F5程师预计2023年多重身份验证将失去效力

　　12月26日，新的2023年即将到来，F5安全操作中心（SOC）工程师们预测了2023年将出现的五大网络安全风险，进而为企业提供前瞻性的洞察分析，为网络安全保驾护航。

　　威胁一：身影API将带来不可预测的漏洞

　　今日，应用程序接口（APIs）正在迅速普及。移动应用的结合、组织间的信息共享和应用程序自动化的增加，促使2021年通过11.3亿个请求API以开发者工具为中心Postman提交。然而，根据Postman发布的API根据情况报告，48%的调查人员承认每月至少处理一次API安全事故。

　　就像网络安全的各个方面一样，你不能保证未知的内容。F5觉得，身影API它代表着日益增长的风险，可能导致大规模的数据泄露，而被侵犯的组织甚至不知道这种风险的存在。

　　到目前为止，许多企业还不准确API因此，库存清单造成了一种新的威胁方式，即"身影API"。拥有完善API开发过程的公司将存储一个API理想状态下，库存清单的资产目录将包括所有可用资产API节点信息、可接受参数细节、认证和授权信息等。然而，许多企业没有，因为他们没有。API生产中的库存清单API并受益于持续研发API它将偏离它在列表中的原始定义。在这两种情况下，组织不可见的公开会发生API，这些API被称作"身影API"许多应用程序都会通过"身影API"被打破，公司对这些API知之甚少，甚至没有意识到。

　　威胁二:多重身份认证将失效

　　在F在发布的《2020网络钓鱼与欺诈报告》中，F演示攻击者如何使用即时钓鱼攻击代理绕过多个身份认证（MFA）系统。在即时钓鱼攻击代理攻击中常用的虚假网站中，攻击者收集了6位数MFA验证码，并用它来验证真正的目标网站。因为攻击是即时发生的，包括短信、手机认证应用，甚至令牌MFA无法击败即时钓鱼攻击代理。自2020年以来，F5继续分享绕开MFA技术增长趋势报告，从对话器重攻击到可盗MFA代码移动恶意程序，帮助企业有效避免黑客攻击。

　　为了减少MFA阻力，许多新的解决方案依赖于推送通知。当客户试图登录系统时，现代解决方案不要求他们手动输入多因素认证代码，而是向用户的注册手机发送推送通知，要求他们允许或拒绝登录操作。

　　可是，MFA疲劳攻击只会变得越来越频繁和有效。这种攻击的目的是通过大量的认证请求骚扰受害者，并允许他们意外或无助地通知请求。这种攻击也给公司带来了直接的风险，因为员工通常是最有可能受到社会工程攻击的威胁媒介。MFA作为一种关键的安全管理，它可以用来防止未经授权访问关键资产。通常，公司会忽略破解密码，或使用要求较低的密码类型，因为有额外的，如MFA补偿性控制。适用于补偿性控制。MFA钓鱼攻击工具包和MFA炸弹攻击打破了这种补偿控制，再次突出了密码、深层防御和零信任结构的必要性。在这种结构中，企业和个人的安全应该考虑更多的因素。

　　网络安全领域的大部分情况都是防御者和攻击者之间的军备竞赛，认证方法也是如此。目前，攻击者正在使用各种技术来适应MFA解决方案包括误植域名、账户接管、MFA设备欺诈和社会工程。因此，应用程序和网络防御者正在考虑下一步的应对策略。目前，人们对生物识别和认证持怀疑态度，因为指纹和其他生物特征不能改变，所以很容易被盗。然而，这种行为更难被用来欺骗，通常是针对用户的行为，尤其是在规模上。这可能包括常见的行为，如浏览器和地理位置、网站导航模式、停留时间和其他用户行为，如双击速度、鼠标移动模式、打字速度等。

　　短期内，在线快速身份验证（FIDO）联盟的通行卡解决方案可能是第一个真正有效改进社会工程攻击的方法，因为认证用户的加密密钥是基于他们正在浏览的网站。这项新技术能被普通用户选择多快，还有待观察。

　　威胁3：云部署故障处理将带来更多问题

　　预测云部署的安全事故听起来很常见，但随着云应用违规频率的增加和规模的巨大，F我认为这是一个值得重申的问题。就像一样。F5在《2022年应用程序保护报告》中强调，大多数云事件都与配置错误有关，通常是过于广泛的密钥管理。因此，虽然看起来很容易做到，但F5安全操作中心（SOC）工程师们仍然发现了许多非法操作来帮助补救云应用，并意识到这些问题的原因。

