2017 年圣誕,北緯 31 度東經(jīng) 121 度,一個(gè)身影匆匆出門,壓低帽檐走到了公交站。路旁的商店都洋溢著喜慶的氛圍,節(jié)日的氣息隨處可見。走進(jìn)公司,一向簡潔的門口也裝飾上了圣誕貼紙。2017 年已經(jīng)見底,馬上就是 2018 年新年了。
“一年過得可真快啊。想想似乎很平淡,但也留下了點(diǎn)印記。”他歪歪頭,隨手在便簽本上劃拉了幾個(gè)詞,然后繼續(xù)盯著電腦開始敲字。
他是某安全公司的一枚職員。即將過去的 2017 年,對他來說,普通而又不平凡。他在本子上記下的詞,很多安全從業(yè)者都很熟悉甚至印象深刻。
一、漏洞與攻擊
WannaCry?Cry!
如果說現(xiàn)在有人不知道 WannaCry,那他一定不是安全圈的一員,甚至可能連上網(wǎng)都很少。這個(gè)利用微軟 SMB 漏洞、使用 EternalBlue 工具的勒索軟件極具殺傷力,在 2017 年 5 月中旬席卷全球 150 多個(gè)國家,感染接近 23 萬臺(tái)計(jì)算機(jī)設(shè)備,導(dǎo)致大量醫(yī)院、政府系統(tǒng)業(yè)務(wù)癱瘓,國內(nèi)多所高校中招。一時(shí)之間,連只關(guān)注韓劇的萌妹子與朋友交談時(shí),口中也不時(shí)蹦出 WannaCry 或者勒索病毒的字眼。
這場勒索風(fēng)波持續(xù)了很久,各大中招組織的技術(shù)人員連夜搶修,各大研究機(jī)構(gòu)不斷發(fā)布報(bào)告。FreeBuf 也專門制作了專題,收錄或撰寫了大量相關(guān)文章,涵蓋技術(shù)分析、溯源、觀點(diǎn)、甚至無奈之至自娛自樂的 勒索頁面截圖大賞。此事持續(xù)了半年多,直到前幾天,白宮還發(fā)布聲明,表示經(jīng)過多方調(diào)查,證據(jù)顯示 朝鮮是 WannaCry 幕后真兇,而朝鮮自然對此表示否認(rèn)。這場大戲,可能還會(huì)繼續(xù)。
WannaCry 之后,許多安全公司股票大漲,CISO 的年薪也隨之升高,安全行業(yè)人才稀缺再度加劇,而普通民眾也開始意識(shí)到了網(wǎng)絡(luò)安全的重要性。在 2017 年安全圈大事件中,穩(wěn)占一席之地。
Petya?NotPetya!
5 月份的 WannaCry 余波未盡,6 月底,新一輪勒索病毒 NotPetya 也氣勢洶洶地發(fā)起攻擊。最先中招的是烏克蘭,機(jī)場、銀行、船舶公司、私人企業(yè)、政府系統(tǒng)……都難以幸免,連烏克蘭副總理的電腦也受到了波及。最初,研究人員認(rèn)為其是 2016 年的 Petya 病毒變種,但經(jīng)過研究發(fā)現(xiàn)二者并不相同。最初為了報(bào)道的時(shí)效性,很多媒體和公司都稱其為 Petya,但后來隨著研究的深入,NotPetya成為了這個(gè)勒索病毒的稱號。
與 WannaCry 一樣,NotPetya 也利用了微軟 SMB 漏洞 (MS17-010),但不一樣的是,NotPetya 不再逐個(gè)加密單獨(dú)文件,而是加密磁盤的 MFT,并且破壞MBR,使得用戶無法進(jìn)入系統(tǒng)。當(dāng)電腦重啟時(shí),病毒代碼會(huì)在Windows操作系統(tǒng)之前接管電腦,執(zhí)行加密等惡意操作。隨著攻擊的進(jìn)一步擴(kuò)大,俄羅斯、英國、印度、荷蘭、西班牙、丹麥等國家都受到了影響。隨著調(diào)查的深入,研究人員發(fā)現(xiàn),作者可能并不是為了勒索謀利,而是純粹為了破壞。更值得關(guān)注的是,NotPetya 背后可能是一次國家攻擊。
FreeBuf 圍繞 NotPetya 也發(fā)布了多篇文章,感興趣的同學(xué)可以在首頁搜索欄,搜索 Petya 關(guān)鍵詞查看來龍去脈。
Bad Rabbit——這個(gè)兔子有點(diǎn)壞
10 月下旬,一種新型的惡意軟件“Bad Rabbit”在東歐國家引起了一陣不小的騷亂,俄羅斯、烏克蘭、保加利亞、土耳其等國家的政府和商業(yè)機(jī)構(gòu)都受到了沖擊。Bad Rabbit 通過虛假 Flash 更新進(jìn)行傳播,也可通過網(wǎng)絡(luò)內(nèi)部橫向蔓延,蔓延速度與 WannaCry 和 NotPetya 相近。研究表明,Bad Rabbit 主要用到水坑攻擊和勒索這兩種手段,相當(dāng)于 NotPetya “昨日重現(xiàn)”。
關(guān)于 Bad Rabbit 還有一個(gè)引人關(guān)注的概念,那就是很多研究人員都認(rèn)為它是一個(gè)煙霧彈,只是為了吸引大眾視線,來掩蓋其他更危險(xiǎn)的攻擊。這種事情也不是沒有發(fā)生過,朝鮮臭名昭著的 Lazarus 黑客組織就曾利用勒索軟件來掩飾其入侵銀行的行為。
KRACK——WiFi 的一記重創(chuàng)
10 月中下旬,魯汶大學(xué)的研究人員 Mathy Vanhoef 在 WPA2 協(xié)議的四次握手過程中發(fā)現(xiàn)了嚴(yán)重的安全漏洞,可能影響所有 WiFi 設(shè)備,利用這個(gè)漏洞發(fā)起的攻擊就叫 KRACK 攻擊。
