商业行业的威胁趋势分析
执行摘要
Akamai 的所有安全工具都监测到了大量攻击。在最新的《互联网现状/安全性》(SOTI) 报告中,我们就恶意软件攻击的变化、客户影响、监管要求以及针对商业的新兴威胁,分享了我们的观点。我们的报告包含以下几个要点:
商业行业仍然是遭受 Web 应用程序和 API 攻击最多的垂直行业,所受攻击量超过 140 亿次。之所以会这样,很大程度上是因为该行业不断进行着数字化改造并且攻击者可以利用很多 Web 应用程序漏洞来入侵其预定目标。
本地文件包含 (LFI) 攻击在 2021 年第三季度至 2022 年第三季度的增幅为 314%,表明攻击趋势有转向远程代码执行的倾向,同时攻击者现在会利用 LFI 漏洞来获得立足点,以实现数据外泄。
商业垂直行业使用的 JavaScript 有一半来自第三方供应商,这导致网页掠夺和 Magecart 攻击等客户端攻击的威胁程度升级。因此,必须正确实施将在付款页面上检测这些攻击的机制,以确保仍然符合支付卡行业数据安全标准 (PCI DSS) 版本 4.0。
此外,攻击者还可能会滥用脚本内的安全漏洞,进而能够在供应链攻击中渗透更大、利润更丰厚的目标。
2023 年第一季度,Akamai 安全情报组监测到,针对商业客户发起的网络钓鱼活动占比超过 30%。
Akamai 在 15 个月内监测到超过 5 万亿次的恶意爬虫程序请求,同时发现通过可能导致欺诈的 撞库 攻击来攻击商业客户的案例出现激增。
商业企业由于具有复杂、不断变化的攻击面并且拥有犯罪分子想获得的大量敏感数据,因而面临着各种挑战。本博文将重点介绍最新一期有关商业行业的 SOTI 报告中的一些调查结果。该报告介绍了 Web 应用程序和 API 攻击的发展情况、JavaScript 环境的变化、爬虫程序攻击的发展趋势以及对网络钓鱼方法的见解。
困境:以有限的安全预算应对更高的需求
虽然商业受到的监管不如金融服务或医疗保健行业那么严,但它需要相同级别的成熟安全机制。商业行业拥有一个复杂的基础架构生态系统,其中涵盖了销售点 (PoS) 终端、物联网 (IoT) 设备和移动设备,并且该行业需要利用 Web 应用程序和 API 进一步推动业务发展。
通常,商业网站会使用第三方供应商的脚本来改善整体客户体验和提高转化率。使用这些脚本会带来另一层风险,因为大多数第三方脚本都使用开源库,而攻击者可能会利用这些库中的漏洞。我们在 Magecart 式攻击中发现了这一趋势,攻击者会利用安全漏洞来滥用 JavaScript 库 。
由于零售商拥有大量需要保护的敏感数据,因此我们还看到了一些以他们为目标的勒索软件团伙。在我们的 《Akamai 勒索软件威胁报告》中,商业(零售和酒店业)占 Conti 攻击的 16%。 这得到了来自 Sophos 的另一份 报告 的印证,该报告指出零售业遭受攻击的频率激增。
商业行业仍是最易成为网络攻击目标的垂直行业,在 Akamai 监测到的攻击总量中占比 34%(图 1)。在商业行业内,零售业依然是遭受攻击最多的次级垂直行业,占该行业所受攻击总量的 62%。
图 1:商业仍是最易成为网络攻击目标的垂直行业,占 Akamai 监测到的攻击量的 34%;零售业仍然是商业行业中最易遭受攻击的子垂直行业,占商业行业遭受攻击量的 62%
尽管安全和 IT 团队面临着保护其边界和客户信息的巨大压力,但他们还需要面临 安全预算有限 方面的挑战,这要求他们少花钱多办事。
导致数据泄露和远程代码执行的攻击媒介
我们发现,商业垂直行业中的攻击媒介不断发生着变化,LFI 攻击正在取代结构化查询语言注入和跨站脚本攻击。此外,我们还发现新出现的远程代码执行攻击,尤其是以下三类攻击值得我们注意:
服务器端请求伪造 (SSRF)
服务器端模板注入 (SSTI)
服务器端代码注入
这些类型的攻击不断增加的原因在于它们对商业公司的潜在影响,即它们造成的破坏会导致数据外泄和远程代码执行。勒索软件攻击者现在使用 SSRF 漏洞来造成极大的破坏。SSTI 是攻击者青睐的零日攻击技术(例如, Log4J)。
恶意爬虫程序和第三方供应商脚本
攻击者在不断提升自己的能力和老练程度。在刚刚过去的一年,商业行业遭受的恶意爬虫程序攻击大幅增加,过去 15 个月内的攻击量已超过 5 万亿次,这直接导致欺诈类的网络钓鱼和撞库攻击激增。
另一方面,使用僵尸网络的黄牛操作现在以“即服务”的形式提供,不仅导致爬虫程序管理器产品供应商面临对抗性挑战,还导致零售商收入减少。
最后,我们发现 50% 的商业脚本来自第三方供应商,这会产生更大的攻击面并且可能会带来引发供应链攻击的安全风险(图 2)。其中一个示例为 Magecart 攻击 ,该攻击窃取了一家大型航空公司超过 35 万名客户的付款信息。
图 2:商业网站中使用的 JavaScript 有 50% 来自第三方,而对于所有其他垂直行业而言,仅使用第三方供应商脚本的这一比例为 39%。
采取措施
攻击方法的变化要求我们更新应对策略和渗透测试计划,并对开发人员进行最佳实践培训。此外,合规标准的变化也会产生长尾效应,因此,现在必须制定出一个符合新 JavaScript 要求(例如,PCI DSS 4.0)的计划。
下载 完整的 SOTI 报告, 查看其他详细信息和图表。该报告深入探讨了 Web 应用程序和 API 攻击的现状、JavaScript 环境的变化以及爬虫程序攻击的发展趋势;提供了对网络钓鱼方法的见解;对这些类别的攻击在亚太地区及日本以及欧洲、中东和非洲的发展情况进行了详细的区域性分析;最后,根据这些调查结果提供了相应的行动建议。
了解更多
随时了解 Akamai 的研究和告警。您可以找到 SOTI 报告、与威胁和威胁防护最佳实践相关的博文以及其他工具和资源。
