。像Indusface AppTrana这样的下一代WAF可以阻止特定IP的坏机器人,同时确保合法机器人流量的平稳传输。

· 监控登录尝试并创建峰值监视器

· 将物联网设备保存在受保护的网络上

· 在物联网设备上进行持续的安全测试

结语

DDoS攻击是物联网僵尸网络的标准意图。DDoS可能是新现实中不可避免的一部分,但你不需要把它作为新常态。构建强大的安全解决方案,以正确保护您的业务。

IoT-Botnets-Fuels-DDoS-Attacks-Are-You-Prepared.png

虽然数据泄露和勒索软件仍然被认为是企业需要面对的更为重要的问题之一,但威胁有时来自我们意想不到的方向。比如网络犯罪分子将僵尸网络用于各种恶意目的,其中最重要的是用于对目标的DDoS攻击。最重要的变化是,现在机器人军队越来越多地由物联网设备组成。

到2025年,全球物联网设备的总安装基础预计将达到309亿台,这导致物联网僵尸网络的威胁及其整体影响将会继续扩大。

攻击者抓住机会创建了大型僵尸网络,通过大型复杂的DDoS攻击来禁用或击倒目标网站。虽然物联网僵尸网络可以窃取机密数据,如Torri僵尸网络的例子所示,但大多数僵尸网络都用于DDoS攻击。对于在线企业来说,这是一个危险的警告,他们需要确保他们拥有有效的反DDoS保护措施。

物联网DDoS攻击的高级解释分析

那么,什么是僵尸网络?–僵尸网络是一群受感染的计算机,由攻击者控制,用于执行各种诈骗和网络攻击。在这里,攻击者使用恶意软件控制易受攻击的物联网设备,并通过执行DDoS攻击来阻止合法用户访问互联网服务。

DDoS攻击的简单原理是:它通过消耗更多资源或占用所有可用带宽来关闭网站。拥有更多被劫持物联网设备的攻击者可以消耗更多资源并发起更具破坏性的攻击。攻击者的三个主要目标包括:

· 导致有限的资源消耗

· 导致网络设备的破坏性更改

· 更改或销毁配置信息

为什么物联网设备很容易捕食僵尸网络恶意软件?

物联网设备的日益扩散已成为攻击者有吸引力的目标。此外,大多数物联网设备包括严重的安全问题,如弱密码、对管理系统的开放访问、默认管理凭据或弱安全配置。随着数百万物联网设备及其数量的持续增加,它们不会不断更新以应对安全漏洞。

僵尸网络攻击抓住物联网漏洞的机会来控制设备,并导致在线服务的中断。它们最常放置在不受攻击监控的网络上,这使得攻击者可以轻松访问它们。此外,在大多数情况下,他们居住的网络提供高速连接,可以实现大量的DDoS攻击流量。

物联网机器人DDoS的主流攻击趋势

物联网僵尸网络DDoS攻击并不新鲜;Mirai是最普遍的,自2016年以来一直以物联网设备为目标。Mirai于2016年9月20日首次亮相,其攻击了网络安全专家Krebs的博客。而下一次著名的物联网僵尸网络DDoS攻击是在2016年10月针对主要DNS(域名服务)Dyn的攻击。Mirai僵尸网络以每秒1TB的流量攻击受害者,这在DDoS攻击中创下了新纪录。

根据ENISA威胁景观报告,2019年,Mirai变体增加了57%。Verizon数据泄露调查报告记录了103699起僵尸网络事件,主要针对专业、金融和信息服务行业垂直领域。

Mirai的新变种Mozi是2019年底至2020年观察到的占据流量最多的。Mirai及其变体在2021年继续构成威胁;他们以其重要的新功能扩大了攻击范围。

攻击者使用基于Mirai和Mozi僵尸网络的多个僵尸网络,如Echobot、BotenaGo、Moonet和Loli来瞄准设备。根据Sam关于物联网安全形势的报告,2021年发生了超过10亿次物联网安全攻击,其中近6200万次是与物联网相关的DDoS攻击。

您今天该采取何种措施防止物联网僵尸网络DDoS攻击?

随着僵尸网络环境的扩大和高度复杂的威胁变得不可避免,企业必须超越以往的安全解决方案。

应对这些持续安全挑战的第一步是转向基于风险的全面安全解决方案。此外,先进的自动端点检测和保护解决方案必须提供物联网设备及其安全状态的完整可见性。

一如既往,应采取预防措施,以免受此类攻击:

· 使用Web应用程序防火墙监控网络上的传入和传出流量的恶意活动。像Indusface AppTrana这样的下一代WAF可以阻止特定IP的坏机器人,同时确保合法机器人流量的平稳传输。

· 监控登录尝试并创建峰值监视器

· 将物联网设备保存在受保护的网络上

· 在物联网设备上进行持续的安全测试

结语

DDoS攻击是物联网僵尸网络的标准意图。DDoS可能是新现实中不可避免的一部分,但你不需要把它作为新常态。构建强大的安全解决方案,以正确保护您的业务。

2FA_two-factor-authentication.jpeg

在最近观察到的旨在接管Coinbase帐户的网络钓鱼活动中,威胁行为者正在绕过双因素身份验证(2FA)并使用其他巧妙的规避策略,以骗取用户的加密货币余额。

PIXM Software的研究人员发现,攻击者正在使用当下流行的加密货币交易所的电子邮件来诱骗用户登录他们的账户,以便他们获取受害者的登录凭据,从而访问账户并窃取受害者的资金。

PIXM威胁研究团队在周四发布的一篇博文中解释说:“他们通常会通过成百上千笔交易,通过‘Burner’账户网络自动分配这些资金,以混淆原始钱包和目标钱包。”

Coinbase是一个公开交易的加密货币交易平台,自2012年以来一直存在。它可以说是最主流的加密货币交易所之一,拥有超过8900万用户,因此对网络犯罪分子来说是一个非常有吸引力的目标。

巧妙的逃避战术

研究人员写道,攻击者采用了一系列策略来避免被发现,包括一个被研究人员称为“临时域”(short lived domains)的策略,即攻击中使用的域“在极短的时间内保持活跃”,这与典型的网络钓鱼行为有所不同。

“我们猜测,大部分页面在互联网上的可用时间不到两个小时,”因此在某些情况下,即便PIXM研究人员收到攻击警报,他们也无法执行所需的取证行为。

研究人员指出,在环境感知和双因素中继等其他技术中,这会允许攻击者“阻止窥探者深入他们的网络钓鱼基础设施”。

根据PIXM的说法,环境感知是一种尤其隐秘的策略,因为与临时域一样,安全研究人员很难通过混淆网络钓鱼页面进行事后跟进。

这种策略允许攻击者知道IP、CIDR范围或区域,从而可以预测他们的一个或多个目标将要连接的地方。研究人员说,然后他们可以在网络钓鱼页面上创建类似访问控制列表(ACL)的内容,以限制仅允许来自其预期目标的IP、范围或区域的连接。

