網(wǎng)絡(luò)攻擊方法論正在怎樣的發(fā)生改變

技術(shù)和生活一樣，最不缺的就是變化。各種系統(tǒng)創(chuàng)新發(fā)展的時(shí)候，攻擊這些系統(tǒng)的方法也在進(jìn)化，始終朝著最大化攻擊回報(bào)的方向前進(jìn)。 黑客的創(chuàng)新腳步從未減緩，安全技術(shù)及方法必須跟上相同的步伐。

在需要黑進(jìn)企業(yè)數(shù)據(jù)中心的數(shù)據(jù)庫(kù)才能賺錢(qián)的時(shí)候，攻擊者學(xué)會(huì)了繞過(guò)防火墻和網(wǎng)絡(luò)入侵防御系統(tǒng)。隨著網(wǎng)絡(luò)邊界的消失，隨著數(shù)據(jù)逐漸遷移到SaaS，聰明的黑客已經(jīng)轉(zhuǎn)向了終端入侵和勒索軟件。 而現(xiàn)在，基于云的應(yīng)用迅速發(fā)展，攻擊者又瞄上了Web應(yīng)用、微服務(wù)和API中的大量數(shù)據(jù)。

可更新基礎(chǔ)設(shè)施改變了安全生態(tài)

老式簡(jiǎn)單而靜態(tài)的應(yīng)用程序正快速變成歷史文物一樣的東西。曾經(jīng)，典型應(yīng)用程序的所有技術(shù)?；旧隙嫉冒跀?shù)據(jù)中心里。如今，更多的是勾選基于云的基礎(chǔ)設(shè)施即服務(wù)（IaaS）或平臺(tái)即服務(wù)（PaaS）的相關(guān)功能來(lái)構(gòu)成企業(yè)IT運(yùn)營(yíng)所需。利用敏捷方法，開(kāi)發(fā)運(yùn)維團(tuán)隊(duì)每天能推送一二十次應(yīng)用代碼更新，遠(yuǎn)遠(yuǎn)超出以往每年或每?jī)赡瓴派?jí)一次的頻率。傳統(tǒng)應(yīng)用的漫長(zhǎng)生命周期曾令系統(tǒng)級(jí)攻擊的有效期非常持久，但無(wú)服務(wù)器架構(gòu)和容器技術(shù)如今已減少了系統(tǒng)駐留時(shí)間，縮小了網(wǎng)絡(luò)攻擊界面。

云這種現(xiàn)代基礎(chǔ)設(shè)施的盛行對(duì)安全產(chǎn)生了重要影響。雖然很多傳統(tǒng)Web風(fēng)格的攻擊依然可以攻破滿是漏洞的代碼，但 應(yīng)用程序在構(gòu)建、部署和開(kāi)發(fā)方式上的轉(zhuǎn)變，給攻擊者開(kāi)辟出很多染指敏感或有價(jià)值數(shù)據(jù)的新機(jī)會(huì)。

事實(shí)上，去年IaaS配置錯(cuò)誤導(dǎo)致的重大數(shù)據(jù)泄露就不止一起，而使用現(xiàn)代部署模式的企業(yè)如今必須像保護(hù)基礎(chǔ)設(shè)施本身一樣保護(hù)好自己的配置。 這就要求企業(yè)做好配置管理，經(jīng)常進(jìn)行配置評(píng)估，并施行恰當(dāng)?shù)脑L問(wèn)控制。對(duì)提供商和配置的實(shí)時(shí)監(jiān)控也是必要的，必須確保日志記錄能夠提供足夠的數(shù)據(jù)以檢測(cè)攻擊。

不過(guò)，利用可更新系統(tǒng)（或者說(shuō)暫時(shí)性系統(tǒng)）的新式開(kāi)發(fā)和部署模式也給安全團(tuán)隊(duì)帶來(lái)了新的防護(hù)方法。

新防護(hù)方法的思路很簡(jiǎn)單：每隔幾分鐘或幾小時(shí)就輪轉(zhuǎn)一下數(shù)據(jù)中心憑證;每隔幾小時(shí)就將數(shù)據(jù)中心里的服務(wù)器和應(yīng)用都恢復(fù)到已知安全狀態(tài);在補(bǔ)丁推出后的幾小時(shí)里就修復(fù)好所有操作系統(tǒng)和應(yīng)用。