　　事实上，许多云客户致力于为客户和网络设置准确的密钥管理，无论是事故还是故障处理。2022年，F5SOC经常看到客户通过内置身份和浏览管理建立临时服务用户（IAM）策略或内联策略被广泛分配。这些临时用户的建立一般是为了消除问题，或者是为了重新启动和运行依赖特定客户或角色的应用程序。F5经常看到这种临时配置变成永久配置，回滚变化变得更加困难。此外，如果用户有长期固定的凭证，而不是短期凭证，那么这些凭证也可能以某种方式被盗或泄露。

　　威胁四：开源软件库将成为攻击的主要目标

　　软件越来越相互依赖，许多应用程序和服务都是基于开源代码库构建的，但很少有公司能准确地显示每个数据库。随着防御者的加强应用程序"周边"(即面向公众的网络应用和API），威胁者自然会关注其他媒体。攻击目标逐渐变成应用中的第三方代码、代码库和服务。在硬件和软件代码库中，高达78%的代码由开源代码库组成，而不是内部开发。作为攻击者，如果你知道超过四分之三的应用程序代码是由开源代码库维护的，那么以这些代码库为目标是非常合理的。

　　近年来，F5发现了越来越多的攻击方式，对依赖开源软件库的公司构成威胁：

　　•开发者账户被泄露，一般是因为缺乏MFA，导致恶意程序插入库和谷歌浏览器扩展程序的广泛应用；

　　•木马攻击和误植域名攻击，威胁者开发的工具看起来很有攻击性，或者名称与广泛使用的开源软件库非常相似；

　　•开源软件库的原作者故意以黑客入侵的方式插入毁灭性和其他恶意程序。

　　显然，上述行为的出现给应用程序开发的发展带来了新的挑战。许多现代应用使用软件即服务。（SaaS）安全防范，如集中认证，数据库即服务或数据泄露保护（DLP）。攻击者可以破坏开源软件（OSS）应用程序消耗的代码库或代码库SaaS商品，然后攻击者在应用程序中有一个立足点，可以绕过如Web应用防火墙和API网关的外围防御，然后进行攻击。

　　这个立足点可以用于不同形式的水平移动（如远程外壳、监控、数据泄露）。因此，软件开发人员希望应用程序组成的组件具有更强的可见性，最重要的是列出所有软件组件的软件材料清单（SBoM）。这将使软件产品的终端用户能够更快、更高效地确定漏洞是否会影响产品。

　　但同时，SBoM一般的选择也会带来大量的技术债务。公司将不得不进行一些重大的内部投资，使旧系统达到最新水平，修复1000多个漏洞，或考虑重新开始创建新一代产品。当然，客户总是接受他们选择的商品中有很多未修复的漏洞，因为它们都是相似的。因此，企业需要对产品进行全面的创新，而不是忽视它们。

　　对于未披露的漏洞或零日漏洞，测试攻击者的最佳机会是观察软件组件与服务内部应用程序之间的内部东西方向流量和基础设施，即服务（IaaS）交互技术。如今，这些交互可以被云安全情况管理（基础设施）、云工作负载保护平台（跨平台）、应用程序检测和响应（网络层）感知；这些单独的市场需要整合以提供一个整体视图，这是高效和准确地检验应用程序内部威胁所必需的。

　　威胁5：勒索软件将进一步扩展

　　现在加密恶意程序泛滥了。然而，就像MITRE公共知识库框架中提到的对抗战略、技术和勒索软件并非全部"影响加密数据"。F恶意程序是2021年公司数据泄露的主要原因，包括非加密类型。攻击者的关键是渗透或窃取数据。一旦他们掌握了这些信息，他们就可以通过不同的方式获得好处。

　　F5SOC发现数据库的勒索软件正在增长。有组织的网络欺诈将继续开发勒索软件技术，并特别关注关键基础设施。未来一年，由于企业和政府的关键数据，对云数据库的勒索软件攻击将大幅增加。与传统的恶意程序在文件系统中加密文件不同，数据库勒索软件可以在数据库中加密数据。

　　同时，攻击者将通过各种欺诈和下游欺诈欺诈和下游欺诈（如申请新信用卡）直接从受影响的个人身上获取漏洞数据。从攻击者的态度来看，如果盗窃客户的个人信息不能通过勒索被破坏的组织（如赎金、威胁知识产权释放等）来赚钱，那么他们的目标就会转移到个人身上。