DBIR 2021：应立即解决的三个关键Web应用程序漏洞

Download

About The Author

Richard Yew

Richard Yew is an accomplished Senior Director of Product Management - Security at Edgio, bringing extensive expertise in security solutions, TLS protocols, CDN configuration, and developer services. With a career spanning various prominent tech companies like Yahoo and Verizon, Richard's wealth of knowledge and leadership in the field make him a valuable asset to Edgio and the tech industry.

Download

这是我们由两部分组成的安全系列中的第二个。要阅读第一个博客,请点击这里.

Verizon 2021数据泄露调查报告(DBIR)分析了来自88个国家/地区的70,000多起数据泄露事件。它使用聚合分析来通知小组安全风险，这些风险不仅是”可能的，而且是可能的”。此报告是每个安全团队都可以用来衡量运营实践的基准，确定行动的优先级，最重要的是，将有限资源集中到最重要的地方，从而防止与停机和数据泄露相关的损失。

在本博客中，我们对DBIR的调查结果进行了总结，其中涉及针对违规行为的主要资产种类(Web应用程序/服务器)，事故中的主要向量(DDoS攻击)和第二大违规模式(基本Web应用程序攻击)，并包括可应对这些风险的建议和最佳实践。

洞察1：未修补的漏洞

‍Most DBIR中记录的漏洞活动是针对Web应用程序的”基本”攻击，定义为在初始入侵后具有少量步骤或额外操作。这些攻击侧重于直接目标，从访问电子邮件和Web应用程序数据到将Web应用程序重新用于恶意软件分发，篡改或未来的DDoS攻击。

记录的基本Web应用程序攻击为4，862次，几乎全部来自外部威胁攻击者。其中，1,384次经历了经确认的数据泄露，89%的时间内，财务收益是攻击的主要动机。凭证在80%的时间被泄露，而53%的时间被获取个人信息。

您应该实施哪些安全基础知识来保护您的组织免受Web应用程序攻击？上面的数据表明，修补漏洞对于大多数组织来说是一个很好的起点，特别是那些长期未修补的组织。请记住，每一天，攻击者都会对您的应用程序执行探索性黑客攻击，希望找到黄金。让我们进一步探讨这两个问题。

‍Insight 2:遗留应用程序中的漏洞

‍The网络罪犯的使命是渗透您的公司。他们希望尽快，安静和廉价地做到这一点。

DBIR确认，对较旧漏洞(四年或四年以上)的攻击比对较新漏洞的攻击更常见。恶意攻击者继续利用这些较旧的漏洞，因为它们往往是IT安全团队忽视的堆栈。它们还易于研究，发现漏洞，并且安装相对便宜。

较旧的堆栈也有更多的漏洞。此外，在网络犯罪分子社区中，对于哪些工具可以用来攻击这些较旧的技术堆栈，而不会被发现。

此问题已存在多年，在安全应用程序开发和修补程序管理功能有了显著改进之前，这一问题将在相当长的一段时间内继续成为一个挑战。

此外，通过利用众所周知的旧漏洞，网络罪犯不必拿出(也不必冒险暴露)他们最珍贵的工具。他们可以使用较旧的工具来定位较旧的应用程序,并且仍有大量的表面积可供使用—成本要低得多。

‍Insight 3: DDoS vulnerabilities‍

分布式拒绝服务(DDoS)自2018年以来急剧上升，成为2020年头号安全问题。从技术上讲，DBIR将DDoS归类为事件模式(而非违规)。不管如何分类，DDoS都可能严重破坏可用性—机密性，完整性和可用性三重要素的第三条分支。

正如网络罪犯正在破坏系统以查看他们可以提取的内容一样，他们也在使用廉价且随时可用的DDoS僵尸网络来发现易受攻击的系统，这些系统可能会作为赎金或破坏活动的一部分而脱机。 DBIR也证实了一些好消息：DDoS是“可以应对的信息安全趋势之一”。遗憾的是，太多的组织可能会假定他们拥有足够的保护，直到DDoS攻击揭示故障点，而代价是业务停机。

虽然DDoS抵御服务广泛可用，并且可能部署在您的网络和应用程序基础设施中，但随着这些攻击不断增加，现在是时候审视DDoS防护的范围了。我们建议您评估如何触发您的防护，以及如果攻击在第3，第4和第7层成功，对您的操作的影响。

不作为的代价

现在，我们已经讨论了DBIR的一些关键结果，让我们回顾一下报告中未涵盖的安全威胁：不作为。减少应用程序攻击面的一个常见挑战是Web应用程序在不断移动。许多公司正在不断发展，增加新功能，并迁移到云。实施安全修复程序继续困扰应用程序管道，迫使在业务，工程和安全利益之间进行权衡。消除旧漏洞(尤其是旧式应用程序)面临相反的挑战—让开发人员和项目管理人员关注仍在使用的Web应用程序，但不再关注业务重点/投资。在这两种情况下，恶意攻击者都依靠这些管理失误和无所作为来查找和利用漏洞。

当您构建和加强流程以管理风险时，CDN和Web应用程序防火墙是一种久经考验的方法，可用于识别和阻止隐藏在互联网边缘的有害流量。这些攻击包括DDoS攻击和自动探测，它们可编程定位和记录Web服务中的漏洞，而不需要大量的开发人员投资和项目管理。

我们的下一代Web应用程序防火墙和DDoS防护功能内置于我们的网络边缘,提供了一个简单且可扩展的解决方案,可解决2021 DBIR报告的Web应用程序风险。例如，在2020年第四季度，我们减少了15亿次请求。我们将”缓解”定义为触发块，自定义响应或URL重定向的任何WAF事件。这些都是DBIR报告的邪恶活动，已知的遗留漏洞和导致大多数Web应用程序攻击的DDoS事件。