網(wǎng)絡(luò)安全攻防演練中不能忽視的API風(fēng)險(xiǎn)

網(wǎng)絡(luò)安全實(shí)戰(zhàn)化攻防演練是檢驗(yàn)企業(yè)網(wǎng)絡(luò)安全建設(shè)效果的有效方式，攻防雙方在真實(shí)的網(wǎng)絡(luò)環(huán)境中開展對(duì)抗，更貼近實(shí)際情況，有利于發(fā)現(xiàn)企業(yè)真實(shí)存在的安全問(wèn)題。從以往攻防演練活動(dòng)的實(shí)際案例來(lái)看，各組織單位在攻擊面梳理過(guò)程中容易忽略的幾個(gè)關(guān)鍵點(diǎn)：

1.影子API。在資產(chǎn)梳理過(guò)程中，難免有些資產(chǎn)在安全視線之外，如有些API沒有經(jīng)過(guò)WAF或API網(wǎng)關(guān)，這些API可能是歷史遺留下來(lái)的僵尸API，由于缺乏安全防護(hù)容易被攻擊。

2.邏輯漏洞。傳統(tǒng)安全檢測(cè)產(chǎn)品很難發(fā)現(xiàn)未授權(quán)訪問(wèn)、越權(quán)訪問(wèn)、允許弱密碼、錯(cuò)誤提示不合理、未禁用目錄瀏覽等邏輯漏洞（安全缺陷）。

3.涉敏流量。現(xiàn)有WAF、API網(wǎng)關(guān)等產(chǎn)品更多是對(duì)入站流量的檢測(cè)，缺乏對(duì)出站流量的檢測(cè)，出站流量中如果暴露了明文的敏感數(shù)據(jù)，可能會(huì)被攻擊者加以利用。

4.高危組件。承載API的后端組件可能存在安全隱患），同時(shí)這些組件因?yàn)锳PI對(duì)外提供業(yè)務(wù)而暴露在互聯(lián)網(wǎng)中，往往會(huì)成為攻擊者的攻擊目標(biāo)。

盡管很多企業(yè)通過(guò)持續(xù)的攻防演練有效提升了安全防護(hù)能力，但隨著組織數(shù)字化進(jìn)程的加快以及業(yè)務(wù)的迅速發(fā)展，總有一些跟不上變化的風(fēng)險(xiǎn)點(diǎn)出現(xiàn)。在了解了攻防演練中那些容易被忽略的API安全風(fēng)險(xiǎn)點(diǎn)和攻擊方常見的攻擊套路后，各組織單位想要在攻防演練中更好應(yīng)對(duì)，還需要從自身業(yè)務(wù)安全出發(fā)，制定相應(yīng)的API安全管理策略，包括：資產(chǎn)動(dòng)態(tài)梳理、缺陷持續(xù)評(píng)估、攻擊精準(zhǔn)感知。

02

企業(yè)部署到云的API驅(qū)動(dòng)應(yīng)用程序應(yīng)注意這些安全事項(xiàng)

在過(guò)去幾年中，API 驅(qū)動(dòng)的應(yīng)用程序在企業(yè)級(jí)云平臺(tái)上部署以擴(kuò)展規(guī)模興起。它們能夠根據(jù)用戶需求進(jìn)行擴(kuò)展，徹底改變了應(yīng)用程序的編寫和部署方式。以下是企業(yè)在評(píng)估 API 安全解決方案時(shí)應(yīng)考慮的一些關(guān)鍵標(biāo)準(zhǔn)。

1. API 可見性和監(jiān)控：你無(wú)法保護(hù)看不到的東西。為了防范安全風(fēng)險(xiǎn)，企業(yè)了解其 API 程序的所有方面及其相關(guān)的安全挑戰(zhàn)至關(guān)重要。這可以更好地幫助領(lǐng)導(dǎo)者通過(guò)適當(dāng)?shù)木徑獠呗愿纳破浣M織的安全狀況。