研究人员写道:“即使在网站上线的几个小时内检测到或报告了其中一个页面,研究人员也需要谎报页面上的限制才能访问该网站。”

用于帐户接管的网络钓鱼

攻击开始时,参与者以Coinbase用户为目标,通过恶意电子邮件谎称要进行货币兑换,使潜在受害者认为这是合法消息。

研究人员表示,这封电子邮件使用多种理由敦促用户登录他们的账户,声称该账户因可疑活动而被锁定,或者存在交易需要确认。

与网络钓鱼活动一样,如果用户遵循消息指令,他们会到达一个虚假的登录页面并被提示输入他们的凭据。如果发生这种情况,攻击者会实时接收凭据,并使用它们登录合法的Coinbase网站。

研究人员说,这发生在威胁参与者在攻击结构中使用双因素中继来绕过Coinbase平台中内置的MFA的时候。

攻击者的行为促使Coinbase向受害者发送2FA代码,受害者认为该通知是通过在虚假登录页面中输入凭据来提示的。一旦用户将2FA代码输入到虚假网站,攻击者立即接收并登录合法账户,从而获得账户控制权。

将资金转移给威胁行为者

一旦威胁者可以访问该帐户,他或她就会通过大量交易将用户的资金转移到上述帐户网络,以逃避检测或避免引起怀疑。

“这些资金也经常通过不受监管的非法在线加密服务被挪用,如加密货币赌场、投注应用程序和非法在线市场,”研究人员补充说。

此时不知情的受害者会看到一条消息,通知他们,他们的帐户已被锁定或限制——这与引发整个恶意交易的初始网络钓鱼电子邮件不同。系统会提示他们与客服聊天以解决问题,并且页面右上角会出现一个聊天框供他们执行此操作。

该提示实际上是攻击的第二阶段,其中威胁行为者冒充Coinbase员工帮助该用户恢复他或她的帐户,要求提供各种个人和帐户信息。然而,研究人员说,实际上,攻击者正在争取时间,以便他们能够在受害者怀疑之前完成资金转移。

“他们正在使用这个聊天会话来让受害人在转移资金时被占用和分心(受害者在被转移资金时可能会收到Coinbase的潜在电子邮件或短信),”他们写道。

他们说,一旦资金转移完成,攻击者将突然关闭聊天会话并关闭网络钓鱼页面,这让Coinbase用户感到困惑并很快意识到自己被欺骗了。

2FA_two-factor-authentication.jpeg

在最近观察到的旨在接管Coinbase帐户的网络钓鱼活动中,威胁行为者正在绕过双因素身份验证(2FA)并使用其他巧妙的规避策略,以骗取用户的加密货币余额。

PIXM Software的研究人员发现,攻击者正在使用当下流行的加密货币交易所的电子邮件来诱骗用户登录他们的账户,以便他们获取受害者的登录凭据,从而访问账户并窃取受害者的资金。

PIXM威胁研究团队在周四发布的一篇博文中解释说:“他们通常会通过成百上千笔交易,通过‘Burner’账户网络自动分配这些资金,以混淆原始钱包和目标钱包。”

Coinbase是一个公开交易的加密货币交易平台,自2012年以来一直存在。它可以说是最主流的加密货币交易所之一,拥有超过8900万用户,因此对网络犯罪分子来说是一个非常有吸引力的目标。

巧妙的逃避战术

研究人员写道,攻击者采用了一系列策略来避免被发现,包括一个被研究人员称为“临时域”(short lived domains)的策略,即攻击中使用的域“在极短的时间内保持活跃”,这与典型的网络钓鱼行为有所不同。

“我们猜测,大部分页面在互联网上的可用时间不到两个小时,”因此在某些情况下,即便PIXM研究人员收到攻击警报,他们也无法执行所需的取证行为。

研究人员指出,在环境感知和双因素中继等其他技术中,这会允许攻击者“阻止窥探者深入他们的网络钓鱼基础设施”。

根据PIXM的说法,环境感知是一种尤其隐秘的策略,因为与临时域一样,安全研究人员很难通过混淆网络钓鱼页面进行事后跟进。

这种策略允许攻击者知道IP、CIDR范围或区域,从而可以预测他们的一个或多个目标将要连接的地方。研究人员说,然后他们可以在网络钓鱼页面上创建类似访问控制列表(ACL)的内容,以限制仅允许来自其预期目标的IP、范围或区域的连接。

研究人员写道:“即使在网站上线的几个小时内检测到或报告了其中一个页面,研究人员也需要谎报页面上的限制才能访问该网站。”

用于帐户接管的网络钓鱼

攻击开始时,参与者以Coinbase用户为目标,通过恶意电子邮件谎称要进行货币兑换,使潜在受害者认为这是合法消息。

研究人员表示,这封电子邮件使用多种理由敦促用户登录他们的账户,声称该账户因可疑活动而被锁定,或者存在交易需要确认。

与网络钓鱼活动一样,如果用户遵循消息指令,他们会到达一个虚假的登录页面并被提示输入他们的凭据。如果发生这种情况,攻击者会实时接收凭据,并使用它们登录合法的Coinbase网站。

研究人员说,这发生在威胁参与者在攻击结构中使用双因素中继来绕过Coinbase平台中内置的MFA的时候。

攻击者的行为促使Coinbase向受害者发送2FA代码,受害者认为该通知是通过在虚假登录页面中输入凭据来提示的。一旦用户将2FA代码输入到虚假网站,攻击者立即接收并登录合法账户,从而获得账户控制权。

将资金转移给威胁行为者

一旦威胁者可以访问该帐户,他或她就会通过大量交易将用户的资金转移到上述帐户网络,以逃避检测或避免引起怀疑。

“这些资金也经常通过不受监管的非法在线加密服务被挪用,如加密货币赌场、投注应用程序和非法在线市场,”研究人员补充说。

此时不知情的受害者会看到一条消息,通知他们,他们的帐户已被锁定或限制——这与引发整个恶意交易的初始网络钓鱼电子邮件不同。系统会提示他们与客服聊天以解决问题,并且页面右上角会出现一个聊天框供他们执行此操作。

该提示实际上是攻击的第二阶段,其中威胁行为者冒充Coinbase员工帮助该用户恢复他或她的帐户,要求提供各种个人和帐户信息。然而,研究人员说,实际上,攻击者正在争取时间,以便他们能够在受害者怀疑之前完成资金转移。