WPA 2 安全加密協(xié)議在WiFi 網(wǎng)絡(luò)中的作用主要是認(rèn)證合法設(shè)備接入網(wǎng)絡(luò),并對接入設(shè)備在鏈路層做數(shù)據(jù)加密。KRACK 可以利用 WPA2 協(xié)議四次握手過程中存在的漏洞進(jìn)行中間人攻擊,直接對數(shù)據(jù)進(jìn)行解密,而不需要知曉或破解實(shí)際密碼。據(jù)稱,這是十二年來 WPA 協(xié)議首次曝出漏洞,此外漏洞影響范圍很大,因此一時(shí)間各安全廠商與個(gè)人都人心惶惶。好在暫未發(fā)現(xiàn)在野利用實(shí)例,而包括蘋果在內(nèi)的廠商也在逐步修復(fù)。
Struts 2
漏洞頻出的 Apache Struts 2 在 2017 年依舊占據(jù)著人們的注意力。
3 月初,距離上一次 Struts 2 半年之后,新的 RCE 任意代碼執(zhí)行漏洞S2-045(CVE-2017-5638)出現(xiàn)在人們的視野中。Struts使用的Jakarta解析文件上傳請求包不當(dāng),當(dāng)遠(yuǎn)程攻擊者構(gòu)造惡意的Content-Type,可能導(dǎo)致遠(yuǎn)程命令執(zhí)行。默認(rèn)情況下jakarta是啟用的,而 S2-045 的利用無需任何前置條件,因此危害嚴(yán)重,影響范圍很廣。
3 月下旬,距離 S2-045 曝出不到一個(gè)月,相似的遠(yuǎn)程代碼執(zhí)行漏洞S2-046也跳了出來 ,S2-047 則因?yàn)橛绊懖淮蠖鴽]有激起水花。7 月份,F(xiàn)reeBuf 母公司斗象科技發(fā)現(xiàn)了 S2-048漏洞。9 月份,較為嚴(yán)重的 S2-052 和 S2-053 漏洞也都一一浮現(xiàn)。截至寫稿日,Struts 2 的漏洞已經(jīng)排到了 S2-055。
Mirai 及其變種——借助 IoT 設(shè)備蔓延的僵尸網(wǎng)絡(luò)
2016 年 10 月底,僵尸網(wǎng)絡(luò) Mirai 開始成形。Mirai 利用 IoT 設(shè)備進(jìn)行傳播,發(fā)起大規(guī)模 DDoS 攻擊,當(dāng)時(shí)曾導(dǎo)致美國半個(gè)互聯(lián)網(wǎng)癱瘓。Amazon、Spotify、Twitter等知名公司網(wǎng)站紛紛中招。到 2017 年,Mirai 開始升級,利用 Windows 木馬大肆傳播。2017 年 8 月份,知名內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)和云服務(wù)提供商 Akamai Technologies 的研究報(bào)告表明, Mirai 事實(shí)上更類似于一群群小規(guī)模的 bot 和 C&C 服務(wù)器,其不斷的攻擊促成了 DDoS 的商業(yè)化,可被歸類為“付費(fèi)(pay-for-play)”攻擊。
11 月和 12 月初,先后有兩種 Mirai 變種大量傳播,但由于預(yù)警及時(shí)而得到遏制。12 月 下旬,美國聯(lián)邦官員表示已經(jīng)逮捕了三名承認(rèn)參與制造和分發(fā) Mirai 僵尸網(wǎng)絡(luò)的罪犯,三人都是美國人。
Mirai 的蔓延帶來了新的問題:舊攻擊方式重受青睞,由于物聯(lián)網(wǎng)安全問題太多,利用物聯(lián)網(wǎng)組成的僵尸網(wǎng)絡(luò)日漸龐大,DDoS 攻擊數(shù)量猛增,且已經(jīng)走向商業(yè)化。未來,與僵尸網(wǎng)絡(luò)有關(guān)的 DDoS 攻擊還可能繼續(xù)增長。
MongoDB——不變的啟示錄
2016 年底到 2017 年初,一場屠戮 MongoDB 數(shù)據(jù)庫的黑客盛宴狂歡開啟,超33000個(gè)數(shù)據(jù)庫遭遇入侵勒索。最初只是源于黑客的 0.2 比特幣勒索,但并沒有引起 MongoDB 的重視,因此黑客變本加厲,利用這些數(shù)據(jù)庫實(shí)例安全性不高的特點(diǎn),大規(guī)模入侵,甚至販賣攻陷數(shù)據(jù)庫的工具賺錢。這場大規(guī)模屠戮的一個(gè)顯著后果就是世界范圍內(nèi)存儲(chǔ)在MongoDB數(shù)據(jù)庫里的數(shù)據(jù)量大幅下滑,多少引起了一些反思,被賦予了“啟示錄”般的意義。
而到了 2017 年 9 月,又一起 MongoDB 數(shù)據(jù)庫大規(guī)模勒索事件發(fā)生,三個(gè)黑客團(tuán)伙劫持了MongoDB逾26000多臺(tái)服務(wù)器,被研究人員稱為“啟示錄”再臨。MongoDB 連續(xù)遭遇的兩起大規(guī)模攻擊都表明了工作人員安全意識(shí)淡薄帶來的大災(zāi)難。數(shù)據(jù)庫作為存儲(chǔ)大量資源的平臺(tái),一旦管理人員出現(xiàn)疏忽,造成的影響將難以預(yù)估。
二、 泄露,各種泄露
