Akamai：“警鐘”連敲兩次，你該如何應(yīng)對？

三月，信息安全圈爆出了兩起極為嚴(yán)重的安全事件。

首先，一家全球知名IT公司的電子郵件系統(tǒng)被發(fā)現(xiàn)存在多個(gè)遠(yuǎn)程代碼執(zhí)行高危漏洞，截至目前全球范圍內(nèi)已經(jīng)有數(shù)萬家組織的數(shù)十萬臺(tái)服務(wù)器被感染。借此，攻擊者無需身份驗(yàn)證或有效電子郵件賬戶，只需一個(gè)Web瀏覽器即可從服務(wù)器上讀取電子郵件，甚至完全接管郵件服務(wù)器。

就在大量IT人員忙著給自家郵件服務(wù)器打補(bǔ)丁的同時(shí)，緊接著硅谷一家安防領(lǐng)域初創(chuàng)公司又被爆出重大漏洞，攻擊者可以借此拿到該公司客戶所部署的，超過15萬個(gè)安防攝像頭的遠(yuǎn)程管理權(quán)限，并查看實(shí)時(shí)和存檔的監(jiān)控錄像。

事情到底多嚴(yán)重？僅從Akamai圍繞上述郵件系統(tǒng)漏洞在48小時(shí)內(nèi)全球范圍的觀察結(jié)果來看，就發(fā)現(xiàn)：

共有290,000個(gè)嘗試掃描和/或利用這些漏洞的唯一嘗試企圖

這些企圖共涉及952個(gè)唯一IP，其中731個(gè)IP早已被Akamai Client Reputation威脅智能引擎標(biāo)記為已知的Web掃描器或Web攻擊者

23,910臺(tái)主機(jī)成為被攻擊的目標(biāo)

80%的攻擊活動(dòng)針對商業(yè)、高科技、金融服務(wù)、制造業(yè)等垂直行業(yè)

90%的攻擊以美國、澳大利亞、印度、加拿大、德國、法國和英國的組織為目標(biāo)

其實(shí)在Akamai看來，這兩起事件再次證明了我們始終強(qiáng)調(diào)的一個(gè)重要原則：選擇云為先的零信任安全模型，這才是大部分企業(yè)面向未來實(shí)現(xiàn)安全性的最佳方式。

為什么這樣說？原因很簡單。

如何看待這兩起事件？

先來看看上文提到的那個(gè)電子郵件系統(tǒng)的遠(yuǎn)程代碼執(zhí)行漏洞。雖然廠商強(qiáng)烈建議客戶盡快為部署在本地環(huán)境的郵件服務(wù)器打補(bǔ)丁，但眾所周知，給系統(tǒng)安裝補(bǔ)丁并不像聽起來那么簡單或快速就能完成，尤其是當(dāng)IT人員本已非常忙碌并且人手不足時(shí)更是如此。其實(shí)從以往類似事件的發(fā)展歷程就可以很自然地想到：盡管相關(guān)廠商已經(jīng)預(yù)警并提供了補(bǔ)丁程序，但未來很長一段時(shí)間里，依然會(huì)有很多用戶出于各種原因繼續(xù)運(yùn)行未打補(bǔ)丁的軟件，進(jìn)而遭受攻擊并承受損失。

再來說說安防公司這起事件。關(guān)于該攻擊的技術(shù)細(xì)節(jié)還有很多疑問和不確定的地方，但很多證據(jù)表明，該公司將一臺(tái)Jenkins服務(wù)器暴露至公眾互聯(lián)網(wǎng)上，可能是導(dǎo)致此次攻擊的最主要原因。借此，攻擊者只需要利用一些眾所周知的戰(zhàn)術(shù)、技術(shù)以及工具，即可獲得系統(tǒng)訪問權(quán)限，并以此為跳板訪問內(nèi)部網(wǎng)絡(luò)中的更多資源。

