信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

即將過去的2023年，網(wǎng)絡(luò)安全、云安全、應(yīng)用安全、數(shù)據(jù)安全領(lǐng)域暴露的諸多“安全債”中，有四大債務(wù)不但未能充分緩解，反而有在新的一年“爆雷”的風(fēng)險(xiǎn)。這四大債務(wù)分別是：Logj4漏洞、HTTP/2快速重置攻擊漏洞、惡意電子郵件和后量子加密，以下我們分別介紹：

一

Log4j漏洞仍然是2023年的頭號漏洞

Log4j漏洞是2021年11月曝出的互聯(lián)網(wǎng)歷史上最嚴(yán)重的漏洞之一，因?yàn)樗粌H普遍存在、易于利用，且危害巨大。兩年后的今天，在全球網(wǎng)絡(luò)安全行業(yè)和企業(yè)界的共同努力下，很遺憾，Log4j漏洞仍然普遍存在、易于利用且危害巨大。

根據(jù)Cloudflare本月發(fā)布的報(bào)告，2023年全球范圍內(nèi)針對Log4j的攻擊量始終遠(yuǎn)超其他漏洞（上圖），并且在10月最后一周和11月中下旬還出現(xiàn)了新的高峰（法國、德國、印度和美國的log4j漏洞利用最為活躍）。

Veracode近期發(fā)布的報(bào)告則顯示，盡管業(yè)界付出了巨大努力來修補(bǔ)Log4j漏洞，但2023年仍有超過三分之一的應(yīng)用程序運(yùn)行易受攻擊的Log4j版本。

Log4j漏洞為何“復(fù)陽率”居高不下？Veracode首席研究官Chris Eng指出：“許多安全團(tuán)隊(duì)反應(yīng)迅速，修補(bǔ)了最初的Log4j漏洞，但隨后又恢復(fù)了之前的松弛狀態(tài)，即使在2.17.1及更高版本發(fā)布后也不修補(bǔ)。”他說。

Veracode發(fā)現(xiàn)，32%的應(yīng)用程序使用的Log4j版本已于2015年8月終止。79%的開發(fā)人員在將第三方（開源）庫添加到代碼中后從未更新過。“這解釋了為什么如此高比例的應(yīng)用程序正在運(yùn)行Log4的終止版本。”Eng說道。

二

最高效的DDoS攻擊技術(shù)：HTTP/2快速重置

2023年10月份披露的HTTP/2快速重置攻擊漏洞（通過快速重置繞過并發(fā)流限制）成了DDoS攻擊的熱門選擇，該漏洞可導(dǎo)致目標(biāo)web應(yīng)用服務(wù)器、負(fù)載均衡器和web代理服務(wù)器的資源被快速耗盡。

Cloudflare對8月至10月的HTTP/2快速重置攻擊的分析（上圖）發(fā)現(xiàn)，平均攻擊率為每秒3000萬個(gè)請求(rps)，其中90次攻擊峰值超過1億rps。這些數(shù)字令人擔(dān)憂，因?yàn)镠TTP/2快速重置漏洞使攻擊者可以利用規(guī)模相對較小的僵尸網(wǎng)絡(luò)（與動輒數(shù)十萬或數(shù)百萬臺主機(jī)的僵尸網(wǎng)絡(luò)相比，只需2萬臺受感染主機(jī)）發(fā)動大規(guī)模分布式拒絕服務(wù)(DDoS)攻擊。

密碼管理和在線存儲公司Keeper Security的安全和架構(gòu)副總裁Patrick Tiquet表示：“雖然HTTP/2改進(jìn)了Web性能和用戶體驗(yàn)，但也引入了對攻擊者非常有吸引力的新攻擊向量。HTTP/2快速重置漏洞可被用來發(fā)動規(guī)模空前的DDoS攻擊。”

Qualys威脅研究部門網(wǎng)絡(luò)威脅總監(jiān)Ken Dunham補(bǔ)充道：“更糟糕的是，這種攻擊很容易實(shí)施，對攻擊者來說回報(bào)豐厚，因?yàn)镠TTP/2快速重置攻擊據(jù)稱比傳統(tǒng)DDoS攻擊方法的效率高300%以上。”