說起網(wǎng)絡(luò)安全事件,每年都少不了數(shù)據(jù)泄露,各種大大小小的泄露事件,讓公司苦不堪言,讓受害者心力交瘁。
Wikileaks 文檔披露—— CIA 秘密武器的前世今生
2017 最大的泄露事件是什么?CIA 機(jī)密文檔遭維基解密泄露恐怕是首個(gè)進(jìn)入候選名單的。從2017 年 3 月初第一次曝出消息以來,維基解密孜孜不倦,堅(jiān)持每周更新,將 CIA Vault 7 系列二十幾款秘密武器的詳細(xì)文檔公布于世,仿佛是在給 CIA 處以凌遲。
這些工具主要針對終端設(shè)備(如攝像頭、路由器等)以及各大系統(tǒng)(macOS、Windows、Linux),可以實(shí)現(xiàn)監(jiān)控、反取證、追蹤、后門留存等多種功能。其中有不少被黑客利用實(shí)施攻擊,對網(wǎng)絡(luò)安全造成了很大威脅。根據(jù)賽門鐵克研究人員的觀點(diǎn),CIA 這些泄露的工具應(yīng)當(dāng)對 16 個(gè)國家的 40 多起網(wǎng)絡(luò)攻擊負(fù)責(zé)。FreeBuf 曾經(jīng)對維基解密有關(guān) CIA 的文檔披露進(jìn)行過專題盤點(diǎn),讀者可以點(diǎn)擊此處進(jìn)入閱讀。
維基解密休息 2 個(gè)月之后,在 11 月底又開始有所行動(dòng),開始Vault 8 系列泄密,首批公布的是 Vault 7 系列中 蜂巢項(xiàng)目的源代碼和詳細(xì)文檔,再一次引起了恐慌。這出泄露大戲還將如何上演,也許新年之后我們還能繼續(xù)拭目以待。
ShadowBrokers 與 NSA 的情仇恩怨
2016 年 8 月,ShadowBrokers 入侵了 NSA 的方程式小組,獲取到部分軟件和黑客工具,并因此名聲大噪。但后來他們公開拍賣工具的企圖并未順利實(shí)施,只好去 ZeroNet 平臺(tái)銷售部分黑客工具。到了 2017 年年初,他們突然宣布退隱江湖,停止售賣黑客工具。
但是,對于這種風(fēng)云人物而言,退隱江湖和金盆洗手都不可能言出必行。4 月份,ShadowBrokers 也學(xué)起了維基解密,開始每周推送,公布 NSA 的工具,大量針對 Windows 系統(tǒng)的嚴(yán)重 0day 泄露。而 5 月份,掀起腥風(fēng)血雨的 WannaCry 就正是利用了泄露的 EternalBlue 發(fā)起攻擊。WannaCry 剛爆發(fā)沒幾天,ShadowBrokers 就蹭著熱點(diǎn)宣布以后公布工具需要訂閱,也就是說,以后想要獲取 NSA 的工具,就要付費(fèi)給他們。不僅如此,他們還一度見風(fēng)使舵,看到訂閱人數(shù)不少,順勢提升訂閱費(fèi),并宣稱要曝光 NSA 某高官的隱私。
不得不說,這個(gè)黑客組織很會(huì)搞事情。截至最后一次報(bào)道,他們的訂閱費(fèi)已經(jīng)升級到400 萬美元一月了。總之 FreeBuf 的編輯們就算眾籌也付不起訂閱費(fèi),因此他們發(fā)布的訂閱內(nèi)容到底有沒有干貨,著實(shí)不得而知。但可以確定的是,一旦竊取到 0-day 或者機(jī)密情報(bào)或工具,黑客就能獲取暴利,這也是眾多攻擊事件的起因。
AWS S3 ——存儲(chǔ)服務(wù)器變成泄露的地獄
說起泄露,就不得不提 AWS S3。作為 Amazon 的 云存儲(chǔ)服務(wù),AWS S3 因配置邏輯設(shè)置不當(dāng),導(dǎo)致很多使用者配置錯(cuò)誤,不慎泄露敏感資料。根據(jù)安全公司 Skyhigh Networks 的統(tǒng)計(jì)數(shù)據(jù)顯示,7%的 Amazon S3 bucket 都未做公開訪問的限制,35%的 bucket 都未做加密,這意味著整個(gè) Amazon S3 服務(wù)器中都普遍存在這樣的問題。
僅 2017 年,AWS S3 涉及的大規(guī)模數(shù)據(jù)泄露此起彼伏,每次涉及的資料都數(shù)量龐大。9 月初,美國 TigerSwan 招聘公司因疏忽,導(dǎo)致超 9400 簡歷在未受保護(hù)的 AWS 上泄露,員工住址、電話號碼、電子郵件地址、駕照、護(hù)照號碼以及社會(huì)保險(xiǎn)號碼等敏感信息都曝光;10 月中旬,四大咨詢公司之一的埃森哲將其重要資料放在 4 個(gè)未受保護(hù)的 AWS 云存儲(chǔ)服務(wù)器中,密鑰,密碼和客戶信息都可被公開訪問;也是 10 月中旬,美國某家醫(yī)療機(jī)構(gòu)的 47.5 GB 數(shù)據(jù)在 AWS 服務(wù)器上公開,患者測試報(bào)告(包括測試日期,家庭住址,電話號碼和測試詳細(xì)信息,甚至包括醫(yī)生的姓名和病例管理筆記)遭曝光;11 月下旬, 美國五角大樓因配置錯(cuò)誤,導(dǎo)致國防部近 18 億條來自社交媒體和論壇帖子的數(shù)據(jù)在三臺(tái) AWS 服務(wù)器上公開,引發(fā)公眾對國防部監(jiān)控之舉的議論;11 月底,美國陸軍智庫 INSCOM的最高機(jī)密文件公開在 AWS S3 服務(wù)器上;12 月下旬,數(shù)據(jù)分析公司 Alteryx 將包含 1.23 億美國家庭詳細(xì)信息的資料公開放在 Amazon S3 上,個(gè)人身份信息:地址、家庭詳情、聯(lián)系信息、房主種族;還包括抵押貸款狀況、財(cái)務(wù)狀況和購買行為等財(cái)務(wù)細(xì)節(jié)都暴露無余。
