最新：F5预计2023年影子API将带来不可预知的漏洞

12月26日消息，全新的2023年就将到来，F5安全运营中心（SOC）的工程师们预测了2023年会出现的五大网络安全风险，从而为企业提供前瞻性洞察分析，为网络安全保驾护航。

【资料图】

威胁一：影子API将带来不可预知的漏洞

今天，应用程序接口（APIs）正在迅速普及。移动应用的融合、组织间的数据共享以及不断增加的应用程序自动化，使得在2021年有11.3亿个请求通过以API为中心的开发者工具Postman提交。然而，根据Postman发布的API状况报告中显示，48%的调查对象承认每月要处理至少一次API安全事件。

与网络安全的所有方面一样，你无法为未知内容提供保障。F5认为，影子API代表了一种日益增长的风险，可能会导致大规模数据泄露，而受到侵害的组织甚至不知道这种风险的存在。

时至今日，许多企业没有准确的API库存清单，因此导致了一种新的威胁形式，即“影子API”。拥有成熟API开发流程的企业会保存一个API库存清单的资产目录，理想状态下会包含所有可用的API端点信息、可接受参数的细节、认证和授权信息等。然而，许多企业由于没有API库存清单，生产中的API和受益于持续开发的API将会偏离于它们在清单中的原始定义。在这两种情况下都会出现组织不可见的公开API，这些API被称为“影子API”，而许多应用会通过“影子API”被攻破，而企业对这些API了解甚少，甚至毫无察觉。

威胁二：多重身份验证将失去效力

在F5发布的《2020网络钓鱼和欺诈报告》中，F5演示了攻击者如何使用实时网络钓鱼代理来绕过多重身份验证（MFA）系统。在实时网络钓鱼代理攻击中使用的虚假网站中，攻击者收集了常见的6位数MFA验证码，并用它来验证真正的目标网站。由于攻击是实时发生的，包括短信、移动端认证应用，甚至令牌在内的MFA方法都没有能够打败实时网络钓鱼代理。自2020年以来，F5持续分享了绕过MFA的技术增长趋势报告，从会话重用攻击到可窃取MFA代码的移动恶意软件，帮助企业高效规避网络攻击。

为了减少MFA阻力，许多新的解决方案依赖于推送通知。当用户试图登录一个系统时，现代解决方案不是要求他们手动输入多因素认证代码，而是向用户的注册手机发送推送通知，要求他们允许或拒绝登入操作。

但是，MFA疲劳攻击只会越来越频繁和有效。这种攻击的目的是通过用大量的认证请求骚扰受害者，使他们意外或无奈地允许通知请求。这种类型的攻击将为公司带来直接的风险，因为员工通常是最容易受到社交工程攻击的威胁载体。除此之外，MFA作为一项关键的安全控制，可用于阻止对关键资产的未授权访问。通常情况下，公司会忽略被破解的密码，或使用要求较低的密码类型，因为有额外的如MFA的补偿性控制。适用于MFA的网络钓鱼工具包和MFA炸弹攻击破除了这种补偿性控制，并再次凸显了口令、深度防御和转向零信任架构的重要性，在这种架构中，企业及个人的安全还需要考虑更多因素。

网络安全领域的大部分情况都是防御者和攻击者之间的军备竞赛，认证方法也不例外。当前，攻击者正在使用各种技术来适应MFA解决方案，包括误植域名、账户接管、MFA设备欺诈和社交工程。因此，应用和网络防御者正在考虑下一步的应对策略。目前，人们对生物识别认证持怀疑态度，因为指纹等生物特征是不可改变的，所以容易被窃取。然而，行为则更难被用于欺骗，通常是针对用户的行为，尤其是在规模上更是如此。这可能包括普遍的行为动作，如使用过的浏览器和所获取的地理位置，网站的导航模式、停留时间等针对应用的行为，以及诸如双击速度、鼠标移动模式、打字速度等用户行为。

短期内，在线快速身份认证（FIDO）联盟的通行证解决方案可能是第一个真正有效缓解社交工程攻击的方法，因为用于认证用户的加密密钥是以他们正在访问的网站地址为基础的。这项新技术能多快被普通用户所采用，仍有待观察。

威胁三：云部署故障排除将带来更多问题

预测云部署的安全事件，听起来是老生常谈，但随着云应用的违规频率不断增加，且规模巨大，F5认为这是值得重申的问题。正如F5在《2022应用保护报告》中强调的那样，大多数云事件都与配置错误有关，通常是过于广泛的访问控制。因此，虽然可能看起来是能轻易做到的事情，但F5安全运营中心（SOC）的工程师们依然发现了很多帮助补救云应用的违规行为，并认识到这些众多问题存在的原因。