“他们正在使用这个聊天会话来让受害人在转移资金时被占用和分心(受害者在被转移资金时可能会收到Coinbase的潜在电子邮件或短信),”他们写道。

他们说,一旦资金转移完成,攻击者将突然关闭聊天会话并关闭网络钓鱼页面,这让Coinbase用户感到困惑并很快意识到自己被欺骗了。

94D69F4B1A3647507AB3E3EB2AE1A616FE7B6E6D_size79_w1080_h608.jpg

Neal Stephenson在1992年的赛博朋克小说《Snow Crash》中首次使用了“元宇宙”一词。它描述了一个可以使用头像探索的虚拟世界,为玩家提供完全身临其境的体验。今天,我们在大型多人在线角色扮演游戏(MMORPG)中看到了类似的世界,如Roblox、Minecraft、Fortnite、Second Life等,但这些游戏仍然与《雪崩》中描述的沉浸式体验相去甚远。

现代元宇宙概念由多个独立并互联的虚拟空间组成。因此,一家公司不可能独自完成构建整个元宇宙的工程。一个乐观的估计是,成熟的元宇宙距离完全部署还有五到十年的时间。然而,在未来三到五年内,我们预计将会在市场内将看到更多类似元宇宙的应用程序。一些游戏,如Decentraland和Crypto Voxels,以及《Minecraft》和《Second Life》等游戏,已经存在。

目前类似元宇宙的应用程序主要为游戏玩家设计,而不是为普通民众设计。但是在未来,我们预计远程工作、娱乐、教育和购物等日常任务将在下一代元宇宙应用程序中完成。其中许多应用程序将自然共享网络空间,当基础技术(硬件、软件、网络基础设施和无处不在)成熟时,这最终将转变为一个元宇宙。在这个共享空间中,用户将能够毫不费力地在应用程序之间切换,并使用各种硬件访问元宇宙。

但元宇宙也会吸引自己的犯罪味道。我们将在下面的博客和随附的研究论文中探讨这一点。

但首先,我们需要知道元宇宙是什么?

关于它是什么,以及它如何融入互联网的大局,不同的研究团队有很多不同意见。为了帮助我们的研究,我们为元宇宙创建了一个工作定义:

云宇宙是一个云分布式、多供应商、身临其境的交互式操作环境,允许用户使用不同类别的连接设备(静态和移动设备)访问它。它使用Web 2.0和Web 3.0技术在现有互联网上提供交互式层体验。如前所述,它是一个开放的平台,用于在虚拟、增强、混合或扩展环境中工作和玩耍。这可以与现有的MMORPG平台相媲美,但尽管每个MMPORG代表一个专有的单一虚拟世界,但元宇宙将允许玩家在虚拟空间及其虚拟资产之间无缝移动。元宇宙不仅仅是人类用户的平台;它还将是智能城市设备的通信层,人类和人工智能可以与之共享信息。

本质上,这将是体验互联网(IoX)。然而,我们完全希望我们的定义会随着元宇宙概念的演变而演变。

哪些威胁影响元宇宙?

对于一个尚未存在并且可能存在也可能不存在以我们设想的形式存在的产品空间,很难预测网络威胁会从何处而来。考虑到这一点,我们集思广益,以完善我们对元宇宙的理解,并确定对元宇宙和元宇宙内部会存在有哪些威胁。

NFT

在元宇宙中使用不可变位令牌(NFT)已经做了很多。NFT是独特的区块链存储的数据单元,可以出售和交易。NFT数据可以包括散列或指向数字文件(如文本、照片、视频和音频)的链接,以验证数字资产所有权。NFT监管资产所有权,但不存储资产,使用户面临赎金或其他威胁。如果文件由勒索软件加密,NFT的所有者将无法访问这些文件。更糟糕的是,如果底层区块链容易受到Sybil攻击,资产可能会被有效窃取。

骗子还可以通过巧妙地更改“受保护”文件中的几位数据并出售基本上相同的数字资产来克隆NFT。正如Moxie Marlinspike所示,资产服务器也可以通过更改存储在NFT中的URL返回的内容来操作。

另一个安全问题涉及资产转移。由于验证以及在技术上不同的平台上必须“转换”不兼容的资产,在元宇宙空间之间移动数字资产可能会产生成本。资产经纪人将用于此目的,但冒充资产经纪人的骗子可能会欺骗用户。

在建立最佳实践和规则之前,虚拟贸易路线可能类似于狂野西部。如果牢固地植根于区块链技术,它本质上将是一个不受监管的市场,没有明确的政府或法律实体来帮助发生欺诈。由于这种交互式空间带来的信任感,网络钓鱼、免下车下载等现有攻击也可能更有效。

黑暗宇宙

Darkverse与Dark Web类似,将成为恶意用户互动的匿名空间。伪物理存在模仿了用于秘密会议的真实空间,使元宇宙为他们的非法活动提供方便活动的空间。相反,它也可以成为反对压迫性实体或政府的言论自由的安全空间。

可以设置Darkverse世界,以便只有当用户位于指定的物理位置时才能访问它们——这保护了封闭的元宇宙社区。基于位置和接近的消息将使执法机构(LEA)难以拦截元数据。

黑暗宇宙尤其成问题,因为儿童色情等严重犯罪已经是互联网上的一个大问题。这些罪行在法律上定义很差,在虚拟空间中很难由LEA进行监管。

金融欺诈

metaverse中的大量电子商务交易将吸引试图窃取金钱和数字资产的罪犯。在元宇宙中,一个新的数字经济(使用比特币、以太坊、真钱、PayPal、电子转账等)将运行,汇率由自由(可能放松管制)的市场控制。这将是市场操纵者的主要目标。任何司法管辖区不涵盖的仅限元宇宙的公司可以避免所得税。庞氏骗局和证券欺诈可能会伤害元投资者。数字货币、数字资产和法定货币系统交织在一起可能会导致2022年Terra/LUNA加密货币等崩溃。

数字货币非常适合接收资金,但如果用户被欺诈或存在交易问题,出版商将面临复杂的财务问题,而威胁则可能是存在于监管层面。如果用户被欺骗或抢劫,如果他们使用分散的数字货币,几乎不可能获得帮助、投诉或采取法律行动。

在元宇宙中,我们可以预期,虚假的建议、背书和投资将人为地提高数字资产价值。例如,虚拟“土地”的价值高度依赖于感知,这可以被许多因素所操纵。

社会工程

社交工程描述了一系列恶意的人类互动,旨在诱骗用户犯安全错误并泄露敏感信息。当恶意行为者获得有关其目标的详细信息时,使用社交工程的诈骗会更成功。在元宇宙中,操作员可以使用眼睛、身体、声音、运动跟踪等个人信息进行精确的情绪分析。这些数据都是收集的,可能会被盗或滥用。

