需要為AppSec制定專門的事件響應計劃嗎?

2022年,大量企業組織開始關注AppSec(應用程序系統的安全性),並將其作為保障組織數字化轉型發展的推動因素。而在此前,AppSec往往被視為阻礙業務系統快捷運行的一種障礙。通過正確實施AppSec計劃,不僅可以保障企業業務的穩定開展,而且可以避免安全攻擊導致的財產和商譽損失。不過有安全研究人員表示,為了在2023年提高應用程序的安全性,企業組織應該為AppSec制定專門的事件響應計劃。

AppSec威脅形勢嚴峻

2022年初爆發的Log4j漏洞,讓很多企業陷入了業務系統應用防護的困境,這突出表明了目前大多數的組織還不熟悉應用程序的構成元件,也沒有找到在應用開發過程中保證安全性的方法。據Sonatype最新發布的AppSec態勢研究報告研究認為,2023年的AppSec威脅形勢將依然嚴峻,很多企業需要與不安全的應用程序、脆弱的軟體元件以及易受攻擊的雲服務開展鬥爭。

報告資料顯示,軟體供應鏈攻擊在2021年快速增長了633%,其中有41%的應用程序元件還是易受攻擊的版本。與此同時,隨著企業組織將IT基礎設施遷移至雲端,並採用更多的Web應用程序,這導致對API使用快速增長,平均每家企業使用了15,600個API。這也使得企業中的員工成為可被利用的攻擊路徑。攻擊者可以通過勒索軟體、惡意軟體、網路釣魚和詐騙等諸多手段,通過普通員工的人為錯誤達成攻擊企圖。

在2022年,有83%的受訪企業遭受了基於電子郵件的網路釣魚攻擊,這很容易導致憑據失竊,繼而危及Web應用程序和雲基礎設施。西班牙桑坦德銀行(Banco Santander)網路安全研究全球主管Daniel Cuthbert認為,通過一些非常簡單的社會工程技術就可以繞過企業多層應用安全措施,實現訪問敏感資料、系統和網路的攻擊目標,而對此的防範措施還很不完善。

除此之外,攻擊者還專注於通過在網路邊緣運行的許多安全控制來鎖定應用程序。在2022年舉行的Black Hat Asia會議上,研究人員就展示了通過WAF設備漏洞進行入侵攻擊的方法。而在2021年12月,網路安全公司Claroty也同樣演示瞭如何使用JSON繞過五款主流WAF產品進行模擬攻擊。

制定專屬事件響應計劃

隨著AppSec威脅變得越來越普遍,企業安全團隊應該在應用系統安全事件響應方面做得更好。通過制定專門的AppSec事件響應計劃,企業可以更好地應對AppSec威脅,為各種可能出現的應用系統攻擊做好準備。主要原因包括:

  • 軟體開發成為新的攻擊面:由於軟體系統的研發速度不斷加快,開發人員成為一個重要的攻擊目標。根據供應鏈攻擊防護的要求,企業安全團隊需要對業務有更深入的了解,他們必須能夠展示出具備資料管理和評估安全問題的領導力,而不是在安全攻擊發生後成為研發部門的負擔;

  • 大規模災難事件:供應鏈攻擊通常是大規模災難事件,可能在一次「攻擊」中影響數千個組織。標準的安全事件響應計劃通常不適用於需要外部協商的大規模應用系統安全事件。外部的安全專家們此時可能已經不堪重負,而企業組織卻無法承擔響應延遲的後果與損失;

  • AppSec還是一個不成熟的領域:AppSec的重要性直到最近才得到企業組織的關注,這也是安全團隊必須正視的客觀現象,因此很多安全人員對這類威脅的認知並不全面。如今,隨著應用程序攻擊面不斷擴大並在全球範圍內相互交織,可用的解決方案和專有技術在能力上仍然存在不足;

  • 攻擊者並不需要先進的技術:由於企業缺乏足夠的工具來保護行業免受供應鏈風險的影響,並且現有的安全工具仍然不夠完善。這對攻擊者而言是非常有利的,一旦攻擊成功,他們可以從數千個組織獲得重要資料,而非一個組織。在防禦方面,組織對通過CI/CD構建的應用系統缺乏可見性,對開發過程的可見性更少,這使得保護AppSec非常困難。

事件響應是一項專業的工作,涉及大量的資源和策略,並非一蹴而就的,每個AppSec事件響應計劃都只適合特定的組織。以下是針對惡意應用系統攻擊(如ESLint攻擊)的基本AppSec事件響應清單示例:

  1. 檢查CI日誌,查看惡意包的具體使用情況;

  2. 識別被惡意程式碼獲取到訪問許可權的資產;

  3. 識別所有可能受到損害的憑據,並在相關環境中更新/輪換所有憑據;

  4. 識別所有提交了惡意包的相關開發人員,輪換相關憑據,並讓安全或IT部門對其工作站進行調查;

  5. 通知研發部門(R&D)存在惡意包嫌疑,相關金鑰需要儘快輪換;

  6. 審計對組織資產的所有訪問。識別任何表明憑據使用被破壞的異常情況。在初始事件響應之後繼續執行此步驟;

  7. 在採取以上步驟的同時,企業管理層應該考慮並起草一份針對攻擊事件的公開回應,並讓所有利益相關者和部門參與進來,共同完成後續的事件處置工作。

參考連結:

https://www.darkreading.com/application-security/appsec-threats-deserve-their-own-incident-response-plan

https://www.darkreading.com/application-security/internet-appsec-remains-abysmal-requires-sustained-action-in-2023

相關文章

2022年10大最酷網路安全新品

2022年10大最酷網路安全新品

2022年的網路安全領域新品迭出,從下一代網路防火牆到最新的安全訪問服務邊緣(SASE),各大安全廠商都在全力滿足使用者對創新網路安全技術不...

2023年SASE技術應用和發展趨勢預測

2023年SASE技術應用和發展趨勢預測

安全訪問服務邊緣(SASE)一直是研究機構Gartner最青睞的新技術之一,在其給出的SASE定義中,明確規定了完整的SASE方案應該結合S...

5G技術應用中的6大安全風險

5G技術應用中的6大安全風險

5G網路技術有著諸多應用特點,比如可以縮短延遲、提升網速等。這些特點使其在2023年將得到更加廣泛的應用。然而,5G應用方案中大量採用了虛擬...

2023年DDoS攻擊發展趨勢預測

2023年DDoS攻擊發展趨勢預測

DDoS是一種非常「古老」的網路攻擊技術,隨著近年來地緣政治衝突對數字經濟格局的影響,DDoS攻擊數量不斷創下新高,其攻擊的規模也越來越大。...

維他命每日安全簡訊(2023.05.23)

維他命每日安全簡訊(2023.05.23)

1、PyPI已暫停新使用者註冊和新項目上傳功能直至另行通知 據5月21日報道,PyPI已暫停了新使用者註冊和新項目上傳功能,直至另行通知。P...

OceanBase 的長期主義

OceanBase 的長期主義

作為基礎軟體領域的三駕馬車之一,資料庫一直是技術開發中重要的領域,並延伸出諸多細分的類別:關係型資料庫、非關係型資料庫、分散式資料庫、文件型...