世界看熱訊：F5預計2023年影子API將帶來不可預知的漏洞

【TechWeb】12月26日消息，全新的2023年就將到來，F5安全運營中心（SOC）的工程師們預測了2023年會出現的五大網絡安全風險，從而為企業提供前瞻性洞察分析，為網絡安全保駕護航。

威脅一：影子API將帶來不可預知的漏洞

今天，應用程序接口（APIs）正在迅速普及。移動應用的融合、組織間的數據共享以及不斷增加的應用程序自動化，使得在2021年有11.3億個請求通過以API為中心的開發者工具Postman提交。然而，根據Postman發布的API狀況報告中顯示，48%的調查對象承認每月要處理至少一次API安全事件。

(資料圖)

與網絡安全的所有方面一樣，你無法為未知內容提供保障。F5認為，影子API代表了一種日益增長的風險，可能會導致大規模數據泄露，而受到侵害的組織甚至不知道這種風險的存在。

時至今日，許多企業沒有準確的API庫存清單，因此導致了一種新的威脅形式，即“影子API”。擁有成熟API開發流程的企業會保存一個API庫存清單的資產目錄，理想狀態下會包含所有可用的API端點信息、可接受參數的細節、認證和授權信息等。然而，許多企業由于沒有API庫存清單，生產中的API和受益于持續開發的API將會偏離于它們在清單中的原始定義。在這兩種情況下都會出現組織不可見的公開API，這些API被稱為“影子API”，而許多應用會通過“影子API”被攻破，而企業對這些API了解甚少，甚至毫無察覺。

威脅二：多重身份驗證將失去效力

在F5發布的《2020網絡釣魚和欺詐報告》中，F5演示了攻擊者如何使用實時網絡釣魚代理來繞過多重身份驗證（MFA）系統。在實時網絡釣魚代理攻擊中使用的虛假網站中，攻擊者收集了常見的6位數MFA驗證碼，并用它來驗證真正的目標網站。由于攻擊是實時發生的，包括短信、移動端認證應用，甚至令牌在內的MFA方法都沒有能夠打敗實時網絡釣魚代理。自2020年以來，F5持續分享了繞過MFA的技術增長趨勢報告，從會話重用攻擊到可竊取MFA代碼的移動惡意軟件，幫助企業高效規避網絡攻擊。

為了減少MFA阻力，許多新的解決方案依賴于推送通知。當用戶試圖登錄一個系統時，現代解決方案不是要求他們手動輸入多因素認證代碼，而是向用戶的注冊手機發送推送通知，要求他們允許或拒絕登入操作。

但是，MFA疲勞攻擊只會越來越頻繁和有效。這種攻擊的目的是通過用大量的認證請求騷擾受害者，使他們意外或無奈地允許通知請求。這種類型的攻擊將為公司帶來直接的風險，因為員工通常是最容易受到社交工程攻擊的威脅載體。除此之外，MFA作為一項關鍵的安全控制，可用于阻止對關鍵資產的未授權訪問。通常情況下，公司會忽略被破解的密碼，或使用要求較低的密碼類型，因為有額外的如MFA的補償性控制。適用于MFA的網絡釣魚工具包和MFA炸彈攻擊破除了這種補償性控制，并再次凸顯了口令、深度防御和轉向零信任架構的重要性，在這種架構中，企業及個人的安全還需要考慮更多因素。

網絡安全領域的大部分情況都是防御者和攻擊者之間的軍備競賽，認證方法也不例外。當前，攻擊者正在使用各種技術來適應MFA解決方案，包括誤植域名、賬戶接管、MFA設備欺詐和社交工程。因此，應用和網絡防御者正在考慮下一步的應對策略。目前，人們對生物識別認證持懷疑態度，因為指紋等生物特征是不可改變的，所以容易被竊取。然而，行為則更難被用于欺騙，通常是針對用戶的行為，尤其是在規模上更是如此。這可能包括普遍的行為動作，如使用過的瀏覽器和所獲取的地理位置，網站的導航模式、停留時間等針對應用的行為，以及諸如雙擊速度、鼠標移動模式、打字速度等用戶行為。

短期內，在線快速身份認證（FIDO）聯盟的通行證解決方案可能是第一個真正有效緩解社交工程攻擊的方法，因為用于認證用戶的加密密鑰是以他們正在訪問的網站地址為基礎的。這項新技術能多快被普通用戶所采用，仍有待觀察。

威脅三：云部署故障排除將帶來更多問題

預測云部署的安全事件，聽起來是老生常談，但隨著云應用的違規頻率不斷增加，且規模巨大，F5認為這是值得重申的問題。正如F5在《2022應用保護報告》中強調的那樣，大多數云事件都與配置錯誤有關，通常是過于廣泛的訪問控制。因此，雖然可能看起來是能輕易做到的事情，但F5安全運營中心（SOC）的工程師們依然發現了很多幫助補救云應用的違規行為，并認識到這些眾多問題存在的原因。

