2022黑帽大會:關注供應鏈安全與資產漏洞管理
8月初,2022年黑帽大會(Black Hat 2022) 在拉斯維加斯召開。作為安全行業技術大會,黑帽大會及其姊妹會議 DEF CON以展示硬件和傳統軟件漏洞而聞名。
在今年的第25屆大會上,參會者在聆聽關于這類漏洞分享的同時,也有更多機會聆聽和探討對開發者、開源軟件和底層基礎設施的威脅、漏洞和潛在攻擊——這標志著威脅格局的轉變及對軟件供應鏈的安全威脅日益突出。
在大會上,安全廠商還展示了零信任、擴展檢測和響應 (XDR) 以及威脅和漏洞管理等產品。
短期看空、長期看好
美國網絡安全和基礎設施局 (CISA) 前主任克里斯·克雷布斯 (Chris Krebs )是黑帽大會第一天的主題演講人。他在演講中表示,網絡安全狀況在短期內會變得更糟,但安全行業在未來3~5年內將會有效應對安全挑戰。
攻擊者的低門檻和IT 系統日益復雜是兩大主要原因。疫情加速云的部署,進一步降低了可見性、增加了復雜性。很多云設施上的應用在開發設計方面的安全性不高,比如人力資源、工資單和業務管理。擴大的攻擊面使攻擊者更容易獲得想要的東西。此外,現在網絡攻擊者的進入壁壘幾乎消失了,他們現在可使用國家攻擊組織使用的漏洞利用。
克雷布斯警告,如果網絡安全行業在技術上跟不上攻擊者的步伐,未來的網絡犯罪將是無窮無盡。
克雷布斯督促安全技術企業重新開發解決核心安全問題的產品——必須解決最常見和最持久的安全問題。“安全技術供應商正在努力解決基礎設施中的核心問題,但還沒有達到需要的速度。”
克雷布斯還建議政府重新思考與技術互動的方式。“過去 25 年中,我們的數字環境在發生了巨大的變化,而政府卻沒有跟上步伐。現在的監管不一定有效:過度依賴清單和合規,而不是基于實戰效果。”
克雷布斯建議政府應該利用其作為消費者、執法者、防護者和推動者的角色。例如,美國國防部作為作為消費者,是大型科技公司的最大客戶,擁有令人難以置信的購買力,必須進行有效利用。
軟件供應鏈安全最受關注
軟件供應鏈安全是Black Hat 2022的熱點話題。
向云原生開發的轉移,以及采用 DevOps 流程帶來的開發速度加快,使得與保護軟件供應鏈相關的挑戰變得無限復雜。對 SolarWinds 和 Kaseya 等公司的軟件供應鏈成功攻擊,促使攻擊者加強對軟件構建和分發環境的攻擊。
在過去的 12 個月中,供應鏈攻擊的數量和復雜程度急劇增加,成為行業關注焦點。CIO 越來越關注對軟件供應鏈的成功網絡攻擊可能導致嚴重的業務中斷、收入損失、數據盜竊和客戶損害。
黑帽大會對與會網絡安全專業人士的調查報告顯示,對云服務攻擊、勒索軟件和全球供應鏈日益增長風險憂慮尤其突出。60% 參會者擔心第三方系統和應用中的漏洞,55% 的參會者擔心云或網絡服務中的漏洞,47% 參會者擔心現成商業軟件中的漏洞。61% 的安全專業人員對 Microsoft Exchange 和其他非定制應用中的漏洞表示關注,
Cybereason 首席安全官 Sam Curry表示,大多數供應鏈漏洞都存在于被利用的網絡中,但目前還不可見。另一只鞋是否會落下或變得更可預測還有待觀察。卡巴斯基首席安全研究員庫爾特·鮑姆加特納 (Kurt Baumgartner) 發現,APT 組織可能也已將注意力轉向通過供應鏈來破壞感興趣的目標。
今年舉辦的首屆創新聚光燈比賽(類似于RSAC的創新沙盒比賽),軟件供應鏈安全公司Phylum擊敗其他三家網絡安全初創公司奪冠 。Phylum 聯合創始人兼總裁 Peter Morgan介紹,公司專注于提升開源軟件包的安全性,使用對風險指標的演繹分析來創建 “軟件包信用評分”。
在黑帽大會上, 安全公司Cycode對供應鏈安全管理平臺進行升級,增加軟件組合分析 (SCA)、靜態應用程序安全測試 (SAST) 和容器掃描功能等新功能。所有新組件都將添加到 Cycode 的知識圖譜,可以結構和關聯來自軟件開發生命周期工具和不同階段的數據,以使程序員和安全專業人員能夠了解風險并協調對威脅的響應。
NCC 集團的研究人員認為, CI/CD 管道本身對組織構成重大風險,是一個危險的攻擊面。
