摘要:在即將過去的2015年中所發生過的一系列最為重大的網絡攻擊事件突出顯示了現如今的網絡黑客們是如何改變他們的戰術的,以及IT 安全人員們又應當如何在未來采取相應的防御措施。
在過去的2015年中,幾乎沒有哪一個禮拜沒有發生過重大的數據泄露事件、重大的網絡攻擊活動或嚴重的漏洞報告。而在這其中,許多安全事件均是由于企業糟糕的安全控制、執行錯誤或其他基本安全失誤所導致的,由此也凸顯了企業在確保IT安全的諸多基本層面的工作仍然任重而道遠。
而現在,不妨讓我們超越林林總總的各種網絡攻擊和漏洞,借此來分析這些攻擊事件所揭示出的網絡惡意活動的相關洞察,以及如何在未來采取有效的措施以抵御。在2015年中,有相當一部分可以說是耐人尋味的網絡入侵事件,其中每個事件都突顯了黑客技術的改進,帶來了新形式的網絡違規行為,或者為我們指明了需要采取防御措施的新的領域。在過去的一年里,某些網絡罪犯分子采用了創新的方法,并獲得了有關國家的資助,使得其攻擊行為變得更大膽。而他們進行網絡攻擊的動機也發生了轉移,獲取經濟利益已經不再是他們發動網絡攻擊的唯一原因。制造物理損失、竊取商業機密,將黑客攻擊行為作為一種抗議形式等等——使得2015年的網絡攻擊惡意活動可以說是服務于眾多不同的目的。
日益互聯的世界意味著網上的犯罪份子可能造成大量的損害;而更重要的是,現在有許多惡意的犯罪份子有相當先進的能力和手段來實施網絡攻擊。下面,我們將為廣大讀者總結在過去一年的中所發生過的一系列最為重大的網絡攻擊事件,其中每一個網絡攻擊活動都將整體網絡安全向前推動了的一大步,展示了黑客攻擊的新領域,以及人們亟待采取防御措施的新領域。
被網絡犯罪份子所窺視的比特幣
比特幣是一種新的加密貨幣的理念。其在2015年獲得了主流的關注,部分原因就在于網絡惡意活動者使用該平臺作為其支付掩護手段。從事勒索的犯罪團體強迫受害者必須支付比特幣,才能讓自己被他們攻擊的文件和文件夾獲得解鎖,同時勒索者都要求以比特幣換取不發動針對網站的DDoS攻擊。在2015年,基于各種不同的原因,比特幣屢屢成為安全攻擊新聞事件的頭條:甚至有很多小偷竊取比特幣的新聞事件......
2015年一月初,在發現一款錢包系統存在漏洞被黑客入侵攻破之后,歐洲比特幣交易平臺BitStamp暫停了交易。該交易平臺被認為是世界上第三大的比特幣交易平臺,處理全球約6%的比特幣交易。此次黑客入侵導致約1.9萬枚比特幣被盜,價值約合500萬美元。但這并不是唯一一次比特幣遭遇網絡黑客攻擊:據報道,在2015年二月,中國的比特幣交易平臺比特兒(Bter.com) 發生被盜事件,導致約合175萬美元的7170枚比特幣從其冷錢包系統被盜。而在2015年十月,小偷又從比特幣初創企業Purse公司盜走了10.235 BTC,大約是2500美元。
我們可以將這種網絡攻擊理解為是針對傳統銀行搶劫的一種轉折:犯罪分子不再是直接搶劫銀行賬戶或襲擊交易所。這除了顯示出虛擬貨幣有現實的經濟價值之外,相關的盜竊案還凸顯了“制定國際公認的比特幣安全標準”的緊迫性,Optiv Inc公司信息安全主管Florindo Gallicchio表示說。在2015年二月,數字貨幣認證協會(the CryptoCurrency CertificationConsortium,C4)提出了創建、存儲、審核和使用比特幣的10項標準化規則,并將其作為數字貨幣安全標準(CCSS)的一部分。
雖然上述被盜事件所涉及的金額都不小,但相比在日本Mt. Gox交易平臺于2014年所消失的85萬枚比特幣,價值近4.5億美元,可以說是微不足道。該交易平臺被認為已處理了全球約70%的比特幣交易,自那時起一經關閉并宣布破產。日本警方認為,此次盜竊事件極有可能是一種監守自盜。鑒于比特幣的開采和交易都與技術相關,因此,其交易平臺迄今往往都主要集中在功能性和易用性方面,而把安全保障排在了較靠后的位置,Hexis網絡解決方案公司的首席技術官史提夫·唐納德說。許多攻擊活動都依賴于社會工程,在比特幣交易網絡平臺獲得一個立足于據點。交易需要采取安全代碼開發的方法,以及動態和靜態相結合的代碼分析,以保護他們的應用程序。“比特幣交易平臺應采取高度激勵措施來提高安全,而這也是這種新型的貨幣實現大規模應用之前的一個必須實現的要求。”唐納德說。
