2025年仍将被忽视的五大安全挑战

演讲者：John Strand
本网络研讨会最初于2025年1月30日播出

核心观点

• 渗透测试应超越自动化漏洞扫描，聚焦AI无法替代的人工测试活动。
• 遗留应用随时间积累漏洞，在新漏洞类别出现时可能引发严重安全问题。
• 组织常为难以修复的问题创建例外，缺乏适当管理会导致重大安全风险。

遗留应用：被忽视的“雪球效应”

组织中的遗留应用如同滚雪球般逐年累积更多服务器、服务和应用程序。这些系统通常被忽视，除非出现关键或高危漏洞。然而，中低危漏洞和信息类漏洞持续增长，最终在新漏洞类别出现时爆发安全危机。云服务中的SaaS应用同样存在遗留软件问题，许多代码库五年未更新，因已成为“现金牛”而缺乏更新动力。

例外管理的陷阱

渗透测试中常见的例外管理包括：

• 管理層例外：禁止测试C级高管，但黑客首先针对的正是这些高权限目标。
• 第三方供应商例外：以“亚马逊禁止测试”为由限制测试范围，但实际上亚马逊允许测试并要求报告漏洞。
• 漏洞例外：组织为难以修复的漏洞创建例外而非解决根本问题。例如某密码重置门户存在认证绕过漏洞，可重置整个组织密码，但客户坚持将其评为“低危”。

补偿控制的重要性

无法修复的漏洞和遗留系统需要补偿控制：

• 通过Sysmon监控动态链接库访问，在SIEM中创建专用签名检测异常行为。
• 为遗留服务器部署多层防火墙和应用程序防火墙，实施N层架构代理流量。
• 与客户合作开发补偿控制，而非简单要求“修复所有问题”。

开发环境的安全盲点

开发人员常存在以下风险行为：

• 生产数据用于开发环境：开发环境使用生产数据，导致敏感数据暴露。
• 本地管理员权限：开发工具要求本地管理员权限，结合LinkedIn公开资料，使其成为黑客首选目标。
• 安全后置化：应用上线前才进行渗透测试，导致开发团队面临修复压力和时间不足。

云服务的隐藏风险

云迁移虽能转移责任，但存在以下问题：

• 日志延迟：部分云服务日志延迟达1小时甚至1天，无法实时检测攻击。
• 安全测试缺失：云供应商常以“内部有最佳渗透测试团队”为由拒绝外部测试报告（如Oracle案例）。
• 工具过度集成：如Graph Runner工具集成了过多攻击技术，导致企业难以聚焦具体风险。

多因素认证（MFA）的局限

尽管MFA普及，但存在以下问题：

• 文本验证码依赖：部分组织仍使用文本MFA，存在SIM克隆风险。
• 云服务日志缺陷：缺乏足够日志和检测能力来识别MFA绕过攻击。
• 单点点击攻击：通过伪造认证链接（如假冒Dropbox）窃取会话令牌，绕过MFA保护。

行业长期忽视的领域

• 最低合规要求：组织仅满足合规最低标准，而非真正实现安全。
• 勒索软件聚焦：过度关注勒索软件，忽视国家支持的长期潜伏攻击。
• AI安全幻想：AI被宣传为安全解决方案，但攻击者同样使用AI，形成军备竞赛。
• 培训成本问题：信息安全培训不应昂贵，应鼓励免费和低成本资源（如The Cyber Mentor、John Hammond）。

总结

安全行业需直面被忽视的挑战：

• 渗透测试应结合人工探索与自动化，而非仅依赖工具。
• 遗留系统和云服务需通过补偿控制缓解风险。
• 例外管理必须谨慎，避免创造安全盲区。
• 开发环境和云日志的缺陷需要持续监控和改进。
  最终目标是通过协作和优先级排序，帮助企业在安全与业务功能之间找到平衡。

“我们的首要目标是让客户变得更强大，让渗透测试员流泪——这意味着协助他们，而非简单地要求修复问题。” ——John Strand