盘点Black Hat 2022:企业网络安全五大新趋势

上周在拉斯维加斯举行的Black Hat2022大会连续第25年通过调查分析和报告大规模安全漏洞和网络攻击为业界敲响警钟,指明方向。本届Black Hat大会揭示了企业网络安全的重大趋势:企业的网络攻击的“爆炸半径”将继续增长,并延伸到软件供应链、开发运营和技术堆栈的几个层面。企业的技术堆栈正面临更复杂、更具破坏性的网络攻击的风险。

技术堆栈越复杂,越依赖隐含的信任,就越有可能被黑客入侵。这是美国网络安全和基础设施安全局(CISA)前任创始主任克里斯·克雷布斯(Chris Krebs)上周在Black Hat 2022会议上向观众发表的几条信息之一。Krebs提到,漏洞通常始于构建过于复杂的技术堆栈,这些堆栈为网络犯罪分子创造了更多攻击面,然后试图加以利用。

Krebs还强调了软件供应链安全的重要性,并解释说企业和全球政府没有采取足够的措施来阻止类似SolarWinds的另一次大规模供应链攻击。提供软件产品的公司同时也在提供攻击目标。”他指出。

以下,我们整理了Black Hat2022主题演讲和厂商发布中包含的企业网络安全重大趋势:

一、企业安全:不断扩大的爆炸半径

基础设施、devops和企业软件漏洞是Black Hat2022企业安全专场的关注焦点。此外,如何改进身份访问管理(IAM)和特权访问管理(PAM)、阻止勒索软件攻击、减少Azure Active Directory (AD)和SAP HTTP服务器攻击以及软件供应链安全也都是热门话题。

持续集成和持续交付(CI/CD)管道是软件供应链最危险的攻击面。尽管许多企业尽最大努力将网络安全集成到devops流程的核心部分,但CI/CD软件管道仍然可以破解。

企业安全会议上的几场演讲探讨了网络犯罪分子如何使用远程代码执行(RCE)和受感染的代码存储库侵入软件供应链。其中一个会议特别关注高级黑客如何使用代码签名假冒devops团队成员。

另一个值得关注的会议主题是关于黑客如何快速使用源代码管理(SCM)系统在整个企业中实现横向移动和权限升级,感染存储库并大规模访问软件供应链(下图)。

软件供应链攻击风险:源代码管理系统面临的安全威胁

随着网络犯罪分子技能的不断提高,企业技术堆栈也正成为更容易得手的目标。其中一个演讲介绍了黑客利用外部身份链接绕过多因素身份验证(MFA)和条件访问策略来对Azure AD用户帐户进行后门和劫持操作,导致企业在数分钟内失去对其技术堆栈核心部分的控制。

在SAP专有HTTP服务器的专项研讨会上,专家们介绍了网络犯罪分子如何利用高级协议利用技术利用SAP HTTP服务器中发现的两个内存损坏漏洞(CVE-2022-22536和CVE-2022-22532)这两个漏洞可被远程利用,未经身份验证的攻击者可以利用它们来破坏全球任何SAP系统。

恶意软件攻击威胁在整个企业安全领域中不断升级,攻击者能够绕过依赖隐式信任的技术堆栈并破坏基础设施和网络。使用机器学习(ML)来识别潜在的恶意软件攻击并使用先进的分类技术在攻击发生之前就阻止它们是一个非常具有吸引力的研究领域。微软安全软件工程师Dmitrijs Trizna介绍了基于Windows内核仿真增强机器学习的恶意软件分类技术,这是一种混合ML架构,该架构同时利用静态和动态恶意软件分析方法。

二、网络安全供应商的关注焦点:人工智能、API和供应链安全

超过300家网络安全供应商在Black Hat 2022上亮相,大多数新产品发布都集中在API安全以及软件供应链安全领域。

CrowdStrike在Black Hat上发布了业界首创的基于AI的IOA(攻击指标),结合了云原生ML和人类专业知识,这标志着网络安全业界正在利用AI和ML快速完善平台战略。IOA已被证明可以有效地根据实际的对手行为来识别和阻止违规行为,而与攻击中使用的恶意软件或漏洞无关。