2. API 安全性：不同類型的應(yīng)用程序安全性。隨著企業(yè)繼續(xù)擴(kuò)大其 API 驅(qū)動(dòng)的應(yīng)用程序，他們發(fā)現(xiàn)傳統(tǒng)的 WAF 無(wú)法很好地適應(yīng)單體應(yīng)用程序的需求，無(wú)法滿足現(xiàn)代 API 驅(qū)動(dòng)的應(yīng)用程序的需求。

3. 威脅分析：在網(wǎng)絡(luò)攻擊發(fā)生時(shí)檢測(cè)它們。收集應(yīng)用程序內(nèi)所有點(diǎn)的數(shù)據(jù)交互可確保其全面了解所有用戶與應(yīng)用程序的交互。數(shù)據(jù)集越豐富，就越容易將惡意與合法用戶交易區(qū)分開來(lái)，并使企業(yè)的安全團(tuán)隊(duì)能夠盡快發(fā)現(xiàn)數(shù)據(jù)泄露。

快速變化的 API 驅(qū)動(dòng)應(yīng)用程序有助于加快產(chǎn)品上市速度，但也釋放了可被網(wǎng)絡(luò)犯罪分子快速利用的 API 漏洞。由于跨更復(fù)雜和分布式應(yīng)用架構(gòu)的快速變化，API 安全的要求與市場(chǎng)上現(xiàn)有的應(yīng)用安全產(chǎn)品有著根本的不同。在評(píng)估 API 安全解決方案時(shí)，一定要關(guān)注解決方案如何提供可見性、它對(duì)應(yīng)用程序的理解程度以及威脅分析的質(zhì)量和深度。

03

構(gòu)建數(shù)據(jù)成熟度模型和數(shù)據(jù)成熟度的四個(gè)階段

數(shù)據(jù)成熟度是對(duì)組織利用其數(shù)據(jù)的程度的衡量。為了實(shí)現(xiàn)高水平的數(shù)據(jù)成熟度，數(shù)據(jù)必須在組織中充分融入所有決策和實(shí)踐。數(shù)據(jù)成熟度通常分階段進(jìn)行衡量。數(shù)據(jù)成熟度是衡量組織數(shù)據(jù)分析先進(jìn)程度的指標(biāo)。為了創(chuàng)建數(shù)據(jù)成熟度模型，國(guó)外某公司研究以業(yè)務(wù)的六個(gè)方面：戰(zhàn)略、數(shù)據(jù)、文化、架構(gòu)、數(shù)據(jù)治理和采購(gòu)/入職作為入手，呈現(xiàn)出他們理解的數(shù)據(jù)成熟度的四個(gè)獨(dú)特階段。

階段1.探索者。剛剛開始使用數(shù)據(jù)的組織雖然可能將數(shù)據(jù)用于報(bào)告目的，但是臨時(shí)性的。

階段 2. 用戶。通過(guò)添加臨時(shí)數(shù)據(jù)集來(lái)幫助擴(kuò)大內(nèi)部數(shù)據(jù)源，使其成為在整個(gè)組織內(nèi)部使用數(shù)據(jù)的標(biāo)準(zhǔn)。他們對(duì)數(shù)據(jù)的反應(yīng)性使用有助于做出有洞察力的業(yè)務(wù)決策。

階段 3. 領(lǐng)導(dǎo)者。為了完成組織使命和業(yè)務(wù)成功，領(lǐng)導(dǎo)者除了使用自己的數(shù)據(jù)外，還使用第三方數(shù)據(jù)集。

階段 4. 創(chuàng)新者。數(shù)據(jù)不僅僅用于分析和觀察。事實(shí)上，作為創(chuàng)新者的組織正在使用數(shù)據(jù)來(lái)創(chuàng)建算法并預(yù)測(cè)他們?nèi)绾伪３诸I(lǐng)先地位。

