2021 美国黑帽大会主要网络安全热点及思考

从安全研究人员的交流内容来看，移动平台和开源软件成为了最受关注的关键网络安全问题。其次，DNS 即服务使企业网络成为窃听对象，GPT-3的高级文本功能将受到虚假消息攻击的青睐，最后是攻击者也有勒索软件的困扰。

·  移动平台成为恶意攻击者的下一个攻击重点

移动安全目前已经成为了网络安全威胁来源的头牌，随着智能手机的普及、应用日渐多样化，以及互联网不断的深入人们的生活，移动端也承载了比以往更多的数据信息，其中不乏敏感信息，这也招致了大量的外来者攻击。且越来越多的证据表明，恶意攻击者正将大量资源用于利用移动平台的漏洞，针对移动设备的攻击与日俱增。Corellium  LLC  首席运营长、英国国家安全局前分析师马特•泰特的研究表明，针对移动电话设备的“零日”漏洞正在被急剧利用，这个问题正变得越来越严重。此外，一些移动平台的架构自己本身也产生了一系列问题，谷歌 Zero 项目的安全研究员娜塔莉•西尔瓦诺维奇对手机短信漏洞进行了分析，发现用户可以在未经对方同意的情况下打开另一个用户的摄像头或音频，并在 FaceTime 、Signal、Facebook Messenger、JioChat 和 Mocha 中也发现了各种漏洞。

·  需要更加关注开源社区安全

开源软件的代码公开、易获取、可重用的特点成为企业构建信息技术的重要选择， 目前在教育、金融、医疗等传统行业渗透率已超过 60% ，随着开源软件的广泛使用，一旦被发现安全漏洞，必将给开发、安全团队带来严峻的挑战。而开源漏洞信息往往散落分布在各大社区，很多漏洞信息不能及时被官方收录。同时，对于软件使用者，由于缺少漏洞信息跟踪能力，使得漏洞修复具有滞后性，提升了软件被攻击的风险。就本质而言，开源软件并不能生成完全安全的代码，其安全性容易被忽略而成为黑客攻击的目标。此外， 应用程序的复杂性也在增加，开源软件中报告的漏洞数量每年都在增长。如果没有认真和协调的干预，情况会变得更糟。开源软件软件和芯片设计公司 Synopsys  发布的《2020  年开源安全和风险分析报告》 指出不安全的开源软件无处不在。因此，需要更加注意开源软件的安全问题。

· “DNS 即服务”使企业网络成为窃听对象

Wiz 公司的研究人员披露了他们从 DNS 托管服务供应商构建的服务逻辑中发现的一种新型 DNS 漏洞。这种新的 DNS 漏洞使国家级别的窃密活动变得非常简单。他们演示了如何对一个示例账户的域注册系统做出简单调整，由此轻松访问超过 100 万个端点、涉及 15000 名亚马逊云科技客户的查询流量。

· GPT-3 的高级文本功能让虚假消息攻击者垂涎三尺              

GPT-3  是一种自回归语言模型，使用深度学习来生成类人文本。作为OpenAI 内部的一个高级项目，GPT-3 生成类人文本的能力是强大的，但是它可能非常危险。乔治城大学安全与新兴技术中心的研究分析师发现，GPT-3 尤其擅长在极少的指令下生成推文，它的速度和准确性使得一个社交媒体账户可以传播大量信息，而且就连专家小组也无法辨别其真伪。

·  黑客也存在勒索软件攻击的问题

在本次大会上，来自世界各地的网络安全研究人员公开演示了包括供应链威胁、加密缺陷等在内的网络安全威胁与漏洞，如下：

·   供应链威胁

近期爆发的 SolarWinds 与 Kaseya 勒索软件事件直接把供应链安全问题送上了今年的主舞台、成为各小组讨论环节的核心议题。其中具有代表性的是前英国政府通讯总部情报人员 Matt Tait 的主题演讲，讨论了实现供应链完整性的各项要素，包括攻击者将软件交付机制视为一种极为高效、覆盖范围极广的恶意代码传播载体。

