今年,網(wǎng)絡(luò)安全頭條新聞層出不窮,多起數(shù)據(jù)泄露、攻擊和事故引發(fā)了全球關(guān)注。
其中幾起事件影響深遠(yuǎn),有可能重塑行業(yè)保護(hù)措施,顛覆供應(yīng)商保障客戶系統(tǒng)安全的方式,或促使安全領(lǐng)導(dǎo)者重新評估其戰(zhàn)略。
長期趨勢,如網(wǎng)絡(luò)安全監(jiān)管的加強(qiáng)和AI對行業(yè)的影響,在2024年及以后也對IT安全運營產(chǎn)生了并將繼續(xù)產(chǎn)生重大影響。
以下是對今年網(wǎng)絡(luò)安全事件的回顧,以及這些事件如何重塑CISO在保護(hù)企業(yè)方面的戰(zhàn)略和戰(zhàn)術(shù)的見解。
Change Healthcare遭受勒索軟件攻擊
2月,聯(lián)合健康集團(tuán)(UnitedHealth Group)旗下的Change Healthcare遭受勒索軟件攻擊,導(dǎo)致大規(guī)模中斷。
與ALPHV/BlackCat勒索軟件團(tuán)伙有關(guān)的網(wǎng)絡(luò)犯罪分子利用泄露的憑據(jù)闖入Change Healthcare的系統(tǒng),訪問了未受多因素身份驗證訪問控制的Citrix門戶賬戶,他們在部署勒索軟件之前,竊取了敏感數(shù)據(jù)——包括姓名、社會保險號、診斷信息、治療方案和財務(wù)數(shù)據(jù),后來估計影響了多達(dá)1.12億人。
美國衛(wèi)生與公共服務(wù)部(HHS)正在調(diào)查是否發(fā)生了受保護(hù)健康信息的泄露,以評估聯(lián)合健康集團(tuán)或Change Healthcare是否違反了嚴(yán)格的醫(yī)療保健行業(yè)隱私規(guī)定。
Change Healthcare——美國最大的醫(yī)療保險索賠清算機(jī)構(gòu)——在遭到攻擊后,其系統(tǒng)被迫下線,導(dǎo)致美國醫(yī)療系統(tǒng)的大部分癱瘓數(shù)周。數(shù)千家藥店和醫(yī)療保健提供商因電子支付和醫(yī)療索賠無法處理而受到影響。
患者被迫自費支付許多藥物費用,而無法依靠共付額或優(yōu)惠券,此次數(shù)據(jù)泄露使許多醫(yī)療提供商面臨破產(chǎn)威脅,聯(lián)合健康集團(tuán)為受此次攻擊影響的醫(yī)療保健提供商提供了20億美元的援助。
向數(shù)千家受影響的提供商加速付款以及提供無息無費貸款、事件應(yīng)對工作和Change Healthcare系統(tǒng)的全面重建,再加上收入損失,意味著此次數(shù)據(jù)泄露的總成本預(yù)計將超過10億美元。
后來有消息稱,Change Healthcare在攻擊發(fā)生后向與ALPHV相關(guān)的加密貨幣錢包支付了相當(dāng)于2200萬美元的比特幣,但這并沒有阻止RansomHub團(tuán)伙試圖利用在數(shù)據(jù)泄露期間竊取的敏感信息對聯(lián)合健康集團(tuán)進(jìn)行勒索。
此次攻擊在4月的國會聽證會上引發(fā)了要求為醫(yī)療保健提供商制定基線安全標(biāo)準(zhǔn)的呼聲,也有人質(zhì)疑整合是如何使醫(yī)療保健行業(yè)更容易受到網(wǎng)絡(luò)攻擊的。
總體而言,此次事件讓全世界關(guān)注到醫(yī)療保健行業(yè)遭受的網(wǎng)絡(luò)攻擊不斷增加,勒索軟件被視為該行業(yè)的核心威脅,此次慘敗給醫(yī)療保健行業(yè)和其他行業(yè)的CISO留下了幾個關(guān)鍵教訓(xùn)。
CrowdStrike崩潰事件
7月,CrowdStrike的Falcon Sensor安全軟件的一個錯誤配置更新導(dǎo)致運行該軟件的Windows系統(tǒng)崩潰。對Channel File 291的內(nèi)容更新導(dǎo)致Windows傳感器客戶端出現(xiàn)越界內(nèi)存讀取,使受影響的Windows個人電腦和服務(wù)器崩潰,并陷入啟動循環(huán)。