实际上，无论是意外还是出于故障排除的目的，许多云用户都致力于在用户和网络层面设置正确地配置访问控制。2022年，F5 SOC时常看到用户创建临时服务用户，然后通过内置身份和访问管理（IAM）策略或内联策略为其分配非常广泛的权限。这些临时用户的创建通常是为了排除问题，或者是为了让依赖特定用户或角色的应用重新启动和运行。F5经常看到这种临时的配置变成永久性的配置，回滚变化也变得更加困难。此外，如果用户使用的是长期固定的凭证，而不是短期凭证，那么这些凭证也有可能以某种方式被盗或泄露。

威胁四：开源软件库将成为攻击的主要目标

软件正变得越来越相互依赖，许多应用和服务都基于开源代码库进行构建，但很少有企业能够准确地说明所使用的每一个库。随着防御者加强应用“周边”（即面向公众的网络应用和API），威胁者自然会将目光投向其他载体。攻击目标逐渐变为应用中第三方代码、代码库和服务。在硬件和软件代码库中，多达78%的代码由开源代码库组成，而非内部开发。作为攻击者，如果知道一个应用超过四分之三的代码是由开源代码库维系的，那么将这些代码库作为目标就变得异常合理了。

近年来，F5发现了越来越多的攻击方式，为依赖开源软件库的企业带来威胁：

? 开发者账户被泄露，通常是由于缺乏MFA，导致恶意代码被插入到广泛使用的库和谷歌浏览器扩充程式中；

? 木马攻击和误植域名攻击，威胁者开发的工具看起来攻击性强，或与广泛使用的开源软件库有非常相似的名字；

? 以黑客攻击的方式，由开源软件库的原作者故意插入破坏性和其他恶意代码。

很显然，上述行为的出现为应用开发的发展带来新挑战。许多现代应用利用软件即服务（SaaS）进行安全防护，如集中式认证、数据库即服务或数据泄密防护（DLP）。如果攻击者能够破坏开源软件（OSS）的代码库或被应用消耗的SaaS产品，那么攻击者就在应用内部有了立足点，能够绕过如Web应用防火墙和API网关的外围防御，从而进行攻击。

这个立足点可以被用来进行不同形式的横向移动（如远程外壳、监控、数据渗漏）。这样做的结果是，软件开发人员希望应用所组成的组件有更强的可见性，最重要的是有一个列举所有软件组件的软件材料清单（SBoM）。这将使软件产品的终端用户能够更迅速有效地确定漏洞是否会影响该产品。

但同时，SBoM的广泛采用也将带来大量技术债务。企业将不得不做出一些重大的内部投资，使旧系统达到最新水平，并修复多达数千的漏洞，或者考虑从头开始打造新一代的产品。当然，客户总要接受他们所选择的产品中存在大量未修复的漏洞，因为它们都是大同小异的。因此，企业应当对产品进行全面革新，而不是置之不理。

而对于未披露漏洞或零日漏洞，检测攻击者的最佳机会是观察软件组件和服务‘内部’应用之间的内部‘东西向’流量以及基础架构即服务（IaaS）的交互方式。现如今，这些互动可以被云安全态势管理（基础架构）、云工作负载保护平台（跨平台），以及应用检测与响应（应用层）所感知；这些独立市场需要整合起来，以提供一个整体视图，而这是高效、准确地检测应用内部威胁所必需的。

威胁五：勒索软件将进一步扩张

加密恶意软件现在已经十分泛滥了。但是，正如MITRE开发的对抗性战术、技术和公共知识库框架提及的勒索软件，这并不全是 “加密数据的影响”。F5发现，包括非加密种类在内，恶意软件是2021年企业数据泄露的最大原因。攻击者的重点是渗透或窃取数据。一旦他们掌握了这些数据，就能够通过不同的方法从中获取收益。

F5 SOC发现，针对数据库的勒索软件正呈现增长趋势。有组织的网络犯罪将继续发展勒索软件技术，并将特别关注关键基础设施。针对云数据库的勒索软件攻击将在未来一年大幅增加，因为企业和政府的关键数据都存储在其中。与传统的恶意软件在文件系统层面加密文件不同，数据库勒索软件能够在数据库内部加密数据。

同时，攻击者将增加尝试次数，通过各种诈骗和下游欺诈手段（如申请新的信用卡），直接从受影响的个人身上获取漏洞数据。从攻击者的心态来看，如果盗窃客户的个人信息不能通过勒索被破坏的组织（例如，要求赎金，威胁释放知识产权等）来赚钱，那么他们的目标就将转移到个人身上。

关键词：