·  加密缺陷

作为实现计算保密性与隐私性的支柱，密码学与加密协议多年以来一直是黑帽研究人员们最关注的话题之一。弗劳恩霍夫安全信息技术研究所网络安全分析与防御部门主任Haya Shulman 展示了从 Let’s Encrypt 的分布式域验证服务中发现的种种隐患，并声称要削弱 Let’s Encrypt 相较于其他证书颁发机构的一切安全优势。

·  PrintNightmare

PrintNightmare 是 Windows Print Spooler 中的一项严重远程执行漏洞，会影响运行该服务器的任何系统。就在微软公司 2021 年 6 月初发布了针对不同 Print  Spooler RCE 的补丁之后，国内公司深信服的三位研究人员就发布了 PrintNightmare  的概念验证（PoC），PoC 能够全面控制存在该陷的Active  Directory  域，甚至在打过补丁的系统上也仍然有效。虽然他们从GitHub 上移除了 PoC ，但其已经被恶意人士所掌握并应用于实际攻击，这种状况迫使微软在一周之后发布了紧急更新。

· Active Directory 威胁

作为本地及云系统中重要的身份与访问管理手段，Active  Directory  已经成为当今企业网络防御中最重要的一个领域。SpecterOps  公司的 WillSchroeder  与 Lee  Christensen  讨论 了如何 以八种不 同方式利用 ActiveDirectory 证书服务上的功能与错误配置，借此在Acitve Directory 公共加密基础设施上提升权限、进而操纵其他服务。

·  下一代 Mac 恶意软件

Mac  设备在企业环境下的应用以及用户规模的持续扩大吸引了不少攻击者的目光，其中最值得关注的是恶意人士会如何针对基于全新 M1 芯片的下一代 Mac 平台。

M1采用基于ARM 64架构的微处理器，带有一系列新的内置安全功能，但存在安全隐患。Objective-See 公司的研究员 Patrick Wardle 提到，相当一部分端点恶意软件检测机制还没有能力检测到专为 M1  系统原生开发的恶意软件，他展示了这一检测能力在应对 M1 平台时如何显著下降，并解释行业应如何加强分析与检测技术、用于解决基于 ARM 架构的下一代 Mac 面临的实际威胁。

· 对抗人工智能

人工智能与机器学习功能正越来越多地成为关键业务软件中的核心主体。而随着二者在商务智能、理解客户需求以及自动化流程中的广泛普及，其背后蕴藏的巨大价值必然吸引到攻击者的关注。因此，必须关注新兴人工智能威胁，包括对抗人工智能（破坏性模型）、 数据中毒与模型盗窃等。

在本次大会上，网络安全研究人员演示了包括离地攻击、被窃数据的武器化、勒索软件攻击等在内等多种网络攻击形式和手段，相较之前，这些攻击手段具有攻击速度快、覆盖面更广、攻击自动化程度高、杀伤力大、目标针对性强、隐蔽性强等特点，对基础设施等将形成更大威胁。

· 离地攻击的隐蔽性更强

攻击者越来越多地利用受害者使用的合法工具，通过融入受害者的流量来更好地隐藏自己。攻击者可以利用合法工具实施攻击链的每一个环节——从初始访问、资产发现、横向移动到数据外泄和凭证盗窃。Trend Micro威胁情报副总裁认为，离地攻击是一种反取证行动，因为这些攻击迫使企业建立机制，对 Cobalt Strike、Mimikatz 和 PS Exec 等工具的使用进行检查，从而确定一些特定事件是合法的还是非法的。Trend Micro 的数据表示， 目前有 20 到 30 种合法工具正被勒索软件攻击者用于恶意目的。

·  被窃数据的武器化更普遍

Barracuda 首席技术官 Fleming Shi 发现，很多用户和组织的数据在以前的攻击事件中被盗，并且又在随后的攻击中被武器化。攻击者利用他们已经获取的个人身份信息再次获取用户的凭据和密码，然后将这些目标用户登录的 SaaS 应用程序作为攻击目标。

· 勒索软件攻击的威胁更大

攻击者不再满足于简单地加密受害者数据并拒绝受害者访问其自己的系统。目前，勒索软件已经从瞄准单个设备或服务器发展为通过造成广泛破坏来威胁整个组织。简单来说，就是勒索软件攻击者通过供应链攻击，向受害企业及其上下游客户索要赎金，否则就泄露敏感数据。2021 年 9 月发布的欧盟 ENISA 威胁态势报告称，勒索软件已成为最大威胁。