估計有850萬個Microsoft Windows系統(tǒng)受到影響。
盡管錯誤更新很快被撤回,但由此造成的中斷影響了全球多個行業(yè)的組織,包括航空公司、銀行、廣播公司和醫(yī)院。
在此次中斷之后,CrowdStrike加強(qiáng)了其發(fā)布前的測試流程并改進(jìn)了質(zhì)量控制,此次事件凸顯了安全軟件進(jìn)行嚴(yán)格測試和故障安全機(jī)制的關(guān)鍵重要性。
為應(yīng)對此次中斷,微軟開始評估安全供應(yīng)商是否需要內(nèi)核級訪問才能有效工作。在內(nèi)核中運行的安全軟件包可以獲得更大的可見性,并有機(jī)會阻止低級惡意軟件,但這種方法的缺點是,一旦出現(xiàn)問題,整個系統(tǒng)就會崩潰,出現(xiàn)著名的藍(lán)屏死機(jī)。
除了讓全世界關(guān)注到內(nèi)核級和軟件測試問題外,此次事件還向CISO和CIO們揭示了IT對管理軟件的過度依賴、需要重新評估云集中風(fēng)險以及擁有健壯的業(yè)務(wù)連續(xù)性計劃等關(guān)鍵戰(zhàn)略問題。
與MFA缺陷相關(guān)的Snowflake廣泛數(shù)據(jù)泄露
基于云的數(shù)據(jù)倉儲公司Snowflake發(fā)生的賬戶黑客攻擊導(dǎo)致多起高調(diào)的數(shù)據(jù)泄露事件,影響包括AT&T、Ticketmaster、Neiman Marcus Group和Advance Auto Parts在內(nèi)的多家組織。
網(wǎng)絡(luò)犯罪團(tuán)伙UNC5537利用竊取的客戶憑據(jù)系統(tǒng)地破壞了Snowflake客戶實例,然后竊取敏感數(shù)據(jù)。根據(jù)谷歌威脅情報部門Mandiant的調(diào)查,這些被盜數(shù)據(jù)被用于企圖向許多受害者勒索錢財,或通過網(wǎng)絡(luò)犯罪論壇出售。
AT&T在7月的一份監(jiān)管文件中承認(rèn),網(wǎng)絡(luò)犯罪分子竊取了1.1億人的電話和短信元數(shù)據(jù)。被泄露的信息包括通話或短信記錄,但不包括任何短信的內(nèi)容或客戶的個人身份信息。據(jù)報道,這家美國電信運營商向犯罪分子支付了37.7萬美元,要求其丟棄這些被盜的電話記錄。
這一問題最初是在4月發(fā)現(xiàn)的,當(dāng)時Mandiant追蹤到一起數(shù)據(jù)泄露事件,該事件涉及一個使用先前通過信息竊取惡意軟件盜取的憑據(jù)而被破壞的Snowflake實例。隨后的工作發(fā)現(xiàn),這種模式在多個案例中重復(fù)出現(xiàn),其中許多案例可以追溯到2020年的歷史惡意軟件感染。
Mandiant和谷歌通知了165家可能受影響的組織。此次黑客攻擊潮被歸咎于在Snowflake客戶賬戶中未啟用多因素身份驗證(MFA)的情況下憑據(jù)被盜,而非Snowflake環(huán)境本身遭到破壞。
對此,Snowflake向客戶提供了檢測和加固指導(dǎo)。
10月,美國檢察官起訴了兩名嫌疑人——來自安大略省基奇納的康納·萊利·穆卡(Connor Riley Moucka)和居住在土耳其的美國人約翰·賓斯(John Binns),指控他們涉嫌參與Snowflake數(shù)據(jù)泄露事件。
這些廣泛的攻擊凸顯了為什么云安全已成為CISO的首要任務(wù),并強(qiáng)調(diào)在當(dāng)今企業(yè)中,MFA的使用顯著落后于應(yīng)有的水平,微軟和AWS等供應(yīng)商現(xiàn)在即將推出新的MFA規(guī)定。
LockBit打擊未能遏制勒索軟件威脅
在其他與網(wǎng)絡(luò)犯罪相關(guān)的新聞中,2月,在一項名為“Cronos行動”的重大國際警方行動中,LockBit勒索軟件團(tuán)伙遭到打擊。與該團(tuán)伙相關(guān)的服務(wù)器和網(wǎng)頁域名被查封,違規(guī)賬戶被關(guān)閉,嫌疑人在波蘭和烏克蘭被捕。