由于安全事件頻發(fā),Amazon 后來也為 AWS S3 服務(wù)添加了新的安全加密功能。確切來說,這些泄露大多不是因?yàn)槁┒矗且驗(yàn)楹唵蔚呐渲缅e(cuò)誤。但這也暴露了一個(gè)問題,那就是不論政府還是企業(yè),其工作人員的安全意識(shí)亟待提升。
HBO 上演“Game of Leaks”
今年 8 月初開始,HBO 就不斷被爆出未播出劇集泄露。其中以大火美劇《權(quán)利的游戲》最為引人注目(http://www.freebuf.com/news/155008.html)。外媒報(bào)道稱,黑客 5 月份入侵 HBO 后總共獲取了 1.5 TB 的資源與數(shù)據(jù),原本打算狠狠勒索一筆(600萬美金),但 HBO 高管只打算以漏洞獎(jiǎng)金的形式支付 25 萬。黑客拒絕之后,分階段公布了《權(quán)力的游戲》劇本,以及《球手們》、《Barry》、《104號房間》、《抑制熱情》、《不安感》、《墮落街傳奇》和《副校長》等多部未播出美劇的劇本。因此,HBO 的泄露游戲一直持續(xù)了一個(gè)多月。其中,《權(quán)力的游戲》第七季第六集由于技術(shù)人員“手抖”而泄露,并未經(jīng)過黑客之手。當(dāng)時(shí),HBO 的西班牙和北歐分公司意外地將該集發(fā)布到了他們各自的本地 HBO 點(diǎn)播平臺(tái)上,簡直是慘。
經(jīng)過復(fù)雜的調(diào)查取證,在 11 月底,美國聯(lián)邦調(diào)查局才對涉事的伊朗黑客 Behzad Mesri 正式提出官方指控。但目前,Mesri 似乎仍然在逃。
Equifax——大規(guī)模數(shù)據(jù)泄露造成慘痛教訓(xùn)
9 月 10 日左右,美國征信巨頭 Equifax 曝出數(shù)據(jù)泄漏事件,高達(dá) 1.43 億美國居民個(gè)人信息暴露,涉及姓名、社會(huì)保障號、出生日期、地址,以及一些駕駛執(zhí)照號碼等。而事實(shí)上,Equifax 在 7 月底就已經(jīng)發(fā)現(xiàn)黑客從 5 月中旬到 7 月之間在持續(xù)入侵其網(wǎng)絡(luò)系統(tǒng),竊取信息。經(jīng)過一個(gè)月的調(diào)查與發(fā)酵,其首席信息官、首席安全官以及 CEO 紛紛宣布離職。10 月中旬,相關(guān)機(jī)構(gòu)表示,有 70 萬英國用戶的個(gè)人數(shù)據(jù)也受到影響,涉及 1520 萬條信息記錄。屋漏偏逢連夜雨,后來 Equifax 的網(wǎng)站還被重定向到虛假 Flash 升級下載的頁面,導(dǎo)致 Equifax 只好暫時(shí)關(guān)閉網(wǎng)站。
自 9 月份 數(shù)據(jù)泄漏事件曝出之后,Equifax 股價(jià)暴跌,市場損失達(dá)到數(shù)十億美元。據(jù) Equifax 收入公告表示,除了市場損失和直接指出之外,Equifax 還將支付 5600 萬美元到 1.1 億美元的賠償費(fèi)。Equifax 在其報(bào)告中表示,Q3 直接損失就達(dá)到 8750 萬美元。美國相關(guān)政府也吸取教訓(xùn),紐約檢察長直接推出新的立法,保護(hù)紐約公民免受數(shù)據(jù)泄漏事件的影響。
Fappening 2.0 ——看熱鬧背后的信息安全問題
2017 年 3 月,艾瑪·沃森(Emma Watson)、阿曼達(dá)·塞弗里德(Amanda Seyfried)等明星的私照遭大規(guī)模泄露,拉開了Fappening 2.0 泄露的序幕。到 8 月份,安妮·海瑟薇(Anne Hathaway)、麥莉·賽勒斯(Miley Cyrus)、克里斯汀·斯圖爾特(Kristen Stewart)等當(dāng)紅女星的裸照也 在國外知名論壇 Reddit、Tumblr 和 Twitter 瘋傳。這些泄露主要是因?yàn)楹诳屯ㄟ^漏洞獲取權(quán)限或利用釣魚、社工等方法造成的。獲取到私密照后,他們可以用于交易或者勒索。
8月底,當(dāng)紅女星Selena Gomez 的 Instagram 賬號被黑,黑客用賬號發(fā)布了其前男友 Justin Bieber 的裸照,引起吃瓜群眾一陣熱議。到 11 月份,國外知名婚外情網(wǎng)站 Ashley Madison 也被曝出漏洞,泄露用戶隱私照片。這類隱私照片的泄露往往被網(wǎng)友津津樂道,飽飽眼福之后便不了了之。但這其中的安全問題卻不容忽視,這些泄露往往都是因?yàn)樯缃痪W(wǎng)站的漏洞或者因?yàn)獒烎~而引起的。一方面,社交網(wǎng)站的安全性有待加強(qiáng);另一方面,用戶自身的安全意識(shí)也有待提高。否則,前一天還在吃瓜看戲的網(wǎng)友,說不定就可能成為下一次“艷照門”的主角。