CrowdStrike的人工智能驱动的IOA能够利用CrowdStrike Security Cloud遥测数据训练的云原生ML模型,以及公司威胁搜寻团队的专业知识。使用AI和ML以机器速度分析IOA,提供企业阻止网络攻击所需的准确性、速度和规模。

CrowdStrike首席产品和工程官Amol Kulkarni表示:“凭借行业领先的攻击能力指标,我们在阻止最复杂的攻击方面处于领先地位,这标志着安全团队预防威胁的方式发生重大改变:根据对手行为而不是善变的指标。现在,我们通过添加AI驱动的攻击指标再次改变游戏规则,这使组织能够利用CrowdStrike安全云的力量以机器速度大规模检查对手行为,以最有效的方式阻止攻击行为。”

人工智能驱动的IOA已识别出20多种前所未见的对手模式,专家已在Falcon平台上验证并实施这些模式,以实现自动检测和预防。

工程咨询公司Cundall的首席信息官Lou Lwin说。“今天,攻击变得越来越复杂,如果它们是基于机器的攻击,那么操作员就无法跟上瞬息万变的威胁形势。因此,您需要基于机器的防御和了解安全性并非‘一劳永逸’的长期战略合作伙伴。”

CrowdStrike展示了AI驱动的IOA用例,包括利用AI识别恶意行为和代码的后利用有效负载检测和PowerShell IOA。

图片来源:CrowdStrike

AI生成的IOA使用基于云的ML和实时威胁情报来加强现有防御,在运行时分析事件并将IOA动态发布到传感器。然后,传感器将AI生成的IOA(行为事件数据)与本地事件和文件数据相关联,以评估恶意行为。CrowdStrike表示,人工智能驱动的IOA与现有的传感器防御层异步运行,包括基于传感器的ML和IOA。

三、API安全是一个战略弱点

很多网络安全供应商看到了帮助企业解决API安全挑战的机会,推出新API安全解决方案的供应商包括Canon Security、Checkmarx、Contrast Security、Cybersixgill、Traceable和Veracode。

在这些新产品中,值得注意的是Checkmarx的API安全方案,它是其著名的Checkmarx One平台的一个组件。Checkmarx以其在保护CI/CD流程工作流方面的专业知识而闻名。Checkmark的APISecurity安全方案可以识别僵尸API和未知(影子)API,执行自动API发现和清点,并执行以API为中心的修复。

此外,Traceable AI宣布对其平台进行多项改进,包括识别和阻止恶意API机器人,识别和跟踪API滥用、欺诈和误用,以及预测整个软件供应链中的潜在API攻击。

四、在供应链攻击开始之前阻止它们

在参加Black Hat的300多家供应商中,大多数拥有CI/CD、devops或零信任解决方案的供应商都推出了能够阻止潜在供应链攻击的解决方案,这也是本次Black Hat大会炒作热度最高的主题。软件供应链风险变得如此严重,以至于美国国家标准与技术研究院(NIST)正在更新其标准,包括NIST SP 1800-34,重点关注供应链安全不可或缺的系统和组件。

供应链安全专家Cycode宣布已为其平台添加了应用程序安全测试(SAST)和容器扫描功能,并引入了软件组合分析(SCA)。

Veracode以其在安全测试解决方案方面的专业知识而闻名,为其持续软件安全平台引入了新的增强功能,包括软件物料清单(SBOM)API、对软件组合分析(SCA)的支持以及对包括PHP Symfony、Rails在内的新框架的支持7.0和Ruby 3.x。

五、开放网络安全架构框架(OCSF)可满足企业安全需求

CISO对端点检测和响应(EDR)、端点管理和安全监控平台最常见的抱怨是:没有用于跨平台启用警报的通用标准。18家领先的安全供应商合作应对这个挑战,开发了开放网络安全架构框架(OCSF)项目。该项目包括一个开放规范,该规范能够跨广泛的安全产品和服务实现安全遥测的规范化。此外,开源工具也可用于支持和加速OCSF模式的采用。

安全供应商AWS和Splunk是OCSF项目的联合创始人,该项目还得到了CrowdStrike、Palo AltoNetworks、IBM Security和其他公司的支持。其目标是不断开发支持OCSF规范的新产品和服务,使来自网络监控工具、网络记录器和其他软件的警报标准化,以简化和加快对数据的解释。

