为什么网络应用程序是今年的主要攻击媒介之一

news2024/12/23 2:41:57

网络犯罪分子在绕过最新的网络应用程序防火墙方面的独创性正在将互联网应用程序变成今年增长最快的攻击媒介。面向公众的 Web 应用程序现在是渗透组织边界的最广泛使用的攻击媒介。

根据卡巴斯基全球应急响应团队最近的一份报告,始于 Web 应用程序的攻击从 2020 年的 31.5% 增加到 2021 年的 53.6% 。 

保护 Web 应用程序是一个不断变化的目标 

通过自动威胁检测来识别互联网应用程序的入侵尝试、攻击和破坏变得越来越具有挑战性。网络犯罪分子依靠窃取的特权访问凭据,并使用依赖 Powershell、PsExec、Windows 管理界面 (WMI) 和其他常用工具的离地 (LOTL) 技术来避免在发起攻击时被检测到。

PsExec、Mimikatz 和 Cobalt Strike 继续成为 2021 年最受欢迎的攻击工具之一。因此,71% 的入侵尝试没有恶意软件,这使得它们更难识别,更不用说阻止了。根据 CrowdStrike 的 2022 Falcon OverWatch 威胁狩猎报告,一旦网络犯罪分子攻破了攻击媒介,他们只需 1 小时 24 分钟即可在网络中横向移动。 

API 攻击是 Web 应用程序中增长最快的攻击策略。去年 API 攻击流量增长了117% ,而整体 API 流量增长了 168%。企业表示,通过提高 API 安全性来阻止攻击是他们最紧迫的挑战,其次是确定哪些 API 会暴露 PII 或敏感数据。此外,网络犯罪分子将 API 视为绕过 Web 应用程序安全性并获得网络访问权限的快速手段,通常会在那里停留数月而不被发现。

“Web 应用程序是第一大载体,毫不奇怪,它与大量 DoS 攻击有关。这种配对以及使用被盗凭据(通常针对某种形式的 Web 应用程序)与我们在过去几年中看到的情况一致,”根据2022 年 Verizon 数据泄露报告。80% 的违规行为始于 Web 应用程序,这些应用程序因访问凭据被盗、后门攻击、远程注入和桌面共享软件黑客攻击而遭到破坏。  

每个设备的身份都是一个新的安全边界

Web 应用程序防火墙 (WAF) 和反向代理并没有减缓对托管和非托管设备的入侵和破坏尝试。一个原因是 WAF 的设计目的不是强制执行最低特权访问、提供细粒度的权限和策略控制或支持对网络进行微分段。此外,由于大量误报,许多组织以“警报”模式运行其 WAF,而不是让它们阻止攻击。同时,最近的一项调查表明,至少有一半的应用层攻击绕过了 WAF。

使问题进一步复杂化的是大多数组织需要支持的新分布式工作环境。用户从不同且不断变化的 IP 地址以及托管和非托管设备的组合进行连接。使用 BYOD 和非托管设备尤其成问题,微软最近的报告证明了 71% 的勒索软件案例是由非托管的面向互联网的设备发起的。

现在被称为零工经济,承包商对每个组织的劳动力都至关重要。他们依靠非托管设备来完成工作,从而产生第三方访问风险。即使是托管设备也是一种安全威胁,因为它们经常过度配置端点安全代理。

Absolute Software 的端点风险报告发现,平均而言,每个端点安装了 11.7 个代理,每个代理都会产生潜在的软件冲突并以不同的速度降级。Absolute Software 的报告还发现,大多数端点 (52%) 安装了三个或更多端点管理客户端,59% 至少安装了一个身份访问管理 (IAM) 客户端。试图通过使用代理重载非托管和托管设备来强化它们是行不通的。

不幸的是,WAF 阻止了不到 50%的应用层攻击,并且以生成误报警报而闻名。众所周知,安全团队会关闭警报,因为有多少是虚假的,从而使应用程序及其包含的数据仅部分受到保护。 

需要一种基于零信任的方法,将每个设备的身份跟踪到浏览器会话,作为 Web 应用时代的合适安全边界。

更安全地运行 Web 应用程序  

浏览器隔离不是像防火墙那样试图保护、控制和过滤在每个设备和它试图访问的应用程序之间流动的流量,而是一种可以用来通过在网络和网络之间创建间隙来更安全地运行 Web 应用程序的技术。

一方面是应用程序,另一方面是恶意软件。远程浏览器隔离 (RBI) 在安全、隔离的云环境中运行所有会话,在浏览器会话级别强制执行最低权限的应用程序访问。这减少了跨托管和非托管设备安装和跟踪端点代理/客户端的需要,并使简单、安全的 BYOD 访问和第三方承包商能够在他们自己的设备上工作。 

每个应用程序访问会话都可针对所需的特定安全级别进行配置。例如,网络安全团队正在使用应用程序隔离来定义用户级策略,以控制给定用户可以访问哪些应用程序以及允许他们采取哪些数据共享操作。