罪犯或国家行为者将寻找对某些主题敏感的弱势群体,然后通过有针对性的叙述来影响他们。元宇宙是犯罪深度假货的理想选择,因为将语音和视觉相结合成为观点将成为有力的表达(和操纵的工具)。

元宇宙运营商还必须警惕渗透者,他们会试图冒充官方头像来误导元宇宙用户。他们甚至可能不需要深层假货,因为头像的资产可以很容易地收集和克隆。如果有人冒充官方头像皮肤,他们可以进入元宇宙空间并造成恶作剧,对冒充的公司产生不良影响。

罪犯还可以使用元宇宙冒充医生,并向患者提供虚假的医疗建议。在更广泛的骗局中,假新闻世界可以被创建并用作情报收集的VR蜜罐,恶意广告商可以销售木马数字产品。

元宇宙超越了物理边界,因此人们很容易接触到全球骗子,社会工程犯罪将恶化。 

结论

增强现实、混合现实和虚拟现实的下一个演变将是元宇宙。使用新技术,它将为用户提供完全身临其境的体验:体验互联网。用户会得到他们正在参与现实生活活动的印象。

而新近诞生的元宇宙则是一个额外的互联网层,旨在为所有设备提供透明的连接。然而,开发人员似乎没有听取那些拥有数十年经验和设计时考虑到安全和隐私的建议。他们应该尽一切措施防止元宇宙成为一个充斥着罪犯的虐待性、危险的空间。开发人员应该从一开始就纳入技术和社会保障。如果没有这些保障措施,元宇宙可能会是一个比互联网更危险的空间:它将是元差的。

94D69F4B1A3647507AB3E3EB2AE1A616FE7B6E6D_size79_w1080_h608.jpg

Neal Stephenson在1992年的赛博朋克小说《Snow Crash》中首次使用了“元宇宙”一词。它描述了一个可以使用头像探索的虚拟世界,为玩家提供完全身临其境的体验。今天,我们在大型多人在线角色扮演游戏(MMORPG)中看到了类似的世界,如Roblox、Minecraft、Fortnite、Second Life等,但这些游戏仍然与《雪崩》中描述的沉浸式体验相去甚远。

现代元宇宙概念由多个独立并互联的虚拟空间组成。因此,一家公司不可能独自完成构建整个元宇宙的工程。一个乐观的估计是,成熟的元宇宙距离完全部署还有五到十年的时间。然而,在未来三到五年内,我们预计将会在市场内将看到更多类似元宇宙的应用程序。一些游戏,如Decentraland和Crypto Voxels,以及《Minecraft》和《Second Life》等游戏,已经存在。

目前类似元宇宙的应用程序主要为游戏玩家设计,而不是为普通民众设计。但是在未来,我们预计远程工作、娱乐、教育和购物等日常任务将在下一代元宇宙应用程序中完成。其中许多应用程序将自然共享网络空间,当基础技术(硬件、软件、网络基础设施和无处不在)成熟时,这最终将转变为一个元宇宙。在这个共享空间中,用户将能够毫不费力地在应用程序之间切换,并使用各种硬件访问元宇宙。

但元宇宙也会吸引自己的犯罪味道。我们将在下面的博客和随附的研究论文中探讨这一点。

但首先,我们需要知道元宇宙是什么?

关于它是什么,以及它如何融入互联网的大局,不同的研究团队有很多不同意见。为了帮助我们的研究,我们为元宇宙创建了一个工作定义:

云宇宙是一个云分布式、多供应商、身临其境的交互式操作环境,允许用户使用不同类别的连接设备(静态和移动设备)访问它。它使用Web 2.0和Web 3.0技术在现有互联网上提供交互式层体验。如前所述,它是一个开放的平台,用于在虚拟、增强、混合或扩展环境中工作和玩耍。这可以与现有的MMORPG平台相媲美,但尽管每个MMPORG代表一个专有的单一虚拟世界,但元宇宙将允许玩家在虚拟空间及其虚拟资产之间无缝移动。元宇宙不仅仅是人类用户的平台;它还将是智能城市设备的通信层,人类和人工智能可以与之共享信息。

本质上,这将是体验互联网(IoX)。然而,我们完全希望我们的定义会随着元宇宙概念的演变而演变。

哪些威胁影响元宇宙?

对于一个尚未存在并且可能存在也可能不存在以我们设想的形式存在的产品空间,很难预测网络威胁会从何处而来。考虑到这一点,我们集思广益,以完善我们对元宇宙的理解,并确定对元宇宙和元宇宙内部会存在有哪些威胁。

NFT

在元宇宙中使用不可变位令牌(NFT)已经做了很多。NFT是独特的区块链存储的数据单元,可以出售和交易。NFT数据可以包括散列或指向数字文件(如文本、照片、视频和音频)的链接,以验证数字资产所有权。NFT监管资产所有权,但不存储资产,使用户面临赎金或其他威胁。如果文件由勒索软件加密,NFT的所有者将无法访问这些文件。更糟糕的是,如果底层区块链容易受到Sybil攻击,资产可能会被有效窃取。

骗子还可以通过巧妙地更改“受保护”文件中的几位数据并出售基本上相同的数字资产来克隆NFT。正如Moxie Marlinspike所示,资产服务器也可以通过更改存储在NFT中的URL返回的内容来操作。

另一个安全问题涉及资产转移。由于验证以及在技术上不同的平台上必须“转换”不兼容的资产,在元宇宙空间之间移动数字资产可能会产生成本。资产经纪人将用于此目的,但冒充资产经纪人的骗子可能会欺骗用户。

在建立最佳实践和规则之前,虚拟贸易路线可能类似于狂野西部。如果牢固地植根于区块链技术,它本质上将是一个不受监管的市场,没有明确的政府或法律实体来帮助发生欺诈。由于这种交互式空间带来的信任感,网络钓鱼、免下车下载等现有攻击也可能更有效。

黑暗宇宙

Darkverse与Dark Web类似,将成为恶意用户互动的匿名空间。伪物理存在模仿了用于秘密会议的真实空间,使元宇宙为他们的非法活动提供方便活动的空间。相反,它也可以成为反对压迫性实体或政府的言论自由的安全空间。

可以设置Darkverse世界,以便只有当用户位于指定的物理位置时才能访问它们——这保护了封闭的元宇宙社区。基于位置和接近的消息将使执法机构(LEA)难以拦截元数据。