網絡攻擊進入現實世界
網絡惡意攻擊在現實物理世界也造成了極大的損失,其發生在電視節目上的要比在觀眾視線以外更頻繁。早在2012年,就曾發生過相當駭人的Shamoon惡意攻擊病毒部分或完全的刪改了沙特Saudi Aramco石油公司大約35,000臺電腦硬盤驅動器上的信息的事件。這讓我們再次認清了網絡世界和現實物理世界之間的界線是模糊的,據報道,某個實際發生在2014年的攻擊活動,而其詳細的事后調查報告則是在今年年底之前剛剛發布不久的:在德國的一處未詳細透露名稱的鋼廠曾遭遇過惡意攻擊者的操縱,并破壞了其控制系統。最終導致其高爐無法正常關閉,進而造成了“巨大的”的損失。
有一種傾向認為網絡攻擊就是竊取數據或通過攻擊使系統離線脫機。但事實上,其甚至可能會真實世界造成相當嚴重的損害。惡意攻擊者可能會侵入某制藥公司的生產流程或質量控制系統,并修改某個特定藥物的配方。醫院系統也很容易受到攻擊,特別是對于那些仍在大規模使用許多傳統遺留系統的醫療衛生機構,這方面的安全無法得到很好的保證。高達20%的醫院都非常容易受到網絡攻擊,導致其重癥監護系統無法正常使用,Gallicchio表示說。
“人們也可能會從網絡攻擊中遭到物理傷害。” Gallicchio說。
關于工業控制系統的安全性已經出現在太多的談話中了,但在上述例子中所介紹的德國鋼廠發生的網絡攻擊事件更能突顯網絡安全威脅已不再是理論上的了。談到工業控制系統的安全性,特別是對于制造業而言,其當前所面臨的一大挑戰是其實是一個非常簡單的事實:即其各種控制系統一般都是由企業的運營和工程部門所控制的,而不是IT管理部門。而企業的運營和工程團隊往往都將主要精力集中在了可靠性方面,其所作出的維持正常運行時間的各項決策往往都是以犧牲安全性為代價的。
企業提高網絡安全防御需要實施“一套混合的基礎方案和更現代的防御方案”,如確保適當的分割和不同網絡之間的訪問控制,唐納德說。
網絡金融犯罪規模變大
在2015年,還曾發生過一系列的針對金融機構的網絡惡意攻擊活動,但其中沒有一件要比Carbanak犯罪團伙的活動來得更為大膽創新。該犯罪團伙瞄準了超過30個國家的100多家銀行及其他金融機構。根據卡巴斯基實驗室估計,自2013年底以來,該犯罪團伙所竊取的金額或將高達10億美元,并成功的保持了長達兩年的神秘低調,因為該犯罪團隊將每筆交易就都控制在了250萬美元到1000萬美元之間。
針對金融機構的網絡攻擊活動的規模顯示了網絡攻擊不法分子的攻擊目標正在由低價值的消費者相關攻擊(如身份信息竊取和信用卡盜竊),轉向為更高價值的網絡攻擊活動。過去的依靠 “打砸搶”的笨方法正在變為經過了精心策劃和縝密執行的作業。CounterTack公司首席技術官邁克·戴維斯表示說。
而美國聯邦調查局還警告說,新的網絡惡意攻擊還明顯增加了社會工程活動的趨勢:某個網絡惡意攻擊者向某公司的CFO或其他高級行政人員發送一封電子郵件,聲稱自己是公司的CEO或其他高級管理人員,要求授權電匯。如果收件人被騙,或在電匯轉賬之前沒有核實驗證郵件的真實性,錢就白白沒了。
盡管來自外部的攻擊者仍然是對金融機構的最大威脅,但在2015年,一些業內人士的攻擊所造成損失的危害性可能也相當嚴重。在今年早些時候,摩根士丹利的一名前雇員承認有罪,該名前雇員在為一份新工作面試兩名競爭者期間曾竊取了大約700,000名客戶賬戶的機密數據。而還有外部攻擊者將其目標瞄準了金融機構內部已經過訪問敏感數據的內部人士。加密、根據數據傳輸實施的動態安全政策和強大的多因素身份驗證控件是金融機構應考慮采取的用以確保未經授權的人無法讀取任何他們不被允許查看的數據信息的防御手段,Fasoo的副總裁羅恩雅頓說。