CrowdStrike首席技术官Michael Sentonas表示:“在CrowdStrike,我们的使命是阻止违规行为并提高组织的生产力。我们坚信共享数据模式的概念,它使企业能够理解和消化所有数据,简化其安全运营并降低风险。”

附录:Black Hat 2022重点安全产品和服务发布清单

Canon Security推出AppTotal API

以色列SaaS应用安全平台Canonic Security推出AppTotal API。这个新的API使安全团队能够在他们的工作流程中自动化和集成Canonic App Access&Vulnerability Intelligence。这有助于提高生产力,因为员工可以将他们的应用程序连接到IT系统而不必担心安全性。

Checkmarx推出API安全解决方案

应用程序安全测试公司Checkmarx推出了Checkmarx API Security。作为Checkmarx One平台的一个组件,API Security旨在提供涵盖僵尸和影子API的全面API清单。功能包括自动API发现、完整的API清单、未知API识别和以API为中心的修复。

Code42与Nullafi合作限制内部人员访问

内部风险管理公司Code42与敏感数据检测和保护公司Nullafi合作。Code42 Incydr和Nullafi Shield之间的集成将有助于跨企业应用程序和系统检测、拦截和编辑特定数据。因此,团队只能访问执行工作所需的信息,从而提高对盗窃、泄漏和员工无意访问的预防。

Concentic AI推出自主数据安全态势管理解决方案

Concentric AI推出了自主数据安全状态管理解决方案,旨在保护在流行的商业消息平台(包括电子邮件、Slack和Microsoft Teams)中以文本或附件形式共享的敏感数据。

Contrast Security宣布增强的API安全功能

Contrast Security宣布在其安全代码平台中增强API安全功能。该平台可帮助开发人员了解其完整的API库存、编写安全的API代码、保护API供应链并保护API不被利用。

Cycode推出软件成分分析解决方案

供应链安全公司Cycode推出了软件组合分析(SCA)解决方案,并扩展了其平台以添加静态应用程序安全测试(SAST)和容器扫描功能。

Cybersixgill发布漏洞利用情报解决方案

威胁情报公司Cybersixgill推出了动态漏洞利用(DVE)情报,该解决方案结合了自动化、高级分析和漏洞利用情报来解决CVE生命周期的所有阶段。该解决方案旨在帮助组织按紧急程度排列CVE的优先级。

Cybrary推出新的SOC分析师评估

网络安全培训平台Cybrary宣布推出SOC分析师评估,这是一个专门针对SOC分析师的beta测试程序。Cybrary的SOC分析师评估是一个实时实验室环境,它模拟SOC分析师的典型日常生活,教用户如何将噪音与真实威胁区分开来,并培养最佳保护其组织所需的基于技能的本能。

CrowdStrike引入了人工智能驱动的攻击指标

CrowdStrike已将AI驱动的攻击指标(IoA)引入其Falcon平台。新的威胁检测和响应功能旨在为隐蔽的云入侵提供增强的无文件攻击预防和可见性。

Defiant推出Wordfence Intelligence

Wordfence-Defiant的WordPress安全团队–发布了Wordfence Intelligence,这是一种以企业为中心的新产品,旨在为组织和托管服务提供商提供Web应用程序保护。Wordfence Intelligence推出三个数据源,涵盖恶意IP地址、PHP恶意软件和WordPress漏洞。

Flashpoint发布数据泄露情报状态:2022年中版

Flashpoint发布了“数据泄露情报状况:2022年年中版”报告。根据从2022年上半年报告的近2,000起违规事件中收集的数据,该报告显示60%的事件是由黑客攻击造成的。

IBM推出源代码管理攻击工具包

IBM推出了源代码管理攻击工具包(SCMKit),允许用户对SCM平台发起模拟攻击。该工具包支持用于侦察、权限提升和持久性的攻击模块。

NetSPI推出开源工具PowerHuntShares和PowerHunt

企业渗透测试和攻击面管理公司NetSPI推出了两个开源工具,名为PowerHuntShares和PowerHunt。PowerHuntShares清点、分析和报告分配给已加入Active Directory域的计算机上的SMB共享的过多特权。PowerHunt是一个模块化威胁搜寻框架,它根据来自常见MITRE ATT&CK技术的工件识别入侵迹象,并检测特定于目标环境的异常和异常值。

