2021 年是网络安全行业疯狂的一年。从SolarWinds等供应链攻击到 NSO集团的飞马间谍软件丑闻,再到Colonial Pipeline输油管道的勒索软件攻击,各国政府和企业每天都面临着新的攻击。根据身份盗窃资源中心的数据,截至 2021年9月的数据泄露总数已经超过 2020 年17%。日前有国外媒体对 2021 年网络安全行业进行了回顾总结,盘点出6大发展特点,可供行业参考。
特点1: 关键基础设施保护更加重要
全球已经意识到保护关键基础设施的重要性。世界各国政府已通过立法并投资庞大的计划,以保护和维护与国家安全相关的任何事物。不过,目前,关于如何对关键基础设施进行分类(横向按 GPS 等多个关键基础设施系统中使用的技术,或纵向按能源、金融、通信等行业)的争论十分激烈。同时,围绕保护系统的最佳方式也出现了争论,一些方法流派主张以安全边界策略为基础,而另一些则以数字保证技术和实践为基础。当然,人们普遍认为硬件和软件都必须受到保护,因为我们目睹了应用程序和操作系统层以下的攻击越来越多。
发展趋势 :关键基础设施正在扩展到内部空间和外部空间。从围绕我们大气层运行的卫星到监控我们身体内部器官之间相互作用的纳米系统,攻击面已经扩展到与我们有密切接触的技术。虽然体内医疗设备和轨道航天器已经有了安全更新的方法,但这些方法仍需要改进和扩展。此外,供应链时间框架的定义也在不断演变。仅仅确保所有先前步骤都是安全的已经不够了。有些企业已经开始致力于保护产品发布后,甚至进入第二次生命周期或回收的整个流程。
特点2: 人工智能的善与恶
与任何工具一样,人工智能正在迅速扩大其应用范围,结果喜忧参半。在网络安全领域,企业正在使用人工智能作为传统漏洞扫描的力量倍增器,以发现潜在的新漏洞、漏洞利用和威胁。人工智能在推动某些硬件和软件安全工具自动化方面发挥着关键作用。虽然安全人员仍然是企业脆弱性和安全保护的中心,但人工智能旨在释放人力资源,使其专注于真正独特的部分,而人工智能则处理其余部分。另一方面,人工智能的使用者并不一定都是好人,不法分子也正在使用人工智能来收集网络信息并识别潜在弱点。
发展趋势 :人工智能和机器学习将用于发现系统异常行为。就像在放射学中使用人工智能一样,它可以比人眼更早地识别模式以检测问题。通过在系统的典型行为上构建和训练 AI (人工智能)模型,再加上在受到攻击时针对系统的历史行为训练这些相同的模型,企业将使用 AI 来更早地发现问题并更快地响应隐蔽威胁。
特点3: 安全与隐私的不完美结合
安全和隐私使用相似的技术来实现有时一致但有时冲突的目标。隐私是一个复杂的概念。在某些领域,比如数据保护,安全和隐私大多是一致的。在其他情况下,隐私要求与安全要求经常冲突,例如技术和/或业务模型的基本特征需要识别参与者及其活动(例如,在金融领域这一情况更加明显)。当前,安全与隐私的复杂性进一步提高,其原因在于隐私法律和法规并未在全球范围内统一,并且在某些情况下是域外的(例如GDPR)。
发展趋势 :在短期内,各国的监管要求将继续推动隐私技术的进步,这在很大程度上将依赖于为安全开发的技术适应性。隐私和安全的流程要求(例如选择退出/加入或披露要求)将继续纳入法规和标准。但这些技术和法规只涵盖表面和局部问题,虽然也有一些亮点,例如网络浏览器的隐私保护等,随着人工智能和边缘计算越来越依赖于移动数据,从长远来看,预计隐私保护功能将嵌入到通信协议中,并且法规将越来越多地解决隐私的基本问题,包括用户控制和用户数据使用的透明度等。
特点4: 用机器监管人的威胁
闯入任何被锁定系统的简单方法是获得某人的钥匙。多因素身份验证有效解决这一问题,并使攻击者开发越来越复杂的入侵策略,包括物理接近系统和供应链攻击等。不过,较常见的策略仍然是网络钓鱼或者贿赂内部人员。人工智能正在与人为因素和心理学领域相结合,以建立越来越强大的检测能力,使得异常的数字行为触发相关调查。
发展趋势 :即使是最强大的人类验证和异常行为检测也只能解决一半的问题。越来越多的企业开始质问:“能否让机器自我证明/验证?”有些企业要求员工每次登录时对系统进行加密的内部数字硬件证明,以确保系统本身没有受到入侵。随着越来越多的员工在企业办公室或实验室的传统安全范围之外工作,这一点越来越引起人们的兴趣。
特点5: 硬件和软件安全的结合