常见控制包括 DLP 扫描、恶意软件扫描和限制剪切和粘贴功能,包括剪贴板使用、文件上传/下载权限以及将数据输入文本字段的权限。已调整其 RBI 解决方案以支持应用程序访问安全性的供应商包括 Broadcom、Ericom 和 Zscaler。 

除了访问和数据共享控制之外,RBI 方法还保护 Web 应用程序的暴露表面,保护它们免受受损设备和不良行为者的侵害,同时确保合法用户具有完全访问权限。气隙技术阻止了黑客或受感染机器在尝试探测 Web 应用程序、寻找可利用的漏洞时带来的风险,因为它们无法查看页面源代码、开发人员工具或 API。

Ericom ZTEdge 的应用程序隔离方法称为 Web 应用程序隔离 (WAI),这是一种利用 RBI 保护 BYOD 和非托管设备对公共或私有 Web 和云应用程序的访问的独特方法。

Ericom 表示,其客户发现 WAI 还可以有效地掩盖应用程序的攻击面,使组织能够针对OWASP 十大Web 应用程序安全风险获得更大的保护。

通过依靠 RBI 在应用程序、系统和恶意软件尝试之间创建安全、隔离的气隙来隔离 Web 应用程序,可以保护 Web 应用程序的 OWASP 十大最关键安全风险中的一些。

安全浏览器会话的零信任

网络犯罪分子不断发现绕过 WAF 和反向代理的新方法,以不断增长的速度成功发起入侵和破坏 Web 应用程序。随着非托管设备的数量继续呈指数级增长,保护 Web 应用程序的安全也变得越来越具有挑战性。

对外部承包商、供应商、销售和分销网络的更大依赖给 IT 和安全团队带来了压力,以保护不断增长的非托管设备基础。此外,在第三方系统上安装代理充满了兼容性和规模挑战。 

由于安全团队已经捉襟见肘,因此需要一种更有效的方法来保护每台设备和浏览器,最好使用零信任作为框架。使用 RBI 保护 Web 应用程序可以解决浏览器和会话级别的挑战,并且无需在每台设备上安装代理。

值得注意的是,该框架使非托管设备的用户能够以虚拟方式工作,而不会将公司应用程序或数据暴露于入侵尝试或威胁之下。这是用于简化无客户端安全的零信任策略的前进方向,可保护企业应用程序及其敏感数据。 

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/95868.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

ocker高级篇1-dockeran安装mysql主从复制

大家好,咱们前面通过十篇的文章介绍了docker的基础篇,从本篇开始,咱们的《docker学习系列》将要进入到高级篇阶段(基础篇大家可以查看之前发布的文章)。 咱们先来介绍:docker复杂方式安装软件。通过按照mysql\redis两个案例来讲解…

XC6SLX100-3FGG484C规格、XC7A15T-2CPG236I产品概述及应用

Spartan-6系列提供领先的系统集成能力,为大批量应用提供最低的总成本。这个由13个成员组成的家族扩展了逻辑单元的密度,从3840个扩展到147443个,功耗仅为之前斯巴达家族的一半,并且具有更快、更全面的连接。 Spartan-6系列基于成熟…

拯救动画卡顿之FLIP

前置知识 什么是FPS FPS是浏览器的每秒的渲染帧数,也就是浏览器切换画面的次数,大多数设备的刷新率都是60FPS,一般来说FPS越低页面就会越卡顿。 什么是像素管道? 像素管道是浏览器单个帧的渲染流水线,如果其中有某…

vue数据双向绑定

5.Vue数据双向绑定 5.1.什么是双向数据绑定 Vue.js 是一个 MVVM 框架,即数据双向绑定,即当数据发生变化的时候,视图也就发生变化,当视图发生变化的时候,数据也会跟着同步变化。这也算是 Vue.js 的精髓之处了。 值得…

[ MessAuto ]: 短信验证码自动填充,理论支持所有浏览器或 APP, Only For Mac

MessAuto 开源地址:https://github.com/LeeeSe/MessAuto MessAuto 是一款 macOS 平台 自动提取 短信验证码并 粘贴回车 的软件,百分百由Rust开发,适用于任何APP。 特点: 轻量:程序占用存储 1.8 M,占用内…

NLP学习笔记(三) GRU基本介绍

大家好,我是半虹,这篇文章来讲门控循环单元 (Gated Recurrent Unit, GRU) 文章行文思路如下: 首先通过长短期记忆网络引出为什么需要门控循环单元然后介绍门控循环单元的核心思想与运作方式最后通过简洁的代码深入理解门控循环单元的运作方…

奇舞周刊 476 期:代码在内存中的 “形状”

记得点击文章末尾的“ 阅读原文 ”查看哟~下面先一起看下本期周刊 摘要 吧~奇舞推荐■ ■ ■代码在内存中的 “形状”众所周知,js 的基本数据类型有 number、string、boolean、null、undefined 等。那么问题来了 typeof null 和 typeof undefined 分别是什么呢&…