實際上，無論是意外還是出于故障排除的目的，許多云用戶都致力于在用戶和網絡層面設置正確地配置訪問控制。2022年，F5 SOC時常看到用戶創建臨時服務用戶，然后通過內置身份和訪問管理（IAM）策略或內聯策略為其分配非常廣泛的權限。這些臨時用戶的創建通常是為了排除問題，或者是為了讓依賴特定用戶或角色的應用重新啟動和運行。F5經常看到這種臨時的配置變成永久性的配置，回滾變化也變得更加困難。此外，如果用戶使用的是長期固定的憑證，而不是短期憑證，那么這些憑證也有可能以某種方式被盜或泄露。

威脅四：開源軟件庫將成為攻擊的主要目標

軟件正變得越來越相互依賴，許多應用和服務都基于開源代碼庫進行構建，但很少有企業能夠準確地說明所使用的每一個庫。隨著防御者加強應用“周邊”（即面向公眾的網絡應用和API），威脅者自然會將目光投向其他載體。攻擊目標逐漸變為應用中第三方代碼、代碼庫和服務。在硬件和軟件代碼庫中，多達78%的代碼由開源代碼庫組成，而非內部開發。作為攻擊者，如果知道一個應用超過四分之三的代碼是由開源代碼庫維系的，那么將這些代碼庫作為目標就變得異常合理了。

近年來，F5發現了越來越多的攻擊方式，為依賴開源軟件庫的企業帶來威脅：

? 開發者賬戶被泄露，通常是由于缺乏MFA，導致惡意代碼被插入到廣泛使用的庫和谷歌瀏覽器擴充程式中；

? 木馬攻擊和誤植域名攻擊，威脅者開發的工具看起來攻擊性強，或與廣泛使用的開源軟件庫有非常相似的名字；

? 以黑客攻擊的方式，由開源軟件庫的原作者故意插入破壞性和其他惡意代碼。

很顯然，上述行為的出現為應用開發的發展帶來新挑戰。許多現代應用利用軟件即服務（SaaS）進行安全防護，如集中式認證、數據庫即服務或數據泄密防護（DLP）。如果攻擊者能夠破壞開源軟件（OSS）的代碼庫或被應用消耗的SaaS產品，那么攻擊者就在應用內部有了立足點，能夠繞過如Web應用防火墻和API網關的外圍防御，從而進行攻擊。

這個立足點可以被用來進行不同形式的橫向移動（如遠程外殼、監控、數據滲漏）。這樣做的結果是，軟件開發人員希望應用所組成的組件有更強的可見性，最重要的是有一個列舉所有軟件組件的軟件材料清單（SBoM）。這將使軟件產品的終端用戶能夠更迅速有效地確定漏洞是否會影響該產品。

但同時，SBoM的廣泛采用也將帶來大量技術債務。企業將不得不做出一些重大的內部投資，使舊系統達到最新水平，并修復多達數千的漏洞，或者考慮從頭開始打造新一代的產品。當然，客戶總要接受他們所選擇的產品中存在大量未修復的漏洞，因為它們都是大同小異的。因此，企業應當對產品進行全面革新，而不是置之不理。

而對于未披露漏洞或零日漏洞，檢測攻擊者的最佳機會是觀察軟件組件和服務‘內部’應用之間的內部‘東西向’流量以及基礎架構即服務（IaaS）的交互方式。現如今，這些互動可以被云安全態勢管理（基礎架構）、云工作負載保護平臺（跨平臺），以及應用檢測與響應（應用層）所感知；這些獨立市場需要整合起來，以提供一個整體視圖，而這是高效、準確地檢測應用內部威脅所必需的。

威脅五：勒索軟件將進一步擴張

加密惡意軟件現在已經十分泛濫了。但是，正如MITRE開發的對抗性戰術、技術和公共知識庫框架提及的勒索軟件，這并不全是 “加密數據的影響”。F5發現，包括非加密種類在內，惡意軟件是2021年企業數據泄露的最大原因。攻擊者的重點是滲透或竊取數據。一旦他們掌握了這些數據，就能夠通過不同的方法從中獲取收益。

F5 SOC發現，針對數據庫的勒索軟件正呈現增長趨勢。有組織的網絡犯罪將繼續發展勒索軟件技術，并將特別關注關鍵基礎設施。針對云數據庫的勒索軟件攻擊將在未來一年大幅增加，因為企業和政府的關鍵數據都存儲在其中。與傳統的惡意軟件在文件系統層面加密文件不同，數據庫勒索軟件能夠在數據庫內部加密數據。

同時，攻擊者將增加嘗試次數，通過各種詐騙和下游欺詐手段（如申請新的信用卡），直接從受影響的個人身上獲取漏洞數據。從攻擊者的心態來看，如果盜竊客戶的個人信息不能通過勒索被破壞的組織（例如，要求贖金，威脅釋放知識產權等）來賺錢，那么他們的目標就將轉移到個人身上。