盤點Black Hat 2022：企業網絡安全五大新趨勢

上周在拉斯維加斯舉行的Black Hat2022大會連續第25年通過調查分析和報告大規模安全漏洞和網絡攻擊為業界敲響警鐘，指明方向。本屆Black Hat大會揭示了企業網絡安全的重大趨勢：企業的網絡攻擊的“爆炸半徑”將繼續增長，并延伸到軟件供應鏈、開發運營和技術堆棧的幾個層面。企業的技術堆棧正面臨更復雜、更具破壞性的網絡攻擊的風險。

技術堆棧越復雜，越依賴隱含的信任，就越有可能被黑客入侵。這是美國網絡安全和基礎設施安全局(CISA)前任創始主任克里斯·克雷布斯(Chris Krebs)上周在Black Hat 2022會議上向觀眾發表的幾條信息之一。Krebs提到，漏洞通常始于構建過于復雜的技術堆棧，這些堆棧為網絡犯罪分子創造了更多攻擊面，然后試圖加以利用。

Krebs還強調了軟件供應鏈安全的重要性，并解釋說企業和全球政府沒有采取足夠的措施來阻止類似SolarWinds的另一次大規模供應鏈攻擊。提供軟件產品的公司同時也在提供攻擊目標。”他指出。

以下，我們整理了Black Hat2022主題演講和廠商發布中包含的企業網絡安全重大趨勢：

一、企業安全：不斷擴大的爆炸半徑

基礎設施、devops和企業軟件漏洞是Black Hat2022企業安全專場的關注焦點。此外，如何改進身份訪問管理(IAM)和特權訪問管理(PAM)、阻止勒索軟件攻擊、減少Azure Active Directory (AD)和SAP HTTP服務器攻擊以及軟件供應鏈安全也都是熱門話題。

持續集成和持續交付(CI/CD)管道是軟件供應鏈最危險的攻擊面。盡管許多企業盡最大努力將網絡安全集成到devops流程的核心部分，但CI/CD軟件管道仍然可以破解。

企業安全會議上的幾場演講探討了網絡犯罪分子如何使用遠程代碼執行(RCE)和受感染的代碼存儲庫侵入軟件供應鏈。其中一個會議特別關注高級黑客如何使用代碼簽名假冒devops團隊成員。

另一個值得關注的會議主題是關于黑客如何快速使用源代碼管理(SCM)系統在整個企業中實現橫向移動和權限升級，感染存儲庫并大規模訪問軟件供應鏈（下圖）。

軟件供應鏈攻擊風險：源代碼管理系統面臨的安全威脅

隨著網絡犯罪分子技能的不斷提高，企業技術堆棧也正成為更容易得手的目標。其中一個演講介紹了黑客利用外部身份鏈接繞過多因素身份驗證(MFA)和條件訪問策略來對Azure AD用戶帳戶進行后門和劫持操作，導致企業在數分鐘內失去對其技術堆棧核心部分的控制。

在SAP專有HTTP服務器的專項研討會上，專家們介紹了網絡犯罪分子如何利用高級協議利用技術利用SAP HTTP服務器中發現的兩個內存損壞漏洞（CVE-2022-22536和CVE-2022-22532）這兩個漏洞可被遠程利用，未經身份驗證的攻擊者可以利用它們來破壞全球任何SAP系統。

惡意軟件攻擊威脅在整個企業安全領域中不斷升級，攻擊者能夠繞過依賴隱式信任的技術堆棧并破壞基礎設施和網絡。使用機器學習(ML)來識別潛在的惡意軟件攻擊并使用先進的分類技術在攻擊發生之前就阻止它們是一個非常具有吸引力的研究領域。微軟安全軟件工程師Dmitrijs Trizna介紹了基于Windows內核仿真增強機器學習的惡意軟件分類技術，這是一種混合ML架構，該架構同時利用靜態和動態惡意軟件分析方法。

二、網絡安全供應商的關注焦點：人工智能、API和供應鏈安全

超過300家網絡安全供應商在Black Hat 2022上亮相，大多數新產品發布都集中在API安全以及軟件供應鏈安全領域。

CrowdStrike在Black Hat上發布了業界首創的基于AI的IOA（攻擊指標），結合了云原生ML和人類專業知識，這標志著網絡安全業界正在利用AI和ML快速完善平臺戰略。IOA已被證明可以有效地根據實際的對手行為來識別和阻止違規行為，而與攻擊中使用的惡意軟件或漏洞無關。

CrowdStrike的人工智能驅動的IOA能夠利用CrowdStrike Security Cloud遙測數據訓練的云原生ML模型，以及公司威脅搜尋團隊的專業知識。使用AI和ML以機器速度分析IOA，提供企業阻止網絡攻擊所需的準確性、速度和規模。