[附源码]Node.js计算机毕业设计果蔬预约种植管理系统Express

项目运行 环境配置: Node.js最新版 Vscode Mysql5.7 HBuilderXNavicat11Vue。 项目技术: Express框架 Node.js Vue 等等组成,B/S模式 Vscode管理前后端分离等等。 环境需要 1.运行环境:最好是Nodejs最新版,我…

[内网渗透]—NTLM网络认证及NTLM-Relay攻击

NTML网络认证 Windows认证分为本地认证和网络认证,当我们开机登录用户账户时,就需要将lsass.exe进程转换的明文密码hash与 sam文件进行比对,这种方式即为——本地认证 而当我们访问同一局域网的一台主机上的SMB共享时,需要提供凭证通过验证才能访问,这个过程就会设计win…

【C++】list 的模拟实现

​🌠 作者:阿亮joy. 🎆专栏:《吃透西嘎嘎》 🎇 座右铭:每个优秀的人都有一段沉默的时光,那段时光是付出了很多努力却得不到结果的日子,我们把它叫做扎根 目录👉前言&…

Halcon条码和二维码质量评级

现在各行各业的人们都使用条码/二维码从生产阶段到销售点全程追踪他们 的产品。那么怎么验证生产出来的具有可读性,码的质量等级如何呢? 其实ISO行业标准已经给出了如何评估码的质量等级的标准,以下三种主要验证标准用于确定一维条码、二维码…

毕业设计 - 基于Java EE平台项目管理系统的设计与实现【源码+论文】

文章目录前言一、项目设计1. 模块设计2. 实现效果二、部分源码项目工程前言 今天学长向大家分享一个 java web项目: 基于Java EE平台项目管理系统的设计与实现 一、项目设计 1. 模块设计 从管理员角度看: 用户登入系统后,可以修改管理员的密码。同时具有以下功能…

最全的SpringMVC教程,终于让我找到了

1. 为啥要学 SpringMVC&#xff1f; 1.1 SpringMVC 简介 在学习 SpringMVC 之前我们先看看在使用 Servlet 的时候我们是如何处理用户请求的&#xff1a; 配置web.xml <?xml version"1.0" encoding"UTF-8"?> <web-app xmlns"http://xmln…

[附源码]Python计算机毕业设计国际美容会所管理系统Django(程序+LW)

该项目含有源码、文档、程序、数据库、配套开发软件、软件安装教程 项目运行 环境配置&#xff1a; Pychram社区版 python3.7.7 Mysql5.7 HBuilderXlist pipNavicat11Djangonodejs。 项目技术&#xff1a; django python Vue 等等组成&#xff0c;B/S模式 pychram管理等…

Jetpack Compose中的动画

Jetpack Compose中没有沿用Android原有的View动画和属性动画&#xff0c;而是新创建了一套全新的动画系统API&#xff0c;这是理所当然的&#xff0c;因为旧的动画系统主要是基于View体系的&#xff0c;而Compose中需要针对的是Composable可组合函数进行处理&#xff0c;那么势…

他文献查到凌晨两点,我用Python十分钟搞定!

大家好&#xff0c;我是爱学习的王饱饱。 对于应届毕业生来说&#xff0c;今年一定是难熬的一年。本来找工作、写论文就已经是两座大山了&#xff0c;还要面临论文无指导的额外压力。 这让我想到了去年毕业的表弟&#xff0c;当时他为了完成论文&#xff0c;摔烂了三个鼠标。…

Jsp服装商城包安装调试

(https://img-blog.csdnimg.cn/78351365dac24f6185cb69ee3a804ba1.png)jsp mysql新季服装商城 功能&#xff1a;前台会员中心后台 前台&#xff1a; 1.服装展示 图文列表 新闻列表 详情 2.注册登录 管理登陆 3.加入购物车 会员中心&#xff1a; 1.个人账户 查看 修改个人…

一个新的React项目我们该如何配置

最近组长让我负责一个新的项目&#xff0c;项目的技术栈是React typescript redux and design&#xff0c;一个工龄1年的小白菜只能先去github找开源项目看看他们做了哪些配置&#xff0c;然后去百度这些配置改如何安装。下面就是我记录一个新的React项目配置的过程。 安装…

知识图谱有哪些应用领域?

知识图谱通常应用于自然语言处理和人工智能领域&#xff0c;常用于提高机器学习模型的准确性和效率。它还可以用于数据挖掘、信息检索、问答系统和语义搜索等领域。近年来知识图谱在电子商务、金融、公安、医疗等行业逐步开始落地&#xff0c;在这些行业的渗透、深入中&#xf…

部门还有谁在? 已经没几个人了~

正文大家好&#xff0c;我是bug菌&#xff5e;终于熬过了阳性的第三天&#xff0c;症状相对没之前那么痛苦了&#xff0c;打算要家里面的兄弟帮忙处理点事情&#xff0c;一个电话打过去&#xff0c;没想到整个部门都没几个人了&#xff0c;病毒的毒性是减弱了&#xff0c;这传染…