三、立法
《網(wǎng)絡(luò)安全法》
2016 年 11 月 7 日,第十二屆全國人大常委會(huì)第二十四次會(huì)議以 154 票贊成、1 票棄權(quán)表決通過《中華人民共和國網(wǎng)絡(luò)安全法》,并于 2017 年 6 月 1 日起施行。這部法律填補(bǔ)了我國關(guān)于網(wǎng)絡(luò)安全犯罪行政處罰方面的空白,《網(wǎng)絡(luò)安全法》明確了網(wǎng)絡(luò)空間主權(quán)的原則;明確了網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者的安全義務(wù);明確了網(wǎng)絡(luò)運(yùn)營者的安全義務(wù);進(jìn)一步完善了個(gè)人信息保護(hù)規(guī)則;建立了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度;確立了關(guān)鍵信息基礎(chǔ)設(shè)施重要數(shù)據(jù)跨境傳輸?shù)囊?guī)則。
圍繞著這部堪稱里程碑意義的法律,各行各業(yè)都紛紛給出了自己的解讀。公安第三研究所、國家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心還聯(lián)手主辦了相關(guān)的培訓(xùn)與會(huì)議。今年 8 月份,重慶當(dāng)?shù)匾患揖W(wǎng)絡(luò)運(yùn)營商因?yàn)樵谔峁┚W(wǎng)絡(luò)服務(wù)過程中,未依法留存用戶登錄網(wǎng)絡(luò)日志,因此受到警告處罰,并被責(zé)令限期十五日內(nèi)整改。這是《網(wǎng)絡(luò)安全法》首個(gè)處罰案例。
當(dāng)然,在具體的實(shí)施落地中,《網(wǎng)絡(luò)安全法》還有待完善,不過這至少讓整個(gè)社會(huì)開始意識(shí)到網(wǎng)絡(luò)安全的分量。
GDPR
在數(shù)據(jù)保護(hù)方面,歐盟通用數(shù)據(jù)保護(hù)條例(GDPR) 大概是最駭人聽聞的了。這部法律即將于 2018 年 5 月正式實(shí)施,但在此之前,很多立法或者數(shù)據(jù)泄露事件都要以此為標(biāo)準(zhǔn)來進(jìn)行一番評估。
根據(jù) GDPR 的規(guī)定,任何一個(gè)處理歐洲公民個(gè)人信息的公司如果不能充分保護(hù)持有的數(shù)據(jù),將被處以高達(dá)全球營業(yè)額 4% 的罰款。這對于那些年入數(shù)百億美元的全球運(yùn)營企業(yè)來說,一旦確定違法,罰款金額將是驚人的數(shù)字。這也為其他立法提供了參考。畢竟,在巨額的罰款或賠償面前,各大企業(yè)多少會(huì)有所收斂。而 Equifax 之后的紐約數(shù)據(jù)保護(hù)立法,也參考了 GDPR 的模式,只是要求沒那么嚴(yán)格。
Gartner 也預(yù)測,GDPR 將刺激安全消費(fèi),到 2018 年會(huì)促成 65% 的 DLP(數(shù)據(jù)泄露預(yù)防)購買決策。 屆時(shí),所有相關(guān)企業(yè)都要深入研究法規(guī)內(nèi)容,而那些已經(jīng)采取一定形式預(yù)防數(shù)據(jù)泄露(DLP)措施的企業(yè)則需要關(guān)注如何進(jìn)一步提升企業(yè)安保措施、增強(qiáng) DLP 保護(hù)能力。
四、技術(shù)與發(fā)展
人工智能(AI)與大數(shù)據(jù)——攻防貓鼠游戲升級
人工智能(AI)從來都不是近兩年才出現(xiàn)的概念,人工智能從 1956 年開始至今歷經(jīng)了三波浪潮。在 1956 年的達(dá)特茅斯會(huì)議上,4 名圖靈獎(jiǎng)得主, 1 名諾貝爾獎(jiǎng)得主,另外加上信息論創(chuàng)始人香農(nóng),被認(rèn)為是最早提出人工智能的一批人。2016 年底,Gartner 在報(bào)告中指出,人工智能將成為服務(wù)提供商的主要戰(zhàn)場,“AI 會(huì)成為一種新常態(tài)”,且到 2021 年,會(huì)有 30% 的經(jīng)濟(jì)增長與 AI 相關(guān)。
2017 年見證了 AI 的高速發(fā)展。這一年,與科技相關(guān)的領(lǐng)域都把目光聚焦到 AI 上,競相推出新產(chǎn)品與新技術(shù)。各大安全廠商也紛紛布局 AI,擁抱新技術(shù)的速度,越來越快。根據(jù) CB Insights 的 AI Deals Tracker 所得到的統(tǒng)計(jì)結(jié)果,在應(yīng)用了 AI 技術(shù)的領(lǐng)域中,網(wǎng)絡(luò)安全是活躍度排名第四的行業(yè)。