NetRise发布XIoT固件安全解决方案

XIoT安全公司NetRise宣布发布NetRise平台,该解决方案可深入了解组织中XIoT固件映像中的共享漏洞。NetRise是一个基于云的SaaS平台,可以分析和持续监控XIoT设备的固件。然后对固件映像进行剖析,在易于使用的界面中呈现所有关键数据、工件和风险。

NetWitness宣布即将推出NetWitness Platform XDR 12

RSA集团业务部NetWitness宣布即将推出NetWitness Platform XDR 12,并任命Ken Naumann为公司新任CEO。NetWitness Platform XDR 12具有新的和增强的分析功能,可以更快地发现已知和未知威胁,减少停留时间,并实现快速响应和补救。

Normalyze宣布全面推出免费增值服务

数据优先的云安全公司Normalyze宣布全面推出其免费增值产品,这是一个自助式免费平台,可让公共云中的数据发现和分类民主化。免费增值产品提供完整的数据发现、概述所有检测到的风险的仪表板、对所有结构化和非结构化数据存储的支持以及自动化工作流程。

OPSWAT为OT提供新的恶意软件分析功能

OPSWAT宣布了针对IT和运营技术(OT)的新恶意软件分析功能。增强功能包括用于OT的OPSWAT Sandbox,可检测OT网络协议上的恶意通信,并支持公司的MetaDefender Malware Analyzer解决方案中的开源第三方工具。

Pentera为暴露的凭据启动基于攻击的验证

自动化安全验证公司Pentera推出了Credential Exposure,这是其平台的一个新模块,允许用户针对企业攻击面测试被盗和受损的凭证。新模块利用来自数十亿真实世界泄露凭据的数据,将受损的身份威胁暴露给内部和外部攻击面。

Rezilion推出开源漏洞检测工具

Rezilion发布了MI-X,这是一种新的开源CLI工具,可以帮助研究人员和开发人员了解他们的容器和主机是否受到特定漏洞的影响。组织可以使用MI-X在其环境中识别和确定20多个热门CVE漏洞的可利用性,并且可以轻松更新该工具以包括新漏洞的覆盖范围。

SimSpace发布新的培训平台和合作伙伴网络

风险管理公司SimSpace推出了SkillWise,这是一个新的培训平台,为个人和团队的网络培训练习提供了一个真实的环境。

该公司还宣布了SimSpace合作伙伴网络,旨在为渠道经销商、服务提供商和技术联盟合作伙伴提供工具集,以加速销售并利用新的收入机会。

SentinelOne推出XDR Ingest

SentinelOne推出了XDR Ingest,它为企业客户提供了一个无限的数据平台,可以从任何来源获取、保留、关联、搜索和操作所有企业安全数据——包括实时和历史数据。

Tidal Cyber推出社区版威胁情报防御平台

Tidal Cyber推出了其威胁情报防御平台的社区版,使安全分析师能够有效地探索MITRE ATT&CK知识库定义的对手行为的高级知识。它还提供了额外的开源威胁情报来源,以及映射到特定对手技术的安全产品功能的Tidal管理注册表。

Tenable发布新的云安全功能

Tenable发布了无代理评估和实时结果云安全功能,这是其云安全解决方案的两项重大更新。新功能可帮助组织更快地修复漏洞并防止它们被利用。

Traceable AI更新API安全平台

API安全公司Traceable AI发布了解决更具体类型的API攻击的平台增强功能,包括API滥用和误用、欺诈和恶意API机器人。

TrustedSite推出Halo Security

漏洞扫描和认证提供商TrustedSite已正式推出Halo Security,这是一个攻击面管理平台,旨在为组织提供对其面向Internet的资产的全面可见性。该解决方案将漏洞扫描和手动测试结合在一起,以识别风险并帮助组织改善其安全状况并保护其数据免受外部威胁。

Veracode改进了持续软件安全平台

应用程序安全测试解决方案提供商Veracode已宣布对其持续软件安全平台进行改进,包括支持软件组合分析(SCA)、软件物料清单(SBOM)API,以及扩展的框架和语言支持静态分析——此外还增加了Rails 7.0、Ruby 3.x和PHP Symfony。

前一篇首次上榜!奇安信被评为Gartner智慧城市CPS代表供应商
后一篇德国政府强制实施安全浏览器