揭示网络攻击的三个成功教训

Akamai中国

于 2024-03-06 15:55:26 发布

阅读量709

点赞数 9

分类专栏：云安全文章标签：网络云安全 Akamai Linode 云服务漏洞

本文链接：https://blog.csdn.net/AKAMAI_CHINA/article/details/136508864

版权

云安全专栏收录该内容

16 篇文章 0 订阅

订阅专栏

某某大型企业遭遇网络攻击和入侵之类的新闻已经见怪不怪了，似乎每隔几个月都会出现一次。那么这不免会让人反思，我们能从这些不断发生的攻击中学到什么教训？如何借助这些前车之鉴让自己在创建防御措施方面做得更好？怎样让攻击者更难以成功？

保护企业免受数据泄露，这需要从传统安全措施中进行战略性转变。过去的 10 年里，Akamai 一直在为全球客户提供建议，这些建议涉及网络安全策略、防御架构以及如何在威胁行为者不断变化的策略面前保持领先。

本文将介绍 Akamai 通过观察成功发起的攻击，进而从中学到的三个关键教训。这些经验有助于保护企业免受现代数据泄露和恶意软件感染。

一、传统 VPN 已成昨日黄花，早已不适合如今的企业环境

多年来，传统的虚拟专用网络（VPN）一直是远程访问企业网络的首选解决方案。这项传统技术最早是在 1996 年由微软开发的，当时他们开发了一种点对点隧道协议（PPTP），旨在通过一个安全通道（“隧道”）将远程用户连接到网络，使攻击者难以截取或 “窥视” 数据传输。（这一系列技术最终通过实施 IPsec 和第二层隧道协议 [L2TP] 进行了更新和完善）。

1.VPN 的安全漏洞

不幸的是，尽管能保证传输过程的数据安全性，但面临现代化的威胁，VPN 在安全控制方面存在诸多不足，原因在于 VPN 允许所有流量通过隧道传输，这是因为人们认为这条路径上的所有流量都应该受到信任。这就是在连接到 VPN 后，家庭网络和公司网络（可能具有不同的安全级别）会共享网络空间，从而使它们实际上连接在一起，并通过 VPN 隧道相互信任的原因所在。

2.ZTNA 提供的拯救之道

零信任网络访问（ZTNA）提供了解决方案，相比传统 VPN，这种方式采用了截然不同的方法，不再将远程用户的网络连接到企业网络，相反，会利用一种反向代理技术，只为远程用户提供访问执行其职责所必需的特定应用程序，而无需连接家庭和企业网络（这两者可能具有不同的安全级别）。
这种方法有效地将用户环境与企业网络隔离开来，减少了恶意软件传播到企业系统的风险。
通过实施 ZTNA，企业可以确保远程访问非常安全，因为它只允许访问经过授权的应用程序，并最大限度减少非必要网络开销，同时增强整体数据保护。

二、传统 MFA 犹如筛网，绕过方案数不胜数

多因素认证（MFA）已成为增强登录安全性的标准做法。然而传统 MFA 技术存在很多漏洞，特别是在涉及到中间人攻击、网络钓鱼活动和社会工程学绕过等方面存在很多潜在风险。

发生这种情况是因为执行传统 MFA 的不同系统之间的关系存在缺口。当攻击者使用网络钓鱼或社会工程学攻击来获取特定用户的凭据（或者仅仅是在先前的数据泄露中找到这些凭据）时，他们可以将窃取的凭据输入到认证服务中以开始认证过程。

尽管 MFA 验证响应会发送到注册给用户的企业设备，但 MFA 的 “轰炸 / 垃圾信息拥塞” 可能导致社会工程学攻击，攻击者可以通过电话 / 聊天等方式冒充技术支持人员，骗取用户信任进而帮助用户 “解决问题”。

然而真正的问题发生在企业用户被欺骗并在自己的 MFA 设备上点击 “接受” 按钮时。会话的身份验证令牌将会被发送到攻击者控制的机器（最初请求认证的那台机器）上，从而让攻击者可以连接到他们试图访问的系统或应用程序。这个最终阶段绝对不应该发生，因为攻击者的机器不属于受信任的生态系统。

实施能保护认证过程的新标准

为缓解这些风险，企业应考虑采用 FIDO2 和 WebAuthn 标准。在用户注册过程中，这些标准能在企业设备 / 笔记本电脑、MFA 设备（例如手机）和认证服务之间建立更强大加密关系。
每个请求必须通过这个安全生态系统来处理，以确保认证令牌只到达预期接收者，不能被拦截或重定向到另一个用户。通过实施 FIDO2 和 WebAuthn 标准，企业可以加强其认证过程，使攻击者极其难以截取或篡改认证请求。