而在 AI 的落地中,數(shù)據(jù)儼然是很重要的部分,尤其是運(yùn)用 AI 的機(jī)器學(xué)習(xí)技術(shù),更是大大依賴于數(shù)據(jù)和樣本。2017 年大大小小的安全會(huì)議上,大數(shù)據(jù)和人工智能成為絕對熱點(diǎn),人人都在探討,人人都想挖掘更多。分析公司 ABI Research 的一份報(bào)告也預(yù)估,網(wǎng)絡(luò)安全領(lǐng)域?qū)⒋蟠蠹訌?qiáng)在機(jī)器學(xué)習(xí)用于大數(shù)據(jù)、智能和分析方面的支出,到2021年,相關(guān)支出可能達(dá)到960億美元(719億英鎊)。沒有數(shù)據(jù),AI 實(shí)踐將舉步維艱。
技術(shù)是雙刃劍,這個(gè)觀點(diǎn)在科技領(lǐng)域?qū)覍冶惶崞穑珹I 做為新的技術(shù),也難逃這個(gè)特點(diǎn)。安全從業(yè)者在使用 AI 技術(shù)構(gòu)筑防御體系的同時(shí),攻擊者也在使用 AI 技術(shù)發(fā)展黑產(chǎn)。毫無疑問,AI 有助于加強(qiáng)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施,提高安全從業(yè)者工作效率,但是僅僅依靠 AI 這種可以按照人類意愿塑造的智能技術(shù)來保護(hù)網(wǎng)絡(luò)安全,無疑是將自己再次置于危險(xiǎn)之中。
AI 與大數(shù)據(jù)結(jié)合,無疑加速了攻防的對抗,攻防的貓鼠游戲開始升級,角逐之戰(zhàn)加速,安全從業(yè)者依然任重而道遠(yuǎn)。
五、行業(yè)大會(huì)
2017 年,隨著安全事件頻發(fā),安全法律法規(guī)出臺(tái),安全領(lǐng)域的大會(huì)也越來越多。除了大家耳熟能詳?shù)?RSA 大會(huì),Black&DEFCON,國內(nèi)重要安全會(huì)議也不在少數(shù)。
4.29 國家網(wǎng)絡(luò)安全日前后,習(xí)近平總書記再次強(qiáng)調(diào)了“沒有網(wǎng)絡(luò)安全就沒有國家安全”的理念,表達(dá)了國家政府對“網(wǎng)絡(luò)安全”的重視。此后,在北京、上海先后召開過第三屆CSS中國互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)、ISC 2017中國互聯(lián)網(wǎng)安全大會(huì)、 2017網(wǎng)絡(luò)安全法及關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)培訓(xùn)會(huì)、2017第二屆中國信息安全服務(wù)年會(huì)、國家網(wǎng)絡(luò)安全周、世界互聯(lián)網(wǎng)大會(huì)等多屆會(huì)議。各大科技廠商及安全廠商也紛紛辦會(huì),以會(huì)議為平臺(tái),交流現(xiàn)狀、發(fā)掘問題、展望未來。
六、其他大事件
卡巴斯基與 NSA 之爭
2017 年年初,卡巴斯基就被曝頂級安全研究員因叛國罪被捕,不過此事似乎對其業(yè)務(wù)影響不大。而到 7 月份,美國(尤其是 NSA)針對卡巴斯基發(fā)起了一項(xiàng)犀利指控,稱其與俄羅斯政府勾結(jié),利用反病毒軟件可以幫助俄羅斯政府入侵美國政府系統(tǒng)并實(shí)施間諜活動(dòng),甚至還竊取了 NSA 的機(jī)密信息。9月份,美國政府宣布將禁用卡巴斯基產(chǎn)品。隨后,卡巴斯基宣布公開反病毒軟件源代碼以自證清白,同時(shí)還發(fā)布了關(guān)于 NSA 資料泄露的詳細(xì)調(diào)查報(bào)告。這一系列爭端前前后后持續(xù)了半年之久,但結(jié)果依然一片混亂。美國繼續(xù)禁用卡巴斯基的產(chǎn)品,甚至連歐洲小國立陶宛在12月份也插了一腳,表示卡巴斯基產(chǎn)品可能對國家?guī)頋撛谕{,也將禁用。
這起爭端表面看來是大公司與大國之間的矛盾,折射出的卻是整個(gè)安全領(lǐng)域(包括安全產(chǎn)品、安全企業(yè))的嚴(yán)重“地緣政治斗爭”。原則上來說,在網(wǎng)絡(luò)安全領(lǐng)域,更多的合作共享與聯(lián)動(dòng)才能帶來更好的響應(yīng)與防御效果。但事實(shí)是,網(wǎng)絡(luò)空間已成為各國新的戰(zhàn)場,而良好的合作則“道阻且長”。
DarkWeb ——執(zhí)法機(jī)關(guān)瞄準(zhǔn)黑市
2017 年 7 月份,美國司法部以及荷蘭的歐洲刑警組織正式對外宣布,暗網(wǎng)市場AlphaBay 和 Hansa 已被執(zhí)法部門查封。這是警方經(jīng)過長期的潛伏調(diào)查之后,對黑市的重拳出擊。FreeBuf 報(bào)道過不少有關(guān)黑市和暗網(wǎng)的內(nèi)容,暗網(wǎng)中充斥著暴力色情槍支毒品,更是滋生黑客工具、信息買賣、黑客技術(shù)、黑客服務(wù)等網(wǎng)絡(luò)安全重大威脅的溫床。
