上个月,谷歌得知黑客正在利用他们Chrome浏览器中一个以前不为人知的关键漏洞WebP。
该漏洞允许随机和潜在的恶意代码执行,如勒索软件,僵尸网络或国家网络攻击。
谷歌将WebP的漏洞严重程度评为满分10分。
那周晚些时候,谷歌发现这个漏洞不仅存在于Chrome浏览器,还存在于所有浏览器(Firefox、Edge和Safari)以及其他数千种应用程序中。
由于安全漏洞位于WebP库中,因此威胁的程度尚不清楚,具有讽刺意味的是,Google无法列举或量化部署了其不安全且免费的WebP库的应用程序。
今年,勒索软件的策略已转向漏洞,如2月份的GoAnywhere勒索软件攻击和6月份的MoveIt勒索软件泄露。
从历史上看,每个勒索病毒感染代表一个受害者。
软件漏洞使得攻击者可以一次攻击多个目标。
WebP是软件漏洞的矿脉,因为每台平板电脑、手机、电脑都有浏览器。
WebP漏洞的普遍性及其严重性令人恐惧,因为它有可能发生灾难性的勒索软件攻击,使我们的国家关闭,并要求支付赎金以恢复运营(想想Colonial Pipeline的类固醇),或者更糟的是,来自俄罗斯或朝鲜的民族国家攻击。
用网络术语来说,这被称为“零日威胁”。
为什么?
因为在发现漏洞时,没有时间来避免或修复漏洞。
从零日漏洞中恢复有四个阶段。
1.) 发现——软件发行商发现黑客正在利用他们的产品。
2.) 创建更新-发布者生成删除漏洞的更新。
3.) 通知-媒体和政府机构通知世界,包括黑客的漏洞。有时,媒体和政府机构会在更新之前提前通知黑客,这让黑客很高兴。
4)。更新-用户或管理员更新易受攻击的软件。通常情况下,零日只影响一个应用程序,比如GoAnywhere或MoveIt。在这种情况下,有数千个应用程序必须通过四个恢复阶段。
微软、Mozilla、谷歌和苹果已经编写并发布了各自浏览器的更新。不幸的是,政府效率低下阻碍了通知过程,对WebP网络风险的认识很低。
这个国家的每个浏览器都必须更新,时间是至关重要的。
只需关闭并重新打开浏览器就需要几分钟。
现在的挑战是每个人都必须这样做。
在修复的不同阶段仍可能存在数千个易受攻击的应用程序。有些是免费的。有些可能已经不复存在。
谷歌在2018年发布了WebP图像格式,拥有98%的浏览器市场份额,并集成到Microsoft Teams, Slack, LibreOffice, 1Password以及许多Linux发行版/框架和众多Javascript框架(如Electron)等应用程序中。
WebP被嵌入到计算结构中,对你、你的工作场所和国家来说,它代表着一个安全漏洞。
避免此类网络灾难的解决方案是存在的。
美国国土安全部(DHS)与美国国家标准与技术研究院(National Institute of Standards and Technology)合作,发布了可能是我们这个时代最重要的网络安全文件,该文件被天真地命名为“CDM软件资产管理(SWAM)能力”。
SWAM宣言解释说,网络上的软件在运行之前必须经过授权。NIST发现,无论是联邦政府、城市还是企业,这一概念都是有效网络安全的基础。
这项开创性的工作包含三个适用于WebP紧急情况的概念。
Allowlisting - SWAM的核心是Allowlisting,它严格允许网络上的授权应用程序。未知被封锁了。
在WebP等大规模漏洞中,有效载荷进入网络,但由于未知且未经授权,因此被中和。
速度-易受攻击的应用程序是已授权的应用程序,不能再信任。当勒索软件入侵一个网络或我们的国家时,反应速度是至关重要的。
自动化:-最重要的洞察力是自动化是实现足够的响应速度所必需的。它不是零信任,也不是人工智能,也不是检测和响应。
网络安全的未来在于对网络上的软件进行自动化授权。
总之,您正在一个不安全的浏览器中阅读本文。
关闭该浏览器并重新打开它。
这减少了对恶意软件的暴露,但目前还没有针对您和您的工作场所可能使用的数千个易受攻击的应用程序的自动化解决方案。
经常更新,并考虑成为网络安全领导者,并接受国土安全部规定的软件资产管理。
未来,网络安全领域的战争将通过WebP等未知的零日漏洞展开。胜利将取决于每个国家如何快速、有效和准确地处理未知的有效载荷和漏洞。
Rob Cheng是网络安全公司PC Matic的首席执行官和创始人只有美国产的杀毒软件。PC Matic是现场Newsmax网络安全每周节目的传感器。程认为,国家的网络安全是可以解决的,他是网络预防和公民隐私的倡导者。