數(shù)據(jù)是世界上增長(zhǎng)最快的資源之一，估計(jì)每天創(chuàng)建 2.5 萬(wàn)億字節(jié)。數(shù)據(jù)是當(dāng)今任何組織都可以使用的最有價(jià)值的資產(chǎn)之一。如果組織還不能充分利用數(shù)據(jù)，意味著正好可以開始自己的數(shù)據(jù)成熟度之旅。隨著可用數(shù)據(jù)量的不斷增長(zhǎng)并變得更易于訪問(wèn)，組織使用數(shù)據(jù)的方式——以及數(shù)據(jù)成熟——將繼續(xù)發(fā)展。

04

零信任對(duì)MSP意味著什么？

零信任已經(jīng)對(duì)客戶購(gòu)買的產(chǎn)品和服務(wù)類型產(chǎn)生了重大影響。然而，實(shí)施階段將需要數(shù)年時(shí)間，這意味著長(zhǎng)期的銷售潛力以及隨著時(shí)間的推移與客戶建立更牢固關(guān)系的可能性。尤其是所有托管服務(wù)提供商 (MSP)，他們的工作是將客戶利益與他們自己的利益相匹配。那么，MSP 應(yīng)該如何傳達(dá)零信任的價(jià)值呢？

1) 了解客戶驅(qū)動(dòng)力。隨著最近遠(yuǎn)程辦公的興起而變得更加強(qiáng)烈，這使人們認(rèn)識(shí)到周邊安全的局限性。組織被迫依賴端點(diǎn)安全和 VPN，并在可能的情況下改進(jìn)身份驗(yàn)證。

2) 零信任是為了降低風(fēng)險(xiǎn)。它提供了改進(jìn)網(wǎng)絡(luò)資源、用戶和數(shù)據(jù)管理的可能性，同時(shí)還能降低成本，使技術(shù)采用更加容易。

3) 零信任帶來(lái)競(jìng)爭(zhēng)優(yōu)勢(shì)。越來(lái)越多的組織認(rèn)識(shí)到，通過(guò)與服務(wù)提供商合作形成的一致的網(wǎng)絡(luò)安全戰(zhàn)略，使他們比落后的競(jìng)爭(zhēng)對(duì)手更具競(jìng)爭(zhēng)性市場(chǎng)優(yōu)勢(shì)。這遠(yuǎn)遠(yuǎn)超出了公認(rèn)的合規(guī)和監(jiān)管理念，后者的運(yùn)作時(shí)間更長(zhǎng)。在某些情況下，網(wǎng)絡(luò)安全現(xiàn)在甚至可能是生死攸關(guān)的問(wèn)題。

即使按照網(wǎng)絡(luò)安全行業(yè)大肆宣傳的標(biāo)準(zhǔn)，零信任 (ZT) 的興起和崛起也是一個(gè)不容忽視的現(xiàn)象。網(wǎng)絡(luò)安全領(lǐng)域的任何人都不能忽視這一層面的利益，尤其是所有托管服務(wù)提供商 (MSP)，他們的工作是將客戶利益與他們自己的利益相匹配。越來(lái)越多的 MSP 必須解決他們的服務(wù)如何與零信任網(wǎng)絡(luò)安全相吻合的問(wèn)題。MSP 受益于零信任，因?yàn)檫@意味著與客戶的長(zhǎng)期關(guān)系超越了傳統(tǒng)的銷售周期，在出現(xiàn)問(wèn)題后，MSP才會(huì)聯(lián)系客戶。?

05

從合規(guī)視角看工控安全防護(hù)體系建設(shè)

基于工控安全的監(jiān)管合規(guī)要求，工業(yè)企業(yè)應(yīng)根據(jù)自身生產(chǎn)設(shè)備及系統(tǒng)的實(shí)際情況，構(gòu)建一套從工業(yè)設(shè)備管理、到網(wǎng)絡(luò)安全防護(hù)再到綜合安全管理的三層防護(hù)體系：