當(dāng)年喧囂一時(shí)的“絲綢之路”關(guān)閉之后,黑市用戶就轉(zhuǎn)戰(zhàn)到 AlphaBay,將其發(fā)展成為“新絲綢之路”。如今,AlphaBay 關(guān)停,其替代者 Hansa 也隨之倒下,據(jù)說連新的場地 DreamMarket 也被安插了后門。黑市幾個(gè)大市場似乎受挫不小,但這可能并不會(huì)影響黑市的繁榮。因?yàn)檫@背后牽涉的技術(shù)、人員,乃至攻防之間的對抗,都無比復(fù)雜。打擊黑市之路,以及攻防對抗之路,都漫長而修遠(yuǎn)。
德勤公司被黑引發(fā)打臉嘲諷
2017 年 9 月下旬,全球四大會(huì)計(jì)師事務(wù)所之一的Deloitte(德勤)遭到網(wǎng)絡(luò)攻擊,導(dǎo)致其全球電子郵件服務(wù)器被入侵,一時(shí)之間網(wǎng)上炸開了鍋,各種段子應(yīng)運(yùn)而生。大型公司被黑我們早已見怪不怪,但這次德勤被曝出“大量RDP端口對外”“一個(gè)帳號全線入侵”“員工將VPN密碼上傳Github”等低級風(fēng)險(xiǎn),而其又有著被Gartner評為全球第一的安全咨詢業(yè)務(wù)和銷往全球的安全解決方案,因此才引起了很大的風(fēng)波。
德勤在今年三月份發(fā)現(xiàn)遭遇入侵,但事實(shí)是 2016 年 10 月份黑客就可能已經(jīng)攻擊了其網(wǎng)絡(luò)系統(tǒng)。德勤自身宣稱的安全服務(wù)解決方案覆蓋應(yīng)用安全、身份和訪問管理、信息和隱私保護(hù)、基礎(chǔ)設(shè)施安全、脆弱性管理等多個(gè)方面,但在入侵事件中卻曝出多個(gè)低級錯(cuò)誤,這不得不令人唏噓。在攻擊事件中,員工安全意識(shí)淡薄是一個(gè)方面,另一方面,攻擊者能利用一個(gè)管理員賬號完成“全線入侵”,是因?yàn)榈虑诘木W(wǎng)絡(luò)系統(tǒng)中并沒有部署任何的雙因素身份驗(yàn)證機(jī)制,這暴露出的是德勤安全管理的疏忽。
由此我們也可以看到,除了員工安全意識(shí)有待提升,企業(yè)自身的安全管理體系,也有待升級。
Uber 收買黑客,隱瞞數(shù)據(jù)泄露事件
2017 年 11 月,繼殘酷商業(yè)策略、冷漠企業(yè)文化、性別歧視等負(fù)面新聞之后,知名打車公司 Uber 又卷入了一則安全相關(guān)的丑聞:向黑客支付 10 萬元封口費(fèi)來掩蓋大規(guī)模用戶信息泄露事件。
用戶信息泄露發(fā)生在 2016 年 10 月,當(dāng)時(shí)黑客利用開發(fā)者個(gè)人賬號 github 代碼庫中包含用戶名和密碼的代碼文件,進(jìn)而順藤摸瓜獲取到 Uber 在 Amazon 云服務(wù)上的司機(jī)與乘客信息。得知此事之后,Uber 沒有選擇通知用戶,也沒有遵守信息披露原則將事件上報(bào)給相關(guān)部門,而是向黑客支付了 10 萬美元封口費(fèi)以掩蓋此事。但時(shí)隔一年,紙終究包不住火,事件敗露之后,Uber 開除了其 CSO,并面臨多個(gè)州的巨額罰款。
此事讓本已惡名累累的 Uber 雪上加霜,也為其他企業(yè)敲響了警鐘。可以說,缺乏安全意識(shí)的開發(fā)者在代碼中寫入身份信息,卻不加以限制,導(dǎo)致憑證泄露,引發(fā)更大規(guī)模的泄露或入侵,這種錯(cuò)誤并不少見。這也是近年來越來越多人號召 DevSecOps 的原因。
世紀(jì)佳緣信息販賣引發(fā)的慘案與詐騙
世紀(jì)佳緣的亂象已經(jīng)存在很久,今年 WePhone 開發(fā)者自殺事件再次引起了人們對于這種婚戀網(wǎng)站背后安全問題的關(guān)注。這名開發(fā)者因?yàn)榍捌薜耐{與詐騙,最終不堪壓力而自殺,而這位前妻正是通過世紀(jì)佳緣認(rèn)識(shí)的。經(jīng)過檢索與調(diào)查,世紀(jì)佳緣等婚戀交友網(wǎng)站存在的安全問題除了信息竊取與販賣,還有很多人曾因?yàn)檫@類網(wǎng)站而誤入傳銷組織;有些用戶還隱瞞婚史甚至偽造資料,騙婚騙財(cái)。
多家媒體都報(bào)道過世紀(jì)佳緣等婚戀網(wǎng)站存在的詐騙問題,但是這些網(wǎng)站依然鉆著法律的空子屹立不倒。我們期待以后有與此相關(guān)更細(xì)致的立法,也提醒用戶無論何時(shí)都提高警惕。
智能攝像頭的安全問題與是非之爭
智能攝像頭的安全問題顯而易見,就是各種漏洞導(dǎo)致的信息泄露,以及各種后門帶來的監(jiān)控問題和隱私侵犯。2017 年 12 月,一封 92 年女生寫給 360 的信,引發(fā)了攝像頭安全之爭的輿論風(fēng)波,最終導(dǎo)致 360 水滴攝像頭相關(guān)的水滴直播直接關(guān)閉業(yè)務(wù)。
在我們的報(bào)道中,不論國內(nèi)攝像頭還是國外攝像頭,都爆出過漏洞。連維基解密泄露的 CIA 資料中也有好幾款針對攝像頭的監(jiān)控工具。一方面,攝像頭原本是為了方便用戶生活,帶來安全與便捷,另一方面因?yàn)楸O(jiān)管、廠商乃至使用者自身安全意識(shí)不足,或者受利益驅(qū)使,而變成了監(jiān)控工具和侵犯隱私的幫兇。智能攝像頭作為較早一批的物聯(lián)網(wǎng)設(shè)備,存在的漏洞與問題為數(shù)不少,這也反映了物聯(lián)網(wǎng)安全問題迫在眉睫。隨著技術(shù)的發(fā)展以及安全法律法規(guī)的普及,也許可以期待這類問題在未來能得到緩解。
