对位置的信任再次让我们蒙受恶果
最近,Microsoft 宣布,他们发现了 另一次 由如今臭名昭著的 Nobelium 团体发起的攻击,该团体发起过许多成功的攻击,包括 2020 年大范围传播的 SolarWinds 数据泄露 。值得庆幸的是,这次最新的攻击并不像过去那些攻击那样影响巨大。它在早期就被发现,并在很大程度上通过一些保护措施得到抵御。
但是,当我读完安全简报后,发现有两件事十分显眼。首先,Nobelium 无疑是一个非常先进的对手。该团体采用了许多技术来执行感染、横向移动和规避检测,同时还在不断改善方法以攻克新的安全屏障。
其次,在它使用的一些规避技术中,核心原理在于利用错误给予的、与位置有关的持续信任。例如,在这次不断演变的攻击活动中,Nobelium 经常利用公共服务(比如 Google Firebase、Dropbox、Constant Contact 和其他服务)来托管恶意软件,收集遥测数据,并执行其操作所需的服务。
为什么要这么麻烦?答案很简单:通过隐藏在企业已经信任的位置中,减少被发现的几率。与企业在该领域面对的许多对手一样,Nobelium 知道,从有风险的域名发起攻击越来越困难,因为企业越来越多地使用 DNS 防火墙等关键服务,这些服务可对疑似恶意的域执行"黑洞"防护。
与其试图穿针引线,不如混入 SaaS 和 IaaS 供应商的受信任元素中,这种做法要容易得多。毕竟,企业不能简单阻止对他们日常使用的合法服务的访问,比如 Dropbox。通过将恶意内容隐藏在受信任的位置中,Nobelium 和类似的团体可以有效地通过合法供应商来掩盖他们的恶意软件和行动。
在一些极端情况下,对手甚至会为他们自己的命令和控制基础架构建立 DNS 记录,该基础架构可模仿他们攻击的公司所使用的主机名。如果一个企业不能简单地阻止对 SaaS 域的访问,他们肯定也不能阻止对他们自己的域的访问!
这就提出了一个问题:我们能做些什么来更好地保护自己免受这种技术影响?适用于内部应用程序访问的 Zero Trust 原则给出了答案:不要根据事物的位置来信任它们。
对于 Zero Trust Network Access (ZTNA),所谓的"事物"是指我们:员工。这就是为什么我们在努力利用 ZTNA 对每个事务和连接执行强有力的身份验证和安全检查。
对于 SaaS 和外部网站,所谓的"事物"是指我们下载和交互的数据。保护措施采用了强大的内容检查形式。公司越来越需要利用安全 Web 网关 (SWG) 和云访问安全代理 (CASB) 来执行病毒扫描、沙盒处理和数据丢失预防 (DLP),以及使用 DNS 防火墙提供的基于域名的保护措施。通过检查内容本身并认可“所有位置都可能存在危险”这一理念,我们创造了一个额外的屏障,使对手更难获得访问权限。
一旦我们放弃“按位置给予信任”的过时观念(无论是映射到访问内部应用程序的最终用户,还是映射到被这些最终用户访问的外部网站和 SaaS 提供商),我们就可以开始关注有意义的最新保护措施,这些措施将使我们所有人都更加安全。
这是我们所有人都可以给予支持的事情。