雖然微軟、AWS、F5等基礎(chǔ)設(shè)施提供商和Web服務(wù)器、負(fù)載均衡軟件廠商都已經(jīng)發(fā)布了HTTP/2快速重置攻擊漏洞的緩解措施或補(bǔ)丁，但是安全專家認(rèn)為HTTP/2快速重置DDoS攻擊仍將在2024年大行其道。

三

惡意電子郵件攻擊持續(xù)增長

惡意電子郵件/網(wǎng)絡(luò)釣魚依然是網(wǎng)絡(luò)攻擊的首先方式。據(jù)估計(jì)，90%的成功網(wǎng)絡(luò)攻擊都是從電子郵件網(wǎng)絡(luò)釣魚開始的。根據(jù)FBI最新發(fā)布的數(shù)據(jù)，商業(yè)電子郵件泄露(BEC)是一種無惡意軟件的攻擊，可誘騙收件人轉(zhuǎn)賬資金，已導(dǎo)致全球受害者損失超過500億美元。

雖然電子郵件安全始終是企業(yè)網(wǎng)絡(luò)安全防御的重要環(huán)節(jié)，但是2023年電子郵件安全態(tài)勢進(jìn)一步惡化。根據(jù)Cloudfare Area1分析報(bào)告，2023年平均有2.65%的電子郵件被發(fā)現(xiàn)是惡意的，且呈現(xiàn)上升趨勢。按周計(jì)算，2月初、9月初和10月下旬惡意電子郵件占比分別飆升至3.5%以上、4.5%和5%以上（下圖）。

2023年惡意電子郵件占比持續(xù)增長數(shù)據(jù)來源：CloudFlare

惡意鏈接、身份竊取依然是2023年最主要的電子郵件威脅，敲詐內(nèi)容在十月份出現(xiàn)了一個(gè)短暫的高峰，各郵件威脅類型的變化如下：

惡意電子郵件威脅類型占比變化數(shù)據(jù)來源：CloudFlare

2024年，隨著生成式人工智能武器化的流行，惡意電子郵件的內(nèi)容質(zhì)量、發(fā)送規(guī)模和針對性將全面提升。企業(yè)需要結(jié)合智能化電子郵件安全解決方案和針對性安全意識培訓(xùn)才能有效緩解惡意電子郵件攻擊。

四

后量子加密流量僅占互聯(lián)網(wǎng)流量1.7%

雖然2023年谷歌的Chrome瀏覽器開始支持后量子密碼技術(shù)（PQC），但整個(gè)互聯(lián)網(wǎng)中PQC加密流量的占比依然很低。根據(jù)CloudFlare的報(bào)告，2023年使用PQC加密的互聯(lián)網(wǎng)流量占比約1.7%。

2023年后量子加密流量占比變化數(shù)據(jù)來源：CloudFlare

“網(wǎng)絡(luò)流量向量子安全加密的方向邁出了一步，但是PQC的采用率僅為1.7%，仍然太低。”量子安全安全解決方案制造商QuSecure的首席信息安全官Craig Debban表示：“由于PQC僅適用于TLS1.3，因此PQC可能需要數(shù)年時(shí)間才能獲得業(yè)界的普遍關(guān)注。”

Debban指出：“當(dāng)今的企業(yè)需要能夠編排加密技術(shù)，規(guī)劃并加速采用PQC加密技術(shù)，而無需等待客戶和供應(yīng)商升級他們的系統(tǒng)。”

企業(yè)數(shù)據(jù)安全提供商Qrypt的首席技術(shù)官兼聯(lián)合創(chuàng)始人Denis Mandich補(bǔ)充道：“量子計(jì)算和人工智能的威脅正在加速到來，而后量子加密技術(shù)也已經(jīng)不是新鮮事物，企業(yè)的網(wǎng)絡(luò)安全團(tuán)隊(duì)不能滿足于與同行對齊，只有跑贏同行，你才能避免被狗熊襲擊。那些沒有準(zhǔn)備好轉(zhuǎn)向量子安全工具和解決方案的人，不會得到任何人的同情。”