比特幣風(fēng)波
比特幣作為今年科技圈的熱詞可謂師出有名,其引發(fā)的安全問題也為數(shù)不少。2017 年,發(fā)生了很多起比特幣錢包或交易所被黑客攻擊的事件(當(dāng)然,在 2016 年,這些問題也不少)。在 WannaCry 等大型勒索攻擊中,黑客將比特幣等虛擬貨幣作為收款貨幣;下半年,各種比特幣挖礦木馬也層出不窮,導(dǎo)致多家網(wǎng)站被攻擊。而這一切,都源自“利益”二字。
由于虛擬貨幣存在不少風(fēng)險(xiǎn),且日益成為洗錢、走私、非法集資等犯罪活動(dòng)的工具,因此,2017 年 9 月初,國內(nèi)監(jiān)管層先后出手 ICO 和比特幣。如今 ICO 在國內(nèi)已經(jīng)偃旗息鼓,國內(nèi)比特幣交易所的業(yè)務(wù)先后調(diào)整和關(guān)停。不過,比特幣在國際上依然牢牢占據(jù)著大眾的視線,大起大落,變化驚人。
七、他們的 2017
某安全服務(wù)小哥
2017 年我的安全關(guān)鍵詞是: 網(wǎng)絡(luò)安全法、WannaCry、Struts 2 S2-0
Wannacry感染了很多高校,引起了大量對勒索軟件的關(guān)注。網(wǎng)絡(luò)安全法的話,讓我看到了國家對個(gè)人用戶隱私的逐漸關(guān)注,希望以后對個(gè)人數(shù)據(jù)的保護(hù)可以越來越完善吧。s2-045 剛出來那會(huì)兒真是殺遍江湖,我們的產(chǎn)品上也出現(xiàn)了大量的045漏洞,可以說對整個(gè)安全行業(yè)都是影響挺大的事情。
希望安全行業(yè)越來越受重視,希望販賣用戶個(gè)人信息數(shù)據(jù)的公司可以被就地正法!
某研發(fā)小哥
大牛那么多,我就說兩句:據(jù)說 WannaCry 是三胖搞的,他們賺了一大筆,掀起多少腥風(fēng)血雨。還有,比特幣大起大落,簡直high的不要不要的。
某安全產(chǎn)品售前小哥
比特幣年底大漲,之前沒買真是后悔后悔后悔后悔!還有 Wannacry,那段時(shí)間我電話都被打爆了!對于個(gè)人而言就是機(jī)遇和學(xué)習(xí)吧,機(jī)緣巧合進(jìn)了安全圈,學(xué)習(xí)到了很多新知識(shí),還需要不斷成長才行。
某安全公司 HR
關(guān)鍵詞: AI 大數(shù)據(jù)
印象最深的是: 圈子很小、牛人很缺
想對大家說:安全是個(gè)小而美的圈子,你值得加入
某資深編輯
關(guān)鍵詞:協(xié)作
印象深刻的事件:NotPetya
感觸:信息安全作為一個(gè)“行業(yè)”讓我感覺是挺奇怪的一件事。因?yàn)檫@個(gè)行業(yè)分支甚多,而且彼此可能關(guān)聯(lián)都不大,另外各分支發(fā)展速度差別很大,比如防火墻一類網(wǎng)絡(luò)設(shè)備市場規(guī)模明確放緩,但 AST 應(yīng)用安全測試市場卻達(dá)到了超高增速。我覺得安全更像是信息技術(shù)行業(yè)的某個(gè)緯度切分,如果說一定要?jiǎng)潥w到一個(gè)“行業(yè)”,那些“協(xié)作”的本質(zhì)就是將這些并不相干的東西組合起來。
八、我們的 2017
2017 年,也是FreeBuf 成長的一年。這一年,F(xiàn)reeBuf 主站發(fā)布了將近 3000 篇文章,涵蓋國內(nèi)外安全快訊、會(huì)議報(bào)道、技術(shù)干貨、行業(yè)動(dòng)態(tài)、觀點(diǎn)共享等多種類型。WannaCry 等大型事件背后,有加班加點(diǎn)趕報(bào)道的編輯,期望把最新消息和解決方案第一時(shí)間帶給大家;不同大會(huì)的現(xiàn)場,有特派記者的身影,為不能到場的讀者記錄現(xiàn)場精彩內(nèi)容;不同的社會(huì)熱點(diǎn)出現(xiàn)時(shí),也有評論員的觀點(diǎn)與關(guān)心。
這一年,F(xiàn)reeBuf 的主站進(jìn)行了改版,招聘、專欄、企業(yè)空間全新上線,期望為用戶帶來更多好的體驗(yàn);這一年,F(xiàn)reeBuf 研究院發(fā)布了幾份報(bào)告,涉及金融、移動(dòng) APP、黑產(chǎn)、企業(yè)安全,期望為讀者呈現(xiàn)深度行業(yè)剖析;這一年,F(xiàn)IT 舉辦了第三屆,結(jié)合時(shí)下大熱趨勢,為觀點(diǎn)與思考提供了交流分享的平臺(tái)。
當(dāng)然,最重要的是,這一年,有越來越多的讀者支持 FreeBuf,這才是我們前行的動(dòng)力。
2017,感謝有你!2018,期待繼續(xù)與你攜手,見證安全領(lǐng)域的方方面面,不斷成長、向前!
那么,你的 2017 安全關(guān)鍵詞是什么呢?新的一年,又有怎樣的打算呢?
京公網(wǎng)安備 11010502049343號