1、 在工業(yè)設(shè)備管理層面，需要對(duì)對(duì)工業(yè)體系內(nèi)部的物理設(shè)備進(jìn)行管理，保證其運(yùn)行的安全問(wèn)題。針對(duì)工業(yè)系統(tǒng)及工業(yè)設(shè)備，企業(yè)需通過(guò)驗(yàn)證供應(yīng)商資質(zhì)、加密合同等方式，構(gòu)建安全的采購(gòu)供應(yīng)鏈路。

2、 網(wǎng)絡(luò)安全防護(hù)層則是通過(guò)部署安全產(chǎn)品，依照“一個(gè)中心三重防護(hù)”的安全要求進(jìn)行。安全防護(hù)是進(jìn)行工控安全體系建設(shè)的核心。安全防護(hù)能力建設(shè)可以分為針對(duì)計(jì)算環(huán)境的安全建設(shè)、對(duì)邊界的安全建設(shè)以及對(duì)網(wǎng)絡(luò)通訊的安全建設(shè)。

3、 安全管理是指建立相應(yīng)的組織架構(gòu)、管理體系，從制度維度做好工控安全防護(hù)。工業(yè)企業(yè)需構(gòu)建專門的工控安全組織管理部門，明確組織架構(gòu)，負(fù)責(zé)對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)安全的規(guī)劃、建設(shè)、實(shí)施。建立相應(yīng)的安全制度，以做到工業(yè)企業(yè)內(nèi)部的人員管理、配置管理及補(bǔ)丁管理，做到記錄和審計(jì)。

工業(yè)環(huán)境的特殊性造成了工業(yè)企業(yè)的安全建設(shè)不能照搬互聯(lián)網(wǎng)防護(hù)。當(dāng)前，我國(guó)工控安全還處于起步階段，工業(yè)領(lǐng)域整體防護(hù)水平有待提高，專業(yè)的工業(yè)安全人才缺乏。近年來(lái)，國(guó)家頒布的一系列網(wǎng)絡(luò)安全法律法規(guī)一方面對(duì)工業(yè)安全提出了要求，另一方面也對(duì)工業(yè)安全的建設(shè)提供了指導(dǎo)。工業(yè)企業(yè)應(yīng)根據(jù)自身的情況，由簡(jiǎn)入繁，以網(wǎng)絡(luò)安全提升生產(chǎn)安全，完成兩化融合的信息化改造，切實(shí)提升企業(yè)的生產(chǎn)能力。?

06

面對(duì)防不勝防的釣魚郵件攻擊，企業(yè)該如何防患于未然？

釣魚郵件通過(guò)模擬真實(shí)郵件來(lái)進(jìn)行網(wǎng)絡(luò)攻擊，模擬釣魚演練則是通過(guò)模擬釣魚郵件讓人員實(shí)景學(xué)習(xí)釣魚郵件的防范要點(diǎn)。具體包括：

1、如果郵件發(fā)件人賬戶名稱是某機(jī)構(gòu)，但地址欄中顯示的卻是個(gè)人賬號(hào)，同時(shí)檢查“收件人”及“抄送人”的地址欄。看其發(fā)送的對(duì)象中是否有你不認(rèn)識(shí)或者不和你在一起工作的人。

2、對(duì)使用“親愛的用戶”或者一些泛化問(wèn)候的郵件保持警惕。如果某個(gè)可信機(jī)構(gòu)有必要聯(lián)系你，他們應(yīng)該會(huì)知道你的名字和信息。同樣也要問(wèn)問(wèn)自己，該公司為什么會(huì)發(fā)郵件給你。

3、對(duì)任何制造緊急氛圍的郵件都要提高警惕，如要求“請(qǐng)?jiān)诮袢障掳嗲皠?wù)必完成升級(jí)操作”這是讓人在慌忙之中犯錯(cuò)的慣用手段。

4、將鼠標(biāo)放在鏈接處，會(huì)顯示真實(shí)網(wǎng)址。如果顯示的真實(shí)網(wǎng)址與郵件中所列出的鏈接網(wǎng)址不同，這就很可能是一次釣魚攻擊。