黑暗宇宙尤其成问题,因为儿童色情等严重犯罪已经是互联网上的一个大问题。这些罪行在法律上定义很差,在虚拟空间中很难由LEA进行监管。

金融欺诈

metaverse中的大量电子商务交易将吸引试图窃取金钱和数字资产的罪犯。在元宇宙中,一个新的数字经济(使用比特币、以太坊、真钱、PayPal、电子转账等)将运行,汇率由自由(可能放松管制)的市场控制。这将是市场操纵者的主要目标。任何司法管辖区不涵盖的仅限元宇宙的公司可以避免所得税。庞氏骗局和证券欺诈可能会伤害元投资者。数字货币、数字资产和法定货币系统交织在一起可能会导致2022年Terra/LUNA加密货币等崩溃。

数字货币非常适合接收资金,但如果用户被欺诈或存在交易问题,出版商将面临复杂的财务问题,而威胁则可能是存在于监管层面。如果用户被欺骗或抢劫,如果他们使用分散的数字货币,几乎不可能获得帮助、投诉或采取法律行动。

在元宇宙中,我们可以预期,虚假的建议、背书和投资将人为地提高数字资产价值。例如,虚拟“土地”的价值高度依赖于感知,这可以被许多因素所操纵。

社会工程

社交工程描述了一系列恶意的人类互动,旨在诱骗用户犯安全错误并泄露敏感信息。当恶意行为者获得有关其目标的详细信息时,使用社交工程的诈骗会更成功。在元宇宙中,操作员可以使用眼睛、身体、声音、运动跟踪等个人信息进行精确的情绪分析。这些数据都是收集的,可能会被盗或滥用。

罪犯或国家行为者将寻找对某些主题敏感的弱势群体,然后通过有针对性的叙述来影响他们。元宇宙是犯罪深度假货的理想选择,因为将语音和视觉相结合成为观点将成为有力的表达(和操纵的工具)。

元宇宙运营商还必须警惕渗透者,他们会试图冒充官方头像来误导元宇宙用户。他们甚至可能不需要深层假货,因为头像的资产可以很容易地收集和克隆。如果有人冒充官方头像皮肤,他们可以进入元宇宙空间并造成恶作剧,对冒充的公司产生不良影响。

罪犯还可以使用元宇宙冒充医生,并向患者提供虚假的医疗建议。在更广泛的骗局中,假新闻世界可以被创建并用作情报收集的VR蜜罐,恶意广告商可以销售木马数字产品。

元宇宙超越了物理边界,因此人们很容易接触到全球骗子,社会工程犯罪将恶化。 

结论

增强现实、混合现实和虚拟现实的下一个演变将是元宇宙。使用新技术,它将为用户提供完全身临其境的体验:体验互联网。用户会得到他们正在参与现实生活活动的印象。

而新近诞生的元宇宙则是一个额外的互联网层,旨在为所有设备提供透明的连接。然而,开发人员似乎没有听取那些拥有数十年经验和设计时考虑到安全和隐私的建议。他们应该尽一切措施防止元宇宙成为一个充斥着罪犯的虐待性、危险的空间。开发人员应该从一开始就纳入技术和社会保障。如果没有这些保障措施,元宇宙可能会是一个比互联网更危险的空间:它将是元差的。

shutterstock_182196404.jpeg

研究人员发现,网络犯罪分子正在利用Telegram和Discord等流行消息应用程序的内置服务作为现成平台,以帮助他们在威胁用户的持续活动中执行一些不良活动。

根据英特尔471的最新研究,威胁行为者正在利用消息应用程序的多功能特性——特别是它们的内容创建和程序共享组件——作为信息窃取的基础。

具体来说,他们使用这些应用程序“托管、分发和执行各种功能,最终使他们能够从毫无戒心的用户那里窃取凭据或其他信息,”研究人员在周二发表的一篇博客文章中写道。

研究人员写道:“虽然Discord和Telegram等消息应用程序并非主要用于业务运营,但它们的广泛运用,再加上远程工作的兴起,让网络犯罪分子拥有比过去几年更大的攻击面。”

他们说,英特尔471确定了威胁行为者利用流行消息传递应用程序的内置功能谋取利益的三种关键方式:存储被盗数据、托管恶意软件有效负载以及使用执行其入侵工作的机器人。

存储泄露的数据

使用自己的专用且安全的网络来存储从毫无戒心的网络犯罪受害者那里窃取的数据,可能需要较高的经济成本和时间成本。研究人员发现,威胁参与者正在使用Discord和Telegram的数据存储功能作为信息窃取者的存储库,这些信息窃取者实际上依赖于应用程序来实现这方面的功能。

事实上,最近发现一种名为Ducktail的新型恶意软件从Facebook商业用户那里窃取数据,并将泄露的数据存储在一个Telegram频道中,而且这并非唯一的案例。

他们说,英特尔471的研究人员观察到一个名为X-Files的机器人,它使用Telegram中的机器人命令来窃取和存储数据。一旦恶意软件感染了系统,攻击者就可以从流行的浏览器(包括谷歌浏览器、Chromium、Opera、Slimjet和Vivaldi)上刷取密码、会话cookie、登录凭据和信用卡详细信息,然后将窃取的信息“存入他们选择的Telegram频道”,研究人员说。

他们补充说,另一个被称为Prynt Stealer的窃取程序以类似的方式运行,但没有内置的Telegram命令。

其他窃取者使用Discord作为存储被盗数据的首选消息传递平台。研究人员表示,英特尔471观察到的一个被称为Blitzed Grabber的窃取者使用Discord的webhook功能存储恶意软件提取的数据,包括自动填充数据、书签、浏览器cookie、VPN客户端凭据、支付卡信息、加密货币钱包和密码。Webhook与API类似,因为它们简化了从受害者机器到特定消息通道的自动消息和数据更新的传输。

研究人员补充说,Blitzed Grabber和另外两名使用信息应用程序进行数据存储的盗窃者——Mercurial Grabber和44Calible——也瞄准了Minecraft和Roblox游戏平台的凭据。

研究人员指出:“一旦恶意软件将窃取的信息传回Discord,攻击者就可以使用它来继续他们自己的计划,或者在地下网络犯罪中出售被盗的凭据。”

有效负载托管

据英特尔471称,威胁参与者还利用消息传递应用程序的云基础设施来托管更多合法服务——他们还将恶意软件隐藏在其深处。

研究人员指出,自2019年以来,Discord的内容交付网络(CDN)一直是恶意软件托管的肥沃土壤,因为网络犯罪运营商在上传恶意有效负载以进行文件托管时没有任何限制。

研究人员写道:“这些链接对任何未经身份验证的用户开放,为威胁行为者提供了一个信誉良好的网络域来托管恶意负载。”

观察到使用Discord CDN托管恶意负载的恶意软件系列包括:PrivateLoader、Colibri、Warzone RAT、Smokeloader、Agent Tesla Stealer和njRAT等。

