三体攻击是结合中断用户身份验证、过度数据泄露和不当资产管理的复合型攻击,利用影子API等漏洞,导致企业面临严重安全风险。由于企业对API攻击面的可见性不足,加上缺乏基于行为的分析监控,这种攻击难以防范。
2022年上半年,研究人员首次监测到三体攻击(trinity,也称三位一体攻击),该攻击同时使用了OWASP列表中的三个TTP:中断的用户身份验证(API2)、过度数据泄露(API3)和不当资产管理(API9)。虽然安全分析显示这些攻击只占监测到的API攻击数量(1亿次)的一小部分,但三体攻击数量在2022年全年保持稳定,这至少证明该攻击是有成效和回报的。
三体攻击之所以强大,是因为攻击者同时使用多种攻击TTP,打出更具威胁的“组合拳”。例如,攻击者在凭据填充攻击中会同时利用中断的用户身份验证(API2)与过度数据泄露(API3),从而通过API窃取大量个人数据。
至于不当资产管理(API9),一个很好的例子是影子API(那些启动后被遗忘或忽视,实际上不可见的API)。此类API通常容易受到攻击,因为它们不在安全团队的雷达上。攻击者可以在发起撞库攻击之前,使用已知的API模式轻松发现它们。
三体攻击对于很多企业来说都是一个棘手的难题,因为这些企业缺乏攻击面的可见性,无法清点他们的API并保持资产列表的更新,也不会监控那些貌似合法的海量攻击请求,因为这些企业的API安全系统通常不会使用基于行为的分析进行监视。
扫一扫
74
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