·    供应链攻击的破坏性更强

供应链攻击作为一种新型威胁，具有威胁对象多、极端隐蔽、检测难度大、涉及维度广等特点，已成为国家级攻击行为的重要选项，供应链攻击为黑客提供的良好投资回报使之成为黑客攻击的重要突破口，它已经从高级网络攻击者对特定行业实施的武器化攻击转变为更为普遍的恶意软件攻击的一部分，并且在未来一段时间内将是最难防范的威胁之一，而且攻击数量还会增加。企业必须确保他们能够了解自己的供应链、与每个供应商相关的风险以及在发生事件时进行快速补救。

·  商业网络犯罪日趋复杂

自 2017 年以来，黑帽大会一直是网络安全人员发布和展示安全工具的盛会。本次会议上，他们展示了以下 21 款能代表当前世界先进水平的网络防御工具，这些安全工具无论从自动化、智能化、协同性来说，都有了很大提升。

· Cloud Sniper

Cloud Sniper 是一个管理云安全操作的平台，目的是通过准确分析和关联云构件来响应安全事件，通过显示公司云安全状况的完整可见性来检测和修复安全问题。

· Cloud Katana

Cloud Katana 是一种由 Microsoft 开发的工具，可在 Azure Functions 的辅助下自动执行 Azure  中的对抗性技术，主要目标是验证检测规则并了解攻击的潜在行为。

·  Kubetriker

Kubetriker 是一个极快的 Kubernetes 安全审计工具，可以对 Kubernetes基础设施进行大量深入检查，以识别任何使其容易成为攻击者目标的错误配置，防止对 Kubernetes 集群的潜在攻击。

·  REW-sploit

REW-sploit 是一种分析 Windows  shellcode 或源自 Metasploit 或 CobaltStrike（红队、渗透测试人员和其他攻击者广泛使用的工具） 攻击的工具。REW-sploit 可以模拟有效载荷、提取加密密钥并关联 PCAP 转储以获取正在发生的攻击的更多相关信息。

·   LUDA

LUDA 是一个大型 URL 数据集安全分析器，该工具由 Akamai 的安全研究人员开发，通常被用于恶意软件和网络钓鱼检测。安全团队可以使用该工具来发掘与已知恶意软件或威胁组织相关的 URL 方案。LUDA 支持与各种恶意软件库的集成，如 PhishTank、URLHaus 、Virus Total 等等。

·  SGXRay

SGXRay 是一个由百度工程师开发的自动化工具，用于检测源于违反可信边界的 SGX enclave 错误。

·   Cotopaxi

Cotopaxi 是一个由三星开发的用于测试各种物联网协议安全性的工具。

· Packet Sender

Packet Sender 是一个可用于Windows、Mac 和 Linux 的开源实用程序，允许发送和接收 TCP、UDP 和 SSL（加密 TCP）数据包。其核心功能是通过 IPv4 或 IPv6 制作和监听 UDP、TCP 和 SSL/TLS 数据包，它可以在发送到任何 UDP 、TCP、SSL/TLS 数据包服务器的同时监听任意数量的端口。

·  Kubesploit

Kubesploit 是一种用于对 Kubernetes 集群进行安全性渗透测试的工具，配有一个已开发的 HTTP/2  命令和控制服务器和代理。

·  Siembol

Siembol  是一个基于大数据技术的开源、实时安全信息和事件管理(SIEM)  工具。

·   Cloudtopolis

Cloudtopolis 是一个在 Google  Cloud  Shell 平台上运行密码破解系统的工具。通过 Cloudtopolis 和 Google Collaboratory，用户可以在不需要任何浏览器专用硬件的情况下破解哈希。

·   Racketeer

Racketeer  旨在帮助红队建立模型并实施严格控制的勒索软件活动。安全团队可以利用 Racketeer 工具，针对一组公司资产和网络端点，以受控方式模拟和测试常见勒索软件的操作。