CrowdStrike首席產品和工程官Amol Kulkarni表示：“憑借行業領先的攻擊能力指標，我們在阻止最復雜的攻擊方面處于領先地位，這標志著安全團隊預防威脅的方式發生重大改變：根據對手行為而不是善變的指標。現在，我們通過添加AI驅動的攻擊指標再次改變游戲規則，這使組織能夠利用CrowdStrike安全云的力量以機器速度大規模檢查對手行為，以最有效的方式阻止攻擊行為。”

人工智能驅動的IOA已識別出20多種前所未見的對手模式，專家已在Falcon平臺上驗證并實施這些模式，以實現自動檢測和預防。

工程咨詢公司Cundall的首席信息官Lou Lwin說。“今天，攻擊變得越來越復雜，如果它們是基于機器的攻擊，那么操作員就無法跟上瞬息萬變的威脅形勢。因此，您需要基于機器的防御和了解安全性并非‘一勞永逸’的長期戰略合作伙伴。”

CrowdStrike展示了AI驅動的IOA用例，包括利用AI識別惡意行為和代碼的后利用有效負載檢測和PowerShell IOA。

圖片來源：CrowdStrike

AI生成的IOA使用基于云的ML和實時威脅情報來加強現有防御，在運行時分析事件并將IOA動態發布到傳感器。然后，傳感器將AI生成的IOA（行為事件數據）與本地事件和文件數據相關聯，以評估惡意行為。CrowdStrike表示，人工智能驅動的IOA與現有的傳感器防御層異步運行，包括基于傳感器的ML和IOA。

三、API安全是一個戰略弱點

很多網絡安全供應商看到了幫助企業解決API安全挑戰的機會，推出新API安全解決方案的供應商包括Canon Security、Checkmarx、Contrast Security、Cybersixgill、Traceable和Veracode。

在這些新產品中，值得注意的是Checkmarx的API安全方案，它是其著名的Checkmarx One平臺的一個組件。Checkmarx以其在保護CI/CD流程工作流方面的專業知識而聞名。Checkmark的APISecurity安全方案可以識別僵尸API和未知（影子）API，執行自動API發現和清點，并執行以API為中心的修復。

此外，Traceable AI宣布對其平臺進行多項改進，包括識別和阻止惡意API機器人，識別和跟蹤API濫用、欺詐和誤用，以及預測整個軟件供應鏈中的潛在API攻擊。

四、在供應鏈攻擊開始之前阻止它們

在參加Black Hat的300多家供應商中，大多數擁有CI/CD、devops或零信任解決方案的供應商都推出了能夠阻止潛在供應鏈攻擊的解決方案，這也是本次Black Hat大會炒作熱度最高的主題。軟件供應鏈風險變得如此嚴重，以至于美國國家標準與技術研究院(NIST)正在更新其標準，包括NIST SP 1800-34，重點關注供應鏈安全不可或缺的系統和組件。

供應鏈安全專家Cycode宣布已為其平臺添加了應用程序安全測試(SAST)和容器掃描功能，并引入了軟件組合分析(SCA)。

Veracode以其在安全測試解決方案方面的專業知識而聞名，為其持續軟件安全平臺引入了新的增強功能，包括軟件物料清單(SBOM)API、對軟件組合分析(SCA)的支持以及對包括PHP Symfony、Rails在內的新框架的支持7.0和Ruby 3.x。

五、開放網絡安全架構框架(OCSF)可滿足企業安全需求

CISO對端點檢測和響應(EDR)、端點管理和安全監控平臺最常見的抱怨是：沒有用于跨平臺啟用警報的通用標準。18家領先的安全供應商合作應對這個挑戰，開發了開放網絡安全架構框架(OCSF)項目。該項目包括一個開放規范，該規范能夠跨廣泛的安全產品和服務實現安全遙測的規范化。此外，開源工具也可用于支持和加速OCSF模式的采用。

安全供應商AWS和Splunk是OCSF項目的聯合創始人，該項目還得到了CrowdStrike、Palo AltoNetworks、IBM Security和其他公司的支持。其目標是不斷開發支持OCSF規范的新產品和服務，使來自網絡監控工具、網絡記錄器和其他軟件的警報標準化，以簡化和加快對數據的解釋。

CrowdStrike首席技術官Michael Sentonas表示：“在CrowdStrike，我們的使命是阻止違規行為并提高組織的生產力。我們堅信共享數據模式的概念，它使企業能夠理解和消化所有數據，簡化其安全運營并降低風險。”