醫療衛生保健行業的違規活動
在2015年,一些最大規模的安全漏洞還涉及到了醫療衛生保健機構,包括Anthem、Excellus BlueCross BlueShield、Premera Blue Cross和CareFirst等等機構均遭受到不同程度的黑客入侵。而根據美國衛生和公眾服務部介紹,美國醫療衛生保健行業排名前十的安全漏洞事件中,有八項安全漏洞事件均發生在2015年。
鑒于這些醫療衛生保健行業的企業往往擁有最為寶貴的數據信息,包括姓名,地址,社會安全號碼,醫療記錄和財務信息等等,因此,網絡惡意攻擊者紛紛開始以該行業的企業作為攻擊目標也就不足為奇了。而由于這些數據信息一般是很難改變的,這就意味著這些數據信息具有一個較長的保質期,并且可以在各種后續攻擊中使用。在2015年,網絡攻擊者訪問了1億多份醫療記錄。
雖然一些網絡違規行為可能是為了盜取客戶的身份數據信息,或者是其他網絡犯罪活動的一部分。但有安全專家認為,Anthem 公司所遭遇的網絡攻擊可能是來自中國的黑客。而這類攻擊者很可能是針對特定的個人資料,以獲取情報為目的的;或他們可能有想要獲取涉及到醫療保險和保險數據庫如何建立的相關知識產權。中國政府否認了這一襲擊事件,中國當局最近還逮捕了聲稱針對Anthem 公司實施過網絡犯罪的嫌疑人。
“就像網絡惡意攻擊者金融行業發展成為了新一代的銀行搶劫一樣,我們將很快看到網絡攻擊者利用醫療信息記錄,支持更復雜的商業模式。”SafeBreach公司的共同創始人兼首席技術官伊茨克科特勒表示。
這些網絡攻擊的成功在很大程度上是由于傳統上醫療保健公司在安全舉措方面的投入遠不及金融機構。而Anthem公司被黑客入侵事件突出顯示了,一些醫療保健公司在基本的安全最佳實踐方案的落后。如同零售服務商塔吉特塔吉特百貨在2014年所遭遇的數據外泄事故為該行業的同行們上了相當震撼的一課一樣,Anthem公司的黑客入侵事件也將讓整個醫療保健行業警覺起來,并充分留意其當前所面臨的非常現實的危險。
更糟糕的是,圍繞著敏感數據信息所實施的加密方法是無效的。在許多針對醫療保健行業的漏洞攻擊中,用戶被社會工程泄露了自己的憑據信息,讓攻擊者能夠很容易繞過加密控件。而且幾乎可以說是不費吹灰之力。有網絡惡意攻擊者僅僅只是通過侵入五名用戶的帳戶就從一家大型的醫療保險公司竊取了8000萬的個人記錄,BlueTalon公司的首席執行官Eric Tilenius說。 “因此,每家公司都應該問,’如果我們公司的某一個用戶的帳號被竊取,將可能導致多少數據會被暴露?’,然后采取相應的措施,以限制數據信息的泄露。”他說。
“如果您企業的員工在最佳安全實踐方案方面沒有得到適當的培訓,那么,無論您的安全平臺有多么強大,都是沒有任何意義的。”WinMagic公司技術副總裁加里·麥克拉肯說。
網絡攻擊成為了一項長期的活動
也許在2015年所發生的最有趣、最出名、同時也最令人震驚的安全事件是針對美國人事管理局(OPM)的襲擊。數以百萬計的政府雇員,美國軍事人員,以及曾接受過背景調查和安全檢查的政府承包商的個人資料均被盜。在一個典型的數據泄露事件中,攻擊者以組織機構為目標是因為他們希望獲得該組織機構所擁有的相關數據信息。而在此次OPM被黑客攻擊的案例中,攻擊者所希望的并不僅僅只是為了簡單的獲取到這些數據信息記錄,同時更是為了獲得對攻擊目標個人的背景信息。
“此次OPM 被黑客攻擊事件有助于我們了解企業員工是我們最大的安全隱患...是企業安全管理鏈條上最薄弱的環節。”Micro Focus公司的安全產品組合解決方案策略經理Renee Bradshaw說。