·  Phishmonger

Phishmonger 是一种电子邮件网络钓鱼工具，可以使渗透测试人员快速模板化、测试和部署网络钓鱼活动。

· Blue Pigeon

Blue Pigeon 是一种基于蓝牙的数据窃取和代理工具，可实现远程命令和控制(C2)服务器与受感染主机之间的通信。

·   Magpie

Magpie 是一种开源云安全态势管理 (CSPM)  工具，旨在帮助公司保护云基础架构。Magpie 已经在拥有数十万系统的大规模云环境中进行了测试。

·  PurpleSharp 2.0

PurpleSharp 2.0 是一种对手模拟工具，它执行对手技术，目的是在受监控的 Windows 环境中生成攻击遥测。由此产生的遥测可以用来衡量和提高检测程序的效率。PurpleSharp 在整个攻击过程中按照 MITRE ATT&CK 框架的策略执行不同的操作：执行、持久性、提权、凭证访问、横向移动等。

·    WARCannon

WARCannon  是一种在互联 网上大规模搜索 网络漏洞 的工具 。由Common Crawl 通过 AWS 开放数据程序提供数据，可以对相关网站进行 PB级分析。安全研究人员和“漏洞赏金猎人”可以利用 WARCannon 以快速、经济高效且完全非侵入性和隐蔽的方式在整个互联网上横向扩展他们的研究。

·  PMapper

PMapper 是一个脚本和库，用于识别 AWS 账户或 AWS 组织的身份和访问管理（IAM ，Identity andAccess Management)  配置中的风险。

·  Ping Castle

Ping Castle 是一个用于在 Active Directory 服务器上执行安全审核的工具。

· reNgine

reNgine 是一个自动化侦察框架，可以在 Web 应用程序的渗透测试期间收集信息。

·  Solitude

透过今年黑帽大会不难看出，恶意组织正不断地调整策略，执行新的威胁行动计划，无论是民族黑客组织还是犯罪团体，都变得更聪明且更迅速，这种情况在近期内都不会发生改变。因此可以预计，勒索软件仍然是关注的焦点，并将蔓延到物联网。勒索软件攻击一直是近来最具影响力的网络威胁，未来恶意团体将继续扩大勒索软件攻击规模，并将目标瞄准物联网。恶意行为者或利用物联网设备的漏洞，通过物联网设备接管通信能力，利用受害者的恐惧和焦虑，并通过社会工程学来操纵他们的行为。网络犯罪和民族国家行动的融合将变得更加普遍。民族国家会雇佣网络犯罪分子来发起恶意软件攻击。网络犯罪与民族国家行为者之间的模糊程度将增加，国家力量将成为网络间谍行动的主要推动力。社交媒体将继续成为黑客渗透组织以获取犯罪收益的首选平台，以个人作为攻击目标已被证明是一种非常有效的途径，这种方式的使用不仅会在间谍团体中增长，还会在其他试图渗透进入组织以获取自身非法利益的威胁行为者之间增长。

魔高一尺，道高一丈。面对恶意组织如此复杂多变、令人眼花缭乱的攻击手段和方法，未来我们将面临更加严峻的网络安全形势，无论是国家、企业还是组织机构都应积极主动地保护信息并采取行动。

6.1　针对供应链漏洞，引入第三方机构进行技术测试

供应链攻击的频率和成熟度正在不断提高，当攻击发生时，很难检测和缓解此种攻击。对于供应链安全来说，最重要的是保证软件供应链从源头开始安全无风险，在整个软件应用程序开发全周期中加强对产品的安全检测，并对自身产品流程进行风险管控。因此，应该通过一个集中的机制来加强对供应链漏洞的技术测试，保证政府部门、企业等所使用软件的安全性和质量。作为供应商的技术公司应事先使其产品经过第三方机构的测试和认证。预计美国政府将在 SolarWinds 攻击事件后采取类似行动保护供应链安全，Splunk  的安全战略师表示，希望看到技术供应商更好地检测供应链漏洞。

6.2　针对勒索软件威胁，应用人工智能进行检测

勒索软件已经成为一个全球性问题，而且勒索攻击事件的数量也不断攀升，根据澳大利亚信息专员办公室的一份报告，与 2020 年下半年相比，2021 年上半年，由勒索软件攻击引起的数据泄露事件增长了 24% 。勒索攻 击不仅带来了代价高昂的服务中断，还直接威胁政治安全、经济安全、科 技安全等各个方面。现在勒索软件已成为严重的国家安全问题。