使用机器人进行欺诈

研究人员发现,网络犯罪分子还使Telegram机器人能够做的不仅仅是向用户提供合法功能。事实上,英特尔471已经观察到它所称的针对地下网络犯罪的服务出现了“上升”,这些服务提供了对机器人的访问,这些机器人可以拦截一次性密码令牌,威胁者可以利用这些令牌来欺骗用户。

研究人员观察到,一种名为Astro OTP的机器人使威胁参与者可以访问OTP和短信服务(SMS)验证码。他们说,网络犯罪分子可以通过执行简单的命令直接通过Telegram界面控制机器人。

研究人员表示,目前在黑客论坛上,Astro OTP现行的订阅价格为25美元每天或300美元终身。

shutterstock_182196404.jpeg

研究人员发现,网络犯罪分子正在利用Telegram和Discord等流行消息应用程序的内置服务作为现成平台,以帮助他们在威胁用户的持续活动中执行一些不良活动。

根据英特尔471的最新研究,威胁行为者正在利用消息应用程序的多功能特性——特别是它们的内容创建和程序共享组件——作为信息窃取的基础。

具体来说,他们使用这些应用程序“托管、分发和执行各种功能,最终使他们能够从毫无戒心的用户那里窃取凭据或其他信息,”研究人员在周二发表的一篇博客文章中写道。

研究人员写道:“虽然Discord和Telegram等消息应用程序并非主要用于业务运营,但它们的广泛运用,再加上远程工作的兴起,让网络犯罪分子拥有比过去几年更大的攻击面。”

他们说,英特尔471确定了威胁行为者利用流行消息传递应用程序的内置功能谋取利益的三种关键方式:存储被盗数据、托管恶意软件有效负载以及使用执行其入侵工作的机器人。

存储泄露的数据

使用自己的专用且安全的网络来存储从毫无戒心的网络犯罪受害者那里窃取的数据,可能需要较高的经济成本和时间成本。研究人员发现,威胁参与者正在使用Discord和Telegram的数据存储功能作为信息窃取者的存储库,这些信息窃取者实际上依赖于应用程序来实现这方面的功能。

事实上,最近发现一种名为Ducktail的新型恶意软件从Facebook商业用户那里窃取数据,并将泄露的数据存储在一个Telegram频道中,而且这并非唯一的案例。

他们说,英特尔471的研究人员观察到一个名为X-Files的机器人,它使用Telegram中的机器人命令来窃取和存储数据。一旦恶意软件感染了系统,攻击者就可以从流行的浏览器(包括谷歌浏览器、Chromium、Opera、Slimjet和Vivaldi)上刷取密码、会话cookie、登录凭据和信用卡详细信息,然后将窃取的信息“存入他们选择的Telegram频道”,研究人员说。

他们补充说,另一个被称为Prynt Stealer的窃取程序以类似的方式运行,但没有内置的Telegram命令。

其他窃取者使用Discord作为存储被盗数据的首选消息传递平台。研究人员表示,英特尔471观察到的一个被称为Blitzed Grabber的窃取者使用Discord的webhook功能存储恶意软件提取的数据,包括自动填充数据、书签、浏览器cookie、VPN客户端凭据、支付卡信息、加密货币钱包和密码。Webhook与API类似,因为它们简化了从受害者机器到特定消息通道的自动消息和数据更新的传输。

研究人员补充说,Blitzed Grabber和另外两名使用信息应用程序进行数据存储的盗窃者——Mercurial Grabber和44Calible——也瞄准了Minecraft和Roblox游戏平台的凭据。

研究人员指出:“一旦恶意软件将窃取的信息传回Discord,攻击者就可以使用它来继续他们自己的计划,或者在地下网络犯罪中出售被盗的凭据。”

有效负载托管

据英特尔471称,威胁参与者还利用消息传递应用程序的云基础设施来托管更多合法服务——他们还将恶意软件隐藏在其深处。

研究人员指出,自2019年以来,Discord的内容交付网络(CDN)一直是恶意软件托管的肥沃土壤,因为网络犯罪运营商在上传恶意有效负载以进行文件托管时没有任何限制。

研究人员写道:“这些链接对任何未经身份验证的用户开放,为威胁行为者提供了一个信誉良好的网络域来托管恶意负载。”

观察到使用Discord CDN托管恶意负载的恶意软件系列包括:PrivateLoader、Colibri、Warzone RAT、Smokeloader、Agent Tesla Stealer和njRAT等。

使用机器人进行欺诈

研究人员发现,网络犯罪分子还使Telegram机器人能够做的不仅仅是向用户提供合法功能。事实上,英特尔471已经观察到它所称的针对地下网络犯罪的服务出现了“上升”,这些服务提供了对机器人的访问,这些机器人可以拦截一次性密码令牌,威胁者可以利用这些令牌来欺骗用户。

研究人员观察到,一种名为Astro OTP的机器人使威胁参与者可以访问OTP和短信服务(SMS)验证码。他们说,网络犯罪分子可以通过执行简单的命令直接通过Telegram界面控制机器人。

研究人员表示,目前在黑客论坛上,Astro OTP现行的订阅价格为25美元每天或300美元终身。

remote_desktop_abstract-e1654695169351.jpeg

互联网协议(IP)地址及其背后的设备、网络服务和云资产是现代企业的生命线。但公司经常积累数千个数字资产,无序的状态给IT和安全团队造成了无法管理的混乱。如果不仔细地加以检查,一个被遗忘、遗弃或未知的数字资产对于公司来说就是网络安全定时炸弹。

为什么查看和管理网络中的每个数字事物都应是重中之重?这当中存在一种可能:它们是您组织基础设施中增长最快的部分。有效的数字资产管理——包括IP地址可见性——是您阻止攻击者对网络资产发动攻击的最基础也是最有效的途径。

在过去的二十年里,安全团队一直专注于解决内部资产风险。面向公众的数字资产和IP地址是“非军事化区”的一部分,“非军事化区”是一个防御的强化但非常有限的周边地区。但在全球大流行和随之而来的居家办公趋势的推动下,数字化转型随之而来,网络边界变得不再清晰,都需要让位于当今一切托管服务的现代架构。

数字资产:死亡、遗忘和危险

过去两年的业务数字化转型引发了一场新的网络应用程序、数据库和物联网设备的海啸。他们为威胁组织创造了一个巨大的新攻击面,其中包括复杂的云原生IT基础设施。可能暴露的是数千个API、服务器、物联网设备和SaaS资产。

管理不善的数字资产是一颗定时炸弹。例如,在网络应用程序中存在巨大风险。在最近的CyCognito调查中,我们发现Global 2000组织平均每个组织有5000个暴露的Web界面,占其外部可能受到攻击表面的7%。在这些Web应用程序中,我们发现不乏开源JavaScript漏洞库问题,如jQuery、JQuery-UI和Bootstrap。SQL注入、XSS和PII暴露漏洞也不短缺。