網絡惡意攻擊活動的方法遵循一個模式:在社會工程領域瞄準一個目標的轉包商,竊取憑據以獲得網絡訪問。在一個系統培植惡意軟件并創建一個后門。然后就可以持續幾個月從該該系統竊取數據而不被發現了。在OPM所實施的糟糕的安全管理措施是相當“令人震驚”的,“包括一致的漏洞掃描和雙因素認證的缺失,以及不合時宜的補丁管理。”Bradshaw說。
OPM被黑客攻擊事件還凸顯了企業社會工程的脆弱性。政府雇員和承包商現在已經開始接受安全意識培訓課程,以了解網絡釣魚和其他社交媒體的安全威脅。
漏洞失控
在2015年夏天,一項反黑客團隊攻擊的活動讓人們大開了眼界。一家總部設在米蘭的公司開發監控軟件,并向世界各地的政府機構銷售。該公司依靠“零日漏洞”(zero-day)開發軟件,其很難被檢測到,還可以攔截通信。彼時,一個未知的人發布超過400GB數據被黑客團隊盜取,包括電子郵件通信、商業文件和源代碼,安全研究人員在Adobe Flash Player中發現了三款不同的零日漏洞的概念證明。盡管Adobe 公司盡可能快地進行了漏洞的修補,網絡罪犯分子也能夠快速創造漏洞,并使用它們進行大規模的攻擊。“在國家和私人的層面上,零日攻擊的積聚對我們每一個人都是危險的。當面臨這些類型的漏洞時,我們不能坐視不管。”安全咨詢公司Rook Security的安全運營負責人Tom Gorup說。
不向產品供應商報告這些漏洞的存在,并對程序實施修補意味著其他人也可能會找到相同的bug。如果這些漏洞一直存在,就代表著其終究會被人發現。而如果是黑客最先發現這些漏洞,一旦漏洞被公開,每個人都處于危險中。零日攻擊不像物理武器,其原來的所有者能夠控制其如何及何時使用。而一旦這樣的武器落入黑客之手,就具有毀滅性的后果。
“我們需要重新調整我們在網絡防御方面的努力,并加大主動進攻的力度。”Gorup說。
政府服務泄露太多信息
在政府機構所遭遇的網絡攻擊中,美國國稅局遭黑客侵襲可能算是損失較小的事件了。只有10萬名美國納稅人通過該漏洞被暴露了他們的信息,這顯著低于OPM被攻擊所導致的2150萬人受影響的程度。攻擊者通過受害人的姓名、地址和社會安全號碼獲取了他們諸如收入、雇主名稱和家屬等詳細信息。
更獨特的是,襲擊者使用合法的服務偽造基本的個人身份信息,然后利用這些資料成功申報一些假的退稅。同樣的方法也被用于機動車輛的在線更新服務部門或縣級資產評估網站。通過這些服務獲得的信息,使得黑客進行身份盜取變得更容易。而且,攻擊者利用這些偷來的數據有50%的成功率。BeyondTrust公司的技術副總裁Morey Haber指出。
“有很多類似于國稅局這樣的網站,包括國家級、地方級、以及聯邦政府的相關機構網站。而國稅局僅僅只是易于攻擊的目標之一,而且還有其他更多易于攻擊的政府機構服務網站。”Haber說。
飛機上發生的事件
在2015年,車輛被黑客攻擊的事件頻頻登上安全新聞的頭條,但其實,我們更應該擔心我們并不熟悉的飛機上的攻擊事件。就在研究人員Charlie Miller 和Chris Valasek利用克萊斯勒的UConnect信息系統遠程控制了一輛2014年產的克萊斯勒吉普切諾基的同時,就有關于OPM被黑事件背后的集團已成功獲得美國聯合航空公司的乘客的始發地和目的地的記錄,以及乘客名單。另一組襲擊者也入侵了波蘭航空公司的IT系統,這導致該航空公司取消了20趟航班使1400名乘客受到影響。
當然還有美國聯邦調查局表示,安全研究人員克里斯·羅伯茨在乘坐美國聯合航空公司的航班時,曾侵入飛機娛樂系統,有一次還發出爬升命令,導致飛機傾向一側。這些攻擊事件是否應該引起我們的高度關注呢?飛機飛行是否處于危險中呢?雙方都拒絕提供有關問題的任何詳細信息。 “關于此,最為可怕的是:我們對此并不知情,這是既令人驚訝和震驚的。”WhiteHat安全公司的安全威脅研究中心的負責人Johnathan Kuskos表示。
我們需要特別關注兩種不同類型的攻擊事件。一種是針對IT系統,如航空公司的網站、機場check-in服務系統。另一種攻擊的目標是針對飛機的控制系統。而由于飛機的操作控制系統往往是沙箱控制,并已經被鎖定,因而IT系統的風險更高。而且,根據WhiteHat公司的漏洞統計報表顯示,每一款在線應用程序都至少有一個嚴重的漏洞。