RSA 大会专家委员会在 2021 年 11 月对未来网络空间安全趋势进行预测时认为，恶意组织会继续扩大勒索软件攻击规模，并使之更加专业化。因此，勒索软件是当前网络世界面临的重大威胁。

人工智能技术的引入将大大提高勒索软件的检测率。人工智能使人们更好地了解黑客所使用勒索软件的类型并分析黑客的个人资料。更重要的是，经过人工智能训练的网络安全检测工具能够有效地识别勒索软件威胁并防御它们。人工智能驱动的网络安全防御措施意味着我们可以更早地发现勒索攻击和漏洞，降低安全成本，而且网络安全团队无需随时关注日常威胁。因此，保持安全和保护数据正越来越多地掌握在人工智能的手中，这是网络安全的未来。

目前趋势科技公司正在开发的勒索软件移除解决方案本质上是一个智能反勒索软件工具，它带有一个很大的安全包，并利用了最新的人工智能算法，其中包括防病毒、家庭保护、密码管理和隐私保护，该工具对检测勒索软件极为有效。

6.3　针对传统防护手段的缺陷，采用零信任架构降低风险

零信任架构是一种主动的安全战略，其先进性弥补了传统防护理念在应对勒索攻击中的先天不足，能够极大减少攻击暴露面，以及横向移动的可能，保证内网应用以及数据安全，最大限度地降低与供应链问题和勒索软件威胁相关的风险。零信任的核心是了解数据所在的位置以及哪些用户可以访问哪些数据，随着机构越来越多地共享更多数据，零信任方法对于数据安全至关重要。此外， 目前有多种工具可以扫描网络并确定数据所在的位置，但这些工具的质量差异很大，因此，组织机构需要确保拥有合适的工具来评估数据位置和归属。

美国总统拜登 2021 年 5 月发布的“改善国家网络安全行政命令”， 呼吁联邦政府和私营部门合作，共同应对威胁美国安全的“持续不断、越来越复杂的恶意网络活动”。其中的重点一项就是联邦政府应该迈向零信任架构，增加对安全最佳实践的采用，并持续部署基础安全工具，如多因素身份验证和数据加密。并同时要求 NIST 制定实施零信任架构的计划，以确保零信任能够完全发挥作用，实现层级化的网络防御。毫无疑问，零信任将作为一个重要举措应用于网络安全领域。美国能源部已于 2021 年 10 月率先启动了用于清洁能源系统的零信任网络安全解决方案，该项目将支持电网现代化，解决网络安全漏洞，并创建一个能够承受向清洁能源经济过渡的电网。Gigamon 2020 年 10 月的一项研究报告也表明，超过三分之二的欧洲企业和组织机构表示已采用或计划采用零信任框架以应对不断变化的威胁形势。

6.4 　针对数据泄露风险，引入隐私增强技术

隐私增强计算技术（PET）可以在数据使用的过程中保护数据，而不仅仅是在数据静止或移动时。PET  可以实现安全的数据处理、共享、跨境传输和分析，即使在不受信任的环境中也是如此。当前，PET  技术正在从学术研究迅速转变为提供真正商业价值的实际项目，支持新形式的计算和共享，并降低数据泄露的风险。欧洲率先通过《通用数据保护条例》（GDPR）实施了更严格的数据保护法规，从而促进了以消费者为中心的数字市场，世界各国都陆续纷纷推出了自己本国的 GDPR。Gartner 预计到 2025 年，60%的大型企业机构将使用一种或多种隐私增强计算技术。

6.5　针对可能出现的新漏洞，引入第三方风险管理

随着 5G 技术、人工智能、大数据、边缘计算、云计算等新兴 IT 技术的发展与成熟，随之而来的网络安全威胁也进一步加剧，没有一种网络安全工具能够一劳永逸。网络安全防护的任务不仅是实施工具和分析的组合，识别和保护不断扩大的威胁媒介，更是要结合最佳实践以更好地指导其部署理念，避免成为攻击对象和攻击的跳板。因此，应该考虑更为广泛地采用包括多因素身份验证、数据加密、流量解密、回溯取证分析、建立全面管理的安全营运中心等多种手段完美结合的最佳安全实践，降低网络攻击的风险。