任何面向外部的资产未知或管理不善,都可以被视为邀请对手破坏您的网络的机会。然后,攻击者可以窃取数据、传播恶意软件、破坏基础设施并实现持续的未经授权访问。

当我们与公司谈论他们的攻击面时,我们很少听到他们对掌握数字资产表示信心。许多公司仍然通过Excel电子表格跟踪IP地址,并反过来连接资产。这种措施是否高效?事实上这仅适用于最小的组织。ESG在2021年的一项研究发现,73%的安全和IT专业人士依赖他们。

数据安全是头等大事,这也是贵公司的皇冠珠宝。我认为,保护IP地址和连接资产应该采取更现代的管理方法,这样就可以在问题出现之前解决这些问题。

善意可能会出错

但即使是善意的公司也可能犯错误。假设企业服务台创建的内部票务系统只能通过内部URL访问。对手可能会利用URL的基础IP地址,并通过添加“:8118”来打开网络后门(或端口)。这就是为什么IP地址,包括端口、域和证书等相关技术,可能带来巨大的安全和声誉风险。

其结果可能是数字资产软点的墓地,这些软点经常成为对手的切入点,例如被遗忘或管理不善的DevOps或SecOps工具、云产品和设备Web界面。

在当今复杂的企业中,系统管理员通常只能看到他们负责管理的设备子集。如果资产不在您的雷达屏幕上,您将无法真正地降低风险。

为什么管理IP连接的资产就像养猫一样

在过去的12个月里,通过对CyCognito的客户群观察调研,我们看到组织内IP地址(和相关数字资产)的数量增长了20%。这一增长至少部分归功于云的采用以及对居住在公司网络的连接设备和Web应用程序的依赖。但经常被忽视的是,当公司增长或萎缩时,基础设施会蔓延。

例如,在绕过IP地址管理方面,合并和收购(并购)活动通常会让企业保持平稳。假设酒店集团收购了较小的竞争对手。当这种情况发生时,它还继承了一个由未管理和未知的IP地址和域组成的潜在雷区。

死亡域名和被遗忘域名——一种不同类型的数字资产——经常成为所谓的悬垂DNS记录的牺牲品,对手可以通过重新注册来接管被遗忘的子域名。这些子域以前连接到公司资源,但现在完全由不良行为者控制,然后可用于改变公司的网络流量,造成数据丢失和声誉损害。

同样,子公司的剥离可能导致基础设施被遗弃,成为孤儿数字资产和相关网络应用程序。这些被遗忘的资产经常被IT团队忽视,但绝对不会被机会主义黑客忽视。

更糟糕的是,不安全的端口使设备可以进行默认凭据攻击。毕竟,对于对手来说,要扫描和查找开放的端口,他们需要管理不善的云服务或IP连接的硬件。

最后,通过收购获得的不受管理的IT基础设施和资产可能会浪费宝贵的时间。考虑一下管理不善的IP地址如何向IT安全团队发送高度戒备状态,以了解为什么公司资产在它不开展业务的国家/地区被使用。

为了保护关键数据,阻止恶意软件感染并防止漏洞,部分答案是进行有效的数字资产管理以及提高IP地址可见性。太多的系统管理员仍然受制于这个过时的基于电子表格的资产管理系统。

此外,忽略攻击载体并仅检测已知资产中CVE的遗留扫描仪无法评估与公司内部大量数字资产相关的风险。例如,在之前的内部票务系统中——通过URL https://X.X.X.X[:]8118意外暴露在互联网上——该IP上的端口扫描充其量只能找到HTTP服务。扫描仪肯定不会理解曝光的背景和关键性。公司拥有的云资产上意外打开目录也是如此,尽管这些目录可能包含员工凭据和TB的敏感数据。

无知不是幸福&看到就是相信

当然,默认情况下,数字资产并不危险。相反,风险与IT堆栈的管理以及系统管理员处理与预置、非预置、托管和非托管服务绑定的众多连接应用程序的能力有关。

难题摆在公司的面前:“你如何管理你不知道的东西?”

实施网络分割,零信任解决方案和积极的IP和端口扫描,以及资产发现,都是对减轻威胁问题的必要响应。但这些解决方案并没有100%解决问题。

这就像根据20%的居民的检测,给社区一份干净的新冠肺炎健康法案。没有其他80%的测试,你真的不知道自己是否安全。即使对90%的攻击表面进行完美的漏洞管理,当10%可能看不见和不受管理时,这也不是无关紧要的事。

与低效的发现工具相关的成本和修复发现问题的IT资源有限也是有效攻击表面管理的障碍。

攻击表面管理需要围绕“发现”暴露的关键资产的新心态。持续发现那些大规模攻击者抵抗力最小的路径,加上安全测试和将宝贵资产被盗的风险联系起来,至关重要。CyCognito正在围绕暴露和风险管理与缓慢、有限范围和昂贵的漏洞管理开拓这个想法。

想象一下,看到您的整个攻击表面——以及您的子公司的攻击表面——并能够根据风险简介对修复进行优先排序,该风险简介告诉您特定资产被黑客入侵的概率。在数字资产的背景下,了解您的整个IP环境并优先考虑需要首先解决的问题,可以大大有助于实现更安全的IT环境。

大局?对手总是寻求阻力最小的道路。他们避免了更难的攻击路径,因为它们往往很吵,增加了后卫检测和响应的风险。现代外部攻击表面管理方法应该利用资产补救优先级相同的最不耐药性路径原则,同时减少回收(MTTR)的时间,并回答以下问题:“我们安全吗?”

Rob Gurzeev是外部攻击表面管理公司CyCognito的首席执行官兼联合创始人。他是一名进攻性安全专家,专注于提供网络安全解决方案,帮助组织找到并消除攻击者利用的路径。

remote_desktop_abstract-e1654695169351.jpeg

互联网协议(IP)地址及其背后的设备、网络服务和云资产是现代企业的生命线。但公司经常积累数千个数字资产,无序的状态给IT和安全团队造成了无法管理的混乱。如果不仔细地加以检查,一个被遗忘、遗弃或未知的数字资产对于公司来说就是网络安全定时炸弹。

为什么查看和管理网络中的每个数字事物都应是重中之重?这当中存在一种可能:它们是您组织基础设施中增长最快的部分。有效的数字资产管理——包括IP地址可见性——是您阻止攻击者对网络资产发动攻击的最基础也是最有效的途径。