软件曾经并且仍然是黑客攻击的主要目标,大多数成功的攻击都发生在这个领域。但是随着软件变得更加安全,黑客成功的攻击并不总是像过去那样能够一发入魂,获取完整的系统访问权限。因此,他们正在深入研究更高权限的领域,例如固件和硬件。系统安全建立在复杂的信任关系之上,硬件和软件之间的关系对于可信系统的执行至关重要。
发展趋势 :硬件和软件被设计为更好地协同,这应该会产生新的信任机制,允许持续、实时、验证和证明。随着计算世界的不断发展,在保护系统和数据时,软件和硬件之间的可信切换将变得更有价值。
特点6: 数字化转型与“云化”
现在很多人在家工作,导致越来越多的应用程序和数据迁移到云端。精明的企业认识到这种模式的好处和潜在风险,他们会就硬件的物理安全性和保护软件的方法提出适当问题。
发展趋势 :企业了解如何使用数据以及如何保护数据将变得越来越有价值。数字化转型中的企业需要明确对客户隐私、可信度和道德(基于收集和存储数据的决定)的看法,利益相关者还需要准备好解决硬件层如何保护处于任何状态(静止、传输中和使用中)的数据。
结语
2022 年应该是又一个充满安全创新和挑战的一年。上文所强调的六个发展特点还仅仅是开始,我们还需要考虑其他关键领域,例如危机模拟和规划以及用户体验对安全性的影响等。
来自:https://www.secrss.com/articles/37498
Web前端安全同样不可忽视,编写前端代码时保持安全意识
随着网络的普及,黑客进行网络攻击的手段越来也多,越来越复杂。前端的HTML、JavaScript、CSS、Flash等技术变成了前端攻击者和开发者的战场,网站安全问题也开始向前端倾斜。
AJAX请求真的不安全么?谈谈Web安全与AJAX的关系。
AJAX请求真的不安全么?AJAX请求哪里不安全?怎么样让AJAX请求更安全?本文包含的内容较多,包括AJAX,CORS,XSS,CSRF等内容,要完整的看完并理解需要付出一定的时间。
第三方 CSS 并不安全
第三方内容在其沙箱区域内具有强大的能力。如果你担心恶意用户诱使你的网站加载第三方资源,可以通过 CSP 用作防护手段,其可以限制加载图片,脚本和样式的来源。
WEB应用程序安全检查列表
检查页面隐藏或丢失的内容:检查webserver元数据文件,如:robots.txt, sitemap.xml,.DS_Store, .htaccess,检查搜索功能可能的注入或攻击方式,检查不同agent代理访问网站显示内容的是否一致
利用CSS注入(无iFrames)窃取CSRF令牌
要做到无iFrame,我将使用一种类似于之前我讨论过的方法:我将创建一个弹窗,然后在设置计时器后更改弹出窗口的位置。使用这种方法,我仍然可以加载受害者的CSS,但我不再依赖于受害者是否允许iFrame。
30 分钟理解 CORB 是什么
我当前的 chrome 版本是 v68,如果是 v66 或更低版本可能提示的警告信息略有不同。印象中只对 CORS 比较熟悉,CORB 是个什么鬼?好奇心迫使我想要了解一下它到底是什么,于是暂时把手头工作放下查了一些资料并花时间汇总了一下,就有了这篇文章
谈 target=‘_blank’的安全问题
大家都喜欢target=_blank, 因为新页面打开不影响原来的页面。但是这个存在安全问题, 由target=_blank打开的页面, 可以通过window.opener访问原来的窗口。遍可以简单的将网页导航到其他网站, 这就存在很多的安全隐患了, 比如钓鱼,这种问题解决起来也很简单, 在链接中加入rel=noreferrer noopener属性就可以了
Web安全测试检查单
Web安全测试检查单。上传功能:绕过文件上传检查功能,上传文件大小和次数限制。注册功能:注册请求是否安全传输,注册时密码复杂度是否后台检验,激活链接测试
一些安全相关的HTTP header
HTTP Strict-Transport-Security,简称为HSTS。X-Frame-Options:是否允许一个页面可在<frame>、<iframe>、<object>中展现的标记。X-XSS-Protection作用:防范XSS攻击。
第三方CSS安全吗?
第三方内容在其沙箱中具有很高的影响力。 虽然图像或沙盒iframe有着非常小的沙箱,但脚本和样式的作用范围却影响你的整个页面,甚至是整个站点。如果你担心用户会欺骗你的网站去加载第三方资源,可以使用CSP(内容安全策略)保证安全
内容以共享、参考、研究为目的,不存在任何商业目的。其版权属原作者所有,如有侵权或违规,请与小编联系!情况属实本人将予以删除!