5、對(duì)附件保持警惕，如內(nèi)容包含文檔、圖片、壓縮包、腳本程序（exe、vbs、bat）等，在確認(rèn)郵件可信之前一定不要點(diǎn)擊附件。

Verizon 2021年數(shù)據(jù)泄露調(diào)查報(bào)告發(fā)現(xiàn)，在所有數(shù)據(jù)泄露事件中有25%涉及網(wǎng)絡(luò)釣魚。Proofpoint 2022年網(wǎng)絡(luò)釣魚威脅狀態(tài)報(bào)告顯示，2021年有83%的企業(yè)成為網(wǎng)絡(luò)釣魚攻擊的受害者。釣魚郵件攻擊如此普遍，關(guān)鍵在于釣魚郵件攻擊的高成功率，這種網(wǎng)絡(luò)攻擊很容易被攻擊機(jī)器人反復(fù)復(fù)制和自動(dòng)化。雖然許多人相信自己在收到一封網(wǎng)絡(luò)釣魚電子郵件時(shí)會(huì)識(shí)別出來(lái)，但事實(shí)是他們通常做不到。

07

攻擊面管理——網(wǎng)絡(luò)安全運(yùn)營(yíng)技術(shù)革新

賽迪顧問(wèn)發(fā)布的《中國(guó)攻擊面管理市場(chǎng)白皮書》中指出，攻擊面管理（ASM）是一種從攻擊者視角對(duì)企業(yè)數(shù)字資產(chǎn)攻擊面進(jìn)行檢測(cè)發(fā)現(xiàn)、分析研判、情報(bào)預(yù)警、響應(yīng)處置和持續(xù)監(jiān)控的資產(chǎn)安全性管理方法，其最大特性就是以外部攻擊者視角來(lái)審視企業(yè)所有資產(chǎn)可被利用的攻擊可能性，而這里的所有資產(chǎn)包含已知資產(chǎn)、未知資產(chǎn)、數(shù)字品牌、泄露數(shù)據(jù)等等一系列可存在被利用的風(fēng)險(xiǎn)的資產(chǎn)內(nèi)容。企業(yè)實(shí)施攻擊面管理時(shí)需要考慮一些最佳實(shí)踐，以最大限度地減少漏洞，并降低安全風(fēng)險(xiǎn)。

· 繪制攻擊面。部署適當(dāng)?shù)姆烙仨毩私獗┞读四男?shù)字資產(chǎn)、攻擊者最有可能入侵網(wǎng)絡(luò)的位置以及需要部署哪些保護(hù)措施。因此，提高攻擊面的可見性并構(gòu)建對(duì)攻擊漏洞的有力呈現(xiàn)至關(guān)重要。?

· 最小化漏洞。一旦企業(yè)繪制完成他們的攻擊面，就可以立即采取行動(dòng)減輕最重要的漏洞和潛在攻擊媒介帶來(lái)的風(fēng)險(xiǎn)，然后再繼續(xù)執(zhí)行較低優(yōu)先級(jí)的任務(wù)。在可能的情況下使資產(chǎn)離線并加強(qiáng)內(nèi)部和外部網(wǎng)絡(luò)是值得關(guān)注的兩個(gè)關(guān)鍵領(lǐng)域。

企業(yè)實(shí)施攻擊面管理時(shí)還需要考慮：建立強(qiáng)大的安全實(shí)踐和政策。嚴(yán)格遵循一些久經(jīng)考驗(yàn)的最佳安全實(shí)踐將大大減少企業(yè)的攻擊面。這包括實(shí)施入侵檢測(cè)解決方案、定期進(jìn)行風(fēng)險(xiǎn)評(píng)估以及制定明確有效的政策。隨著IT基礎(chǔ)設(shè)施的變化以及攻擊者的不斷發(fā)展，強(qiáng)大的網(wǎng)絡(luò)安全計(jì)劃同樣需要進(jìn)行不斷地調(diào)整。這就需要持續(xù)監(jiān)控和定期測(cè)試，后者通常可以通過(guò)第三方滲透測(cè)試服務(wù)實(shí)現(xiàn)。?