安全團(tuán)隊(duì)遵循上述防護(hù)方法就能有效減小暴露面，縮短暴露在攻擊之下的時(shí)間窗口，讓黑客更難以攻擊構(gòu)建部署在現(xiàn)代技術(shù)棧中的系統(tǒng)。這種方法可以讓企業(yè)跑在攻擊者前面，但卻談不上是牢不可破的防線。

攻擊持續(xù)性和自動(dòng)化

攻擊者有專(zhuān)門(mén)的套路針對(duì)傳統(tǒng)的固化基礎(chǔ)設(shè)施。首先滲透進(jìn)企業(yè)環(huán)境，然后在其中橫向移動(dòng)，搜索高價(jià)值目標(biāo)。而轉(zhuǎn)向容器和無(wú)服務(wù)器計(jì)算之后，基礎(chǔ)設(shè)施可以快速全盤(pán)刷新，整體替換一遍也就是幾分鐘的事，攻擊者在主機(jī)上駐留越來(lái)越難了。于是，他們將目光放在了攻擊App上，也就將 應(yīng)用安全 推上了現(xiàn)代防護(hù)要求的高地。

隨著攻擊持續(xù)性概念的式微，黑客傾向于用自動(dòng)化技術(shù)在遭遇系統(tǒng)重啟時(shí)讓自己的攻擊在幾秒鐘內(nèi)從頭再來(lái)。 當(dāng)長(zhǎng)期駐留不再可能，攻擊步驟自動(dòng)化就成了關(guān)鍵，每次基礎(chǔ)設(shè)施刷新，自動(dòng)化都可以將攻擊者瞬間帶回最深入的滲透點(diǎn)。

不過(guò)，這也給安全團(tuán)隊(duì)提供了新的關(guān)鍵攻擊指標(biāo)（IoC）。通過(guò)實(shí)時(shí)攻擊遙測(cè)，如果觀測(cè)到系統(tǒng)、基礎(chǔ)設(shè)施或應(yīng)用反復(fù)出現(xiàn)相同的請(qǐng)求或修改，那就有極大的可能是遭到攻擊了。應(yīng)用安全專(zhuān)家得長(zhǎng)期關(guān)注基于閾值的行為檢測(cè)才能檢查出此類(lèi)自動(dòng)化攻擊序列。他們可以在當(dāng)前Web防護(hù)產(chǎn)品中創(chuàng)建腳本或系統(tǒng)進(jìn)行自動(dòng)監(jiān)測(cè)，或者查閱日志記錄，或者采用Splunk之類(lèi)安全信息及事件管理系統(tǒng)（SIEM）。檢測(cè)出來(lái)的東西未必就是漏洞利用，也有可能是每次刷新時(shí)觸發(fā)的同個(gè)用戶或IP地址的錯(cuò)誤操作。

對(duì)現(xiàn)代攻擊者來(lái)說(shuō)，攻防游戲已經(jīng)不再是取得系統(tǒng)駐留了，無(wú)論手段如何，達(dá)到目的即可。 相比高級(jí)威脅、持續(xù)性威脅和長(zhǎng)期駐留，基于云和基于服務(wù)的基礎(chǔ)設(shè)施更適合采用打了就跑的閃電戰(zhàn)攻擊模式——一個(gè)更新周期內(nèi)即可執(zhí)行完畢，或者能以自動(dòng)化攻擊挺過(guò)多次刷新。

安全團(tuán)隊(duì)必須重視應(yīng)用技術(shù)和攻擊方法的轉(zhuǎn)變。黑客靠創(chuàng)新取勝，適應(yīng)不及的系統(tǒng)就是他們最容易得手的目標(biāo)。根據(jù)新興威脅態(tài)勢(shì)調(diào)整或采納安全模型，才可以確保下一代應(yīng)用環(huán)境的安全狀態(tài)不弱于邊界安全時(shí)代。