盡管該團(tuán)伙遭到打擊,但后來仍報告發(fā)生了使用LockBit勒索軟件或其變種的攻擊,并且有報道稱該團(tuán)伙的部分成員打算恢復(fù)其運營活動。與以往一樣,這些詐騙通常涉及威脅發(fā)布被盜數(shù)據(jù)以勒索受害者,并要求支付解密密鑰的費用。
LockBit——一個主要的勒索軟件即服務(wù)(RaaS)運營——據(jù)估計,僅在2020年1月至2023年6月期間,通過攻擊美國受害者就獲利9000萬美元。
盡管執(zhí)法機(jī)構(gòu)展開了大量行動,但勒索軟件仍然變得更快、更智能、更兇猛,新的團(tuán)伙在打擊行動后不斷涌現(xiàn),企業(yè)不得不為其勒索軟件談判手冊增添新篇章,并就是否支付勒索費用展開辯論。
深度偽造成為更大威脅
今年,AI的使用在有益和惡意目的方面都呈加速趨勢。
攻擊者可以利用AI來擴(kuò)大和完善其技術(shù),使勒索軟件和釣魚攻擊更有效。例如,AI技術(shù)可以被濫用生成虛假的音頻和視頻,即所謂的深度偽造。
總部位于倫敦的跨國設(shè)計和工程公司Arup就遭遇了一起深度偽造騙局,損失達(dá)2億港元(2560萬美元),其香港辦公室的一名財務(wù)工作人員在參加視頻會議時,被騙子使用深度偽造技術(shù)冒充其位于英國的首席財務(wù)官,從而被騙授權(quán)進(jìn)行交易。
深度偽造也開始成為朝鮮假冒IT工作人員騙局的一個要素。朝鮮特工冒充合法的IT專業(yè)人員,試圖在西方公司獲得雇傭。一旦被聘用,這些“遠(yuǎn)程工作人員”就會利用其內(nèi)部訪問權(quán)限竊取敏感或?qū)S行畔ⅲ瑫r領(lǐng)取工資,這些工資最終被轉(zhuǎn)回朝鮮政權(quán)。
據(jù)信已有300多家企業(yè)淪為假冒IT工作人員騙局的受害者,該騙局估計為朝鮮政府帶來了數(shù)百萬美元的收入,使其能夠規(guī)避國際制裁,同時為武器計劃提供資金。
NPD數(shù)據(jù)泄露余波
美國背景調(diào)查公司National Public Data發(fā)生數(shù)據(jù)泄露,暴露了29億條記錄,使數(shù)億人的數(shù)據(jù)面臨風(fēng)險。此次黑客攻擊發(fā)生在2023年12月,但直到2024年7月一個4TB的被盜數(shù)據(jù)被泄露到網(wǎng)絡(luò)犯罪論壇上,此事才廣為人知。
此次泄露暴露了美國、英國和加拿大估計約1.7億人的社會保險號、姓名、郵寄地址、電子郵件和電話號碼。
2024年10月,在數(shù)據(jù)泄露事件后面臨多起訴訟的National Public Data申請了破產(chǎn)。
監(jiān)管壓力上升
歸咎于中國的針對電信運營商的Salt Typhoon網(wǎng)絡(luò)間諜攻擊事件,促使人們計劃要求電信運營商加強(qiáng)其安全措施。
歐洲也在加強(qiáng)網(wǎng)絡(luò)安全監(jiān)管,擴(kuò)大了歐盟的網(wǎng)絡(luò)和信息安全指令(NIS2)。NIS2涵蓋了更多行業(yè)和部門,引入了更強(qiáng)的網(wǎng)絡(luò)安全風(fēng)險管理措施和事件報告制度。
美國證券交易委員會(SEC)修訂后的數(shù)據(jù)泄露披露規(guī)則增加了CISO的責(zé)任,尤其是那些在上市公司任職的CISO。安全領(lǐng)導(dǎo)者需對網(wǎng)絡(luò)安全故障或誤導(dǎo)性披露承擔(dān)個人責(zé)任。
監(jiān)管復(fù)雜性的增加和個人責(zé)任的加重,只是CISO在權(quán)衡各方面因素時面臨的挑戰(zhàn)之一——這也導(dǎo)致了CISO對工作的不滿和離職傾向的增加——當(dāng)他們在回顧2024年的關(guān)鍵收獲并展望新的一年時,這些挑戰(zhàn)尤為凸顯。
企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,旗下運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。旗下運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號