而這兩起事件也有一些共通之處：只要通過某種形式的智能訪問控制機(jī)制對有漏洞的服務(wù)器施以訪問限制措施，就能阻止攻擊者直接訪問到網(wǎng)絡(luò)中的內(nèi)部資源。這樣做，來自外部的攻擊者就無法直接觸及包含漏洞的內(nèi)部系統(tǒng)，而只能通過“扮演”真正的最終用戶，以間接的方式發(fā)起攻擊。而隨著各類可結(jié)合上下文情境，具備自適應(yīng)能力，可智能感知用戶身份的訪問控制解決方案（如兼容FIDO2標(biāo)準(zhǔn)，采用零信任網(wǎng)絡(luò)訪問[ZTNA]方法的多重身份驗(yàn)證機(jī)制）陸續(xù)普及，這樣的做法其實(shí)已經(jīng)越來越難以成功了。

Aamai如何提供幫助？

對于上文提到的兩個(gè)安全事件，Akamai用戶只需簡單的設(shè)置即可有效預(yù)防并獲得保護(hù)。

對于Akamai Web應(yīng)用程序防火墻解決方案、Kona Site Defender以及Web Application Protector用戶，在Automated Attack Groups引擎自動(dòng)更新機(jī)制的保護(hù)下已經(jīng)可以獲得保護(hù)。同時(shí)Akamai也建議客戶使用Automated Attack Groups將攻擊組（尤其是Web Platform Attack Group）設(shè)置為“Deny”，即可有效遏制相關(guān)風(fēng)險(xiǎn)。

Kona Site Defender用戶則可使用Kona Rule Set（KRS）更新自己的配置文件，并在Total Request Score(Inbound)攻擊組中啟用新發(fā)布的，ID為3000083和3000084的規(guī)則，這樣即可有效預(yù)防CVE-2021-26855和CVE-2021-27065這兩個(gè)漏洞的影響。

兩個(gè)事件帶給我們什么心得和啟發(fā)？

成功發(fā)起攻擊的攻擊者將能在有漏洞的郵件服務(wù)器上執(zhí)行任意代碼甚至安裝Web Shell，進(jìn)而獲得系統(tǒng)的持續(xù)訪問權(quán)限，并以此為基礎(chǔ)訪問服務(wù)器上的文件夾和郵箱，以及系統(tǒng)中存儲(chǔ)的憑據(jù)。

Akamai相關(guān)安全產(chǎn)品可通過多種控制措施檢測到這類企圖：

01 Web Application Firewall

通過Rate Controls、TOR IP Blocklist以及Penalty Box功能檢測并阻止漏洞掃描所產(chǎn)生的流量，同時(shí)通過“虛擬補(bǔ)丁”功能在第一時(shí)間消除0 Day漏洞可能導(dǎo)致的隱患，為IT人員贏得寶貴的響應(yīng)時(shí)間。

02 Client Reputation

通過“Web Scanner”和“Web Attacker”分類可發(fā)現(xiàn)大部分掃描此類漏洞的攻擊者。

03 Bot Management

借此識別傳入的流量是否來自自動(dòng)化代理或匿名代理。

除了上述措施，Akamai還強(qiáng)烈建議組織考慮實(shí)施零信任網(wǎng)絡(luò)訪問（Zero Trust Network Access，ZTNA）機(jī)制，借此更好地預(yù)防同類型的軟件漏洞。在傳統(tǒng)的“先驗(yàn)證后信任”模式中，如果某人具備正確的憑據(jù)，就可以訪問有權(quán)訪問的所有站點(diǎn)、應(yīng)用或設(shè)備。這導(dǎo)致暴露的風(fēng)險(xiǎn)增加，從而瓦解了曾經(jīng)值得信任的企業(yè)控制區(qū)域，并使許多公司面臨數(shù)據(jù)泄露、惡意軟件和勒索軟件攻擊的風(fēng)險(xiǎn)。

而ZTNA采取了截然不同的方法，這種方法從來不會(huì)信任某個(gè)用戶或某個(gè)設(shè)備，只有在用戶/設(shè)備成功通過一系列（不僅僅依賴于用戶憑據(jù)的）身份驗(yàn)證和授權(quán)過程后，才能訪問所需應(yīng)用和數(shù)據(jù)。這種模式取代了以邊界為中心的安全架構(gòu)。它可確保根據(jù)身份、設(shè)備和用戶環(huán)境動(dòng)態(tài)實(shí)施安全和訪問決策，還可以保護(hù)這些應(yīng)用程序和用戶免遭互聯(lián)網(wǎng)上的高級威脅。