“很難想象,一個專業犯罪集團或政府支持的黑客還沒有盯上這些主要的航空公司。”Kuskos說。
蘋果App Store的應用程序中毒事件
2015年,Palo Alto Networks公司破獲了XcodeGhost,這是一款會感染iOS應用程序的惡意軟件,在被發現之前就已經在蘋果的App Store應用程序商店存在幾個月了。這種攻擊依賴于iOS的開發人員下載某個版本的Xcode,一款iOS的開發工具包的編譯工具。這種工具鏈并不是一種新的攻擊方法,但XcodeGhost在感染開發人員獲得了規模非常廣泛的成功。真正的危險在于,XcodeGhost團隊從他們的此次成功中獲得了哪些經驗,以及他們將如何卷土重來。
在開發人員將其iOS應用程序提交到App Store之前就已經受到惡意軟件感染了,而這種方式完全是新的。Palo Alto Networks公司的情報總監賴安·奧爾森說。開發商是很脆弱的,攻擊者可以借助他們的應用程序進入到蘋果公司的應用程序商店App Store,從而繞過蘋果公司的安全管理措施。
“雖然XcodeGhost惡意軟件并不是特別危險,但其卻以開創性的方式感染了數以百萬計的設備。”奧爾森說。
XcodeGhost向人們展示了即使是蘋果公司的圍墻也可以被突破,并且是大范圍的。其迫使應用程序開發人員們必須清理他們的系統,重新提交自己的應用程序,并在獲得他們的開發工具方面變的更慎重。而為了打擊類似的攻擊,iOS的開發人員們需要了解他們的開發系統、以及其應用程序對于那些尋找各種方法來針對iOS用戶實施攻擊的攻擊者是有價值的。“XcodeGhost是第一款真正影響廣泛的針對非越獄手機的惡意軟件,它讓那些曾以為蘋果是無懈可擊的iOS用戶們大開了眼界。”奧爾森說。
瞻博網絡公司未經授權的后門事件
最近,瞻博網絡公司發現ScreenOS中未經授權的代碼,可以讓資深的攻擊者獲得對NetScreen設備的管理權限和解密VPN連接。該問題產生的原因是,瞻博網絡公司使用Dual_EC_DRBG,這是一款已知的有缺陷的隨機數發生器,作為用于在NetScreen的ScreenOS中加密運算的基礎。瞻博網絡稱他們使用了額外的預防措施,以確保隨機數發生器。結果其保障措施其實是無效的。
Dual EC的后門可以被看作是兩部分的比喻,其中一個在一扇門的正常鎖上增加了第二個鎖孔,而第二個鎖孔必須配合一個特定的鎖芯,約翰霍普金斯大學助理教授兼密碼專家馬修·格林在推特上寫道。攻擊者用自己的鎖芯取代了國家安全局批準的鎖芯。而如果門在第一個地方沒有更換鎖孔的話,他們就不能更換鎖芯了。
最后,某些地方的人能夠解密瞻博網絡的流量,而這些人可能來自美國及世界各地。此事件目前正在由美國聯邦調查局調查中。
“國家安全局建立了一個強大的竊聽后門。攻擊者只需改變幾個字節的代碼即可改變其用途。”格林說。 “說實話,雖然我擔心這樣的事情已經很長一段時間了。但看到這樣的事情實際發生還是覺得相當驚人的。”
鑒于政府監管機構對于高科技產業在程序后門加密的壓力越來越大,發生在瞻博網絡公司的此次后門程序被濫用事件或將成為一個明顯的例子。2016年,相關執法機關和政府監管機構是否會汲取教訓,并對此進行重新研究尚有待考察。
總結2015年
很顯然,在過去的2015年中,整個安全行業在面臨各種網絡安全攻擊和違規行為時,并沒有很好的定位,以保護自己。而清楚的了解現狀無疑是戰斗的一半,但他們在遵循基本的安全最佳實踐方面仍然有一條漫長的道路要走。“安全性并不便宜,當您企業在歷史上對于安全領域的投資不足時,就需要在技術投資和人力資本方面花大力氣。”LogRhythm實驗室副總裁兼首席信息安全官詹姆斯·卡德爾表示說。
京公網安備 11010502049343號