在过去的二十年里,安全团队一直专注于解决内部资产风险。面向公众的数字资产和IP地址是“非军事化区”的一部分,“非军事化区”是一个防御的强化但非常有限的周边地区。但在全球大流行和随之而来的居家办公趋势的推动下,数字化转型随之而来,网络边界变得不再清晰,都需要让位于当今一切托管服务的现代架构。

数字资产:死亡、遗忘和危险

过去两年的业务数字化转型引发了一场新的网络应用程序、数据库和物联网设备的海啸。他们为威胁组织创造了一个巨大的新攻击面,其中包括复杂的云原生IT基础设施。可能暴露的是数千个API、服务器、物联网设备和SaaS资产。

管理不善的数字资产是一颗定时炸弹。例如,在网络应用程序中存在巨大风险。在最近的CyCognito调查中,我们发现Global 2000组织平均每个组织有5000个暴露的Web界面,占其外部可能受到攻击表面的7%。在这些Web应用程序中,我们发现不乏开源JavaScript漏洞库问题,如jQuery、JQuery-UI和Bootstrap。SQL注入、XSS和PII暴露漏洞也不短缺。

任何面向外部的资产未知或管理不善,都可以被视为邀请对手破坏您的网络的机会。然后,攻击者可以窃取数据、传播恶意软件、破坏基础设施并实现持续的未经授权访问。

当我们与公司谈论他们的攻击面时,我们很少听到他们对掌握数字资产表示信心。许多公司仍然通过Excel电子表格跟踪IP地址,并反过来连接资产。这种措施是否高效?事实上这仅适用于最小的组织。ESG在2021年的一项研究发现,73%的安全和IT专业人士依赖他们。

数据安全是头等大事,这也是贵公司的皇冠珠宝。我认为,保护IP地址和连接资产应该采取更现代的管理方法,这样就可以在问题出现之前解决这些问题。

善意可能会出错

但即使是善意的公司也可能犯错误。假设企业服务台创建的内部票务系统只能通过内部URL访问。对手可能会利用URL的基础IP地址,并通过添加“:8118”来打开网络后门(或端口)。这就是为什么IP地址,包括端口、域和证书等相关技术,可能带来巨大的安全和声誉风险。

其结果可能是数字资产软点的墓地,这些软点经常成为对手的切入点,例如被遗忘或管理不善的DevOps或SecOps工具、云产品和设备Web界面。

在当今复杂的企业中,系统管理员通常只能看到他们负责管理的设备子集。如果资产不在您的雷达屏幕上,您将无法真正地降低风险。

为什么管理IP连接的资产就像养猫一样

在过去的12个月里,通过对CyCognito的客户群观察调研,我们看到组织内IP地址(和相关数字资产)的数量增长了20%。这一增长至少部分归功于云的采用以及对居住在公司网络的连接设备和Web应用程序的依赖。但经常被忽视的是,当公司增长或萎缩时,基础设施会蔓延。

例如,在绕过IP地址管理方面,合并和收购(并购)活动通常会让企业保持平稳。假设酒店集团收购了较小的竞争对手。当这种情况发生时,它还继承了一个由未管理和未知的IP地址和域组成的潜在雷区。

死亡域名和被遗忘域名——一种不同类型的数字资产——经常成为所谓的悬垂DNS记录的牺牲品,对手可以通过重新注册来接管被遗忘的子域名。这些子域以前连接到公司资源,但现在完全由不良行为者控制,然后可用于改变公司的网络流量,造成数据丢失和声誉损害。

同样,子公司的剥离可能导致基础设施被遗弃,成为孤儿数字资产和相关网络应用程序。这些被遗忘的资产经常被IT团队忽视,但绝对不会被机会主义黑客忽视。

更糟糕的是,不安全的端口使设备可以进行默认凭据攻击。毕竟,对于对手来说,要扫描和查找开放的端口,他们需要管理不善的云服务或IP连接的硬件。

最后,通过收购获得的不受管理的IT基础设施和资产可能会浪费宝贵的时间。考虑一下管理不善的IP地址如何向IT安全团队发送高度戒备状态,以了解为什么公司资产在它不开展业务的国家/地区被使用。

为了保护关键数据,阻止恶意软件感染并防止漏洞,部分答案是进行有效的数字资产管理以及提高IP地址可见性。太多的系统管理员仍然受制于这个过时的基于电子表格的资产管理系统。

此外,忽略攻击载体并仅检测已知资产中CVE的遗留扫描仪无法评估与公司内部大量数字资产相关的风险。例如,在之前的内部票务系统中——通过URL https://X.X.X.X[:]8118意外暴露在互联网上——该IP上的端口扫描充其量只能找到HTTP服务。扫描仪肯定不会理解曝光的背景和关键性。公司拥有的云资产上意外打开目录也是如此,尽管这些目录可能包含员工凭据和TB的敏感数据。

无知不是幸福&看到就是相信

当然,默认情况下,数字资产并不危险。相反,风险与IT堆栈的管理以及系统管理员处理与预置、非预置、托管和非托管服务绑定的众多连接应用程序的能力有关。

难题摆在公司的面前:“你如何管理你不知道的东西?”

实施网络分割,零信任解决方案和积极的IP和端口扫描,以及资产发现,都是对减轻威胁问题的必要响应。但这些解决方案并没有100%解决问题。

这就像根据20%的居民的检测,给社区一份干净的新冠肺炎健康法案。没有其他80%的测试,你真的不知道自己是否安全。即使对90%的攻击表面进行完美的漏洞管理,当10%可能看不见和不受管理时,这也不是无关紧要的事。

与低效的发现工具相关的成本和修复发现问题的IT资源有限也是有效攻击表面管理的障碍。

攻击表面管理需要围绕“发现”暴露的关键资产的新心态。持续发现那些大规模攻击者抵抗力最小的路径,加上安全测试和将宝贵资产被盗的风险联系起来,至关重要。CyCognito正在围绕暴露和风险管理与缓慢、有限范围和昂贵的漏洞管理开拓这个想法。

想象一下,看到您的整个攻击表面——以及您的子公司的攻击表面——并能够根据风险简介对修复进行优先排序,该风险简介告诉您特定资产被黑客入侵的概率。在数字资产的背景下,了解您的整个IP环境并优先考虑需要首先解决的问题,可以大大有助于实现更安全的IT环境。

大局?对手总是寻求阻力最小的道路。他们避免了更难的攻击路径,因为它们往往很吵,增加了后卫检测和响应的风险。现代外部攻击表面管理方法应该利用资产补救优先级相同的最不耐药性路径原则,同时减少回收(MTTR)的时间,并回答以下问题:“我们安全吗?”

Rob Gurzeev是外部攻击表面管理公司CyCognito的首席执行官兼联合创始人。他是一名进攻性安全专家,专注于提供网络安全解决方案,帮助组织找到并消除攻击者利用的路径。