NCC 集團研究人員 Iain Smart 和 Viktor Gazdag 的演講—— RCE 即服務:從 5 年真實世界 CI/CD 管道妥協中吸取的教訓,將 CI/CD 管道描述為“軟件供應鏈中最危險的潛在攻擊面”。他們認為,這些開發平臺是任何公司 IT 基礎設施皇冠上的明珠,卻幫助攻擊者將加快軟件開發的工具變成惡意的“遠程代碼執行即服務”平臺。
開源網絡風險成中心主題
軟件行業高度依賴開源軟件來促進開發,目前通過開源平臺和代碼實施的威脅和攻擊日益普遍,作為供應鏈安全子話題,開源網絡風險成為今年黑帽大會的另一個中心主題也就不足為奇了。
Synopsys 公司的數據顯示,2021 年的軟件應用依賴 500 多個開源庫和組件,這一數字在兩年內增長了 77%。這已經引起了攻擊者的關注:嚴重依賴 PyPi 和 npm 等開源存儲庫的開發人員(和開發團隊)已發生多起軟件供應鏈攻擊。FortiGuard Labs 研究人員指出,從2021年第一季度到第四季度,ELF 和其他 Linux 惡意軟件檢測的發生率在 2021 年翻了一番。
Black Hat 的議程探討了開源代碼帶來的風險并提出了補救措施。研究人員 Jonathan Leitschuh、Patrick Way 和 Shyam Mehta 在演講中分享開源安全中的一個關鍵問題:如何擴展安全響應,以應對 GitHub 等大型開源平臺的挑戰。現代工具使我們能夠自動化漏洞掃描和識別,但最終的輸出結果給評估和響應人員帶來挑戰。研究人員提出了自動批量拉取請求生成,以及 Netflix 開發的 OpenRewrite 等工具解決方案,可以幫助安全團隊改進安全響應。
安全研究人員表示,Linux 等開源軟件運行于很多網絡的后端系統,以及物聯網設備和關鍵任務應用解決方案。隨著 Linux 部署的擴大,針對它的攻擊也將增加。
安全專家認為,機構必須立即采取行動。強化 Linux 系統和操作技術環境。這包括添加實時保護、檢測和響應威脅工具,以及部署集成的安全防護方案。
云安全與資產漏洞管理成為焦點
在云環境下,企業的攻擊面也日趨擴大和復雜。企業數字資產及漏洞風險管理也成為大會的熱門話題之一。
在黑帽大會期間,SentinelOne公司公布了與 Armis 的新集成——Singularity 擴展檢測和響應 (XDR) 平臺集成到 Armis 資產情報平臺中。此次合作有助于保護機構免受現代威脅,提供跨端點、云、移動、物聯網、運營技術 (OT) 設備等方面無與倫比的可見性和風險降低。
Armis 是一家專門提供統一資產情報的領先平臺。公司聯合創始人兼首席技術官 Nadir Izrael 表示,Armis幫助客戶管理漏洞并優先處理最關鍵的問題。目前,自動化漏洞管理成為 Armis增長最快的業務領域,幫助許多金融服務公司確定哪些資產易受最新漏洞影響。
就安全運營來說,上下文、可見性和資產覆蓋范圍對減少攻擊面絕對至關重要。XDR 平臺與資產情報平臺的集成將有助于緩解資產可見性和控制方面的挑戰,特別是在醫療保健、制造和關鍵基礎設施垂直領域。
安全公司Darktrace 則通過 收購 Cybersprint 進入攻擊面管理領域,通過為機構提供與黑客相同的外部視圖來防止攻擊。公司戰術風險和響應副總裁 Justin Fier介紹,該公司的技術將幫助組織解決外部暴露面增加的問題,并主動思考如何阻止攻擊,而不僅僅是對檢測到的異常活動做出反應。借助攻擊面管理工具可以實現超越網絡的可見性,并實現風險面減少。依靠年度滲透測試和紅隊演習來評估攻擊面的方法無法實時捕捉啟動新系統。
黑帽大會上,與會者對云安全同樣極其關注。目前云安全已成為安全公司SentinelOne 業務中增長最快的部分,甚至吸引到選擇了其他廠商的端點安全方案的客戶。
公司聯合創始人兼首席執行官 Tomer Weingarten 表示,SentinelOne 專注于云工作負載保護,在性能和部署方面優于競爭對手,因為不需進入內核或侵入式集成,無需繁瑣的部署即可實現對云、Linux 和 Kubernetes 環境的可見性和安全保護。
目前SentinelOne正在尋求關鍵功能擴展,例如云安全態勢管理(CSPM)和云基礎設施授權管理 (CIEM)。
在針對安全項目的部署意向方面,根據對黑帽大會與會者的項目預算調查,云安全態勢管理(CSPM)、元原生應用保護平臺(CNAPP)、API 安全等必備項目在快速增長。同時,隨著機構意識到沒有資源為其 SOC 配備人員,托管檢測和響應仍然非常熱門。
