本节书摘来自华章计算机《防患未然:实施情报先导的信息安全方法与实践》一书中的第1章,第1.4节,作者:[美] 艾伦利斯卡(Allan Liska) 更多章节内容可以访问云栖社区“华章计算机”公众号查看。
1.4 即将出现的威胁
重复一下目前为止的讨论:网络不安全,网络上的系统不安全,手机不安全,电子邮件不安全,网站不安全,社会化媒体不安全,其他组织也不安全。这似乎已经涵盖了攻击者可以发动攻击的各个方面。其他还有什么?
首先,情况正在越来越糟。对于许多已经茫然不知所措的安全团队来说,这种想法难以置信。但是事实是,今天只有两种东西能够阻止攻击:知识和基础设施。
世界上有许多知识热点,但是不像活动热点那么多。例如,考虑一下伊朗的情况。伊朗目前卷入许多攻击活动,但是这些攻击不像从俄罗斯或者中国发起的攻击那么复杂。不过,伊朗的攻击正在日益变得复杂,这种复杂性将逐渐渗透到伊朗的其余群体中。
与此相反,许多国家具有熟练的技术人员,但是基础设施有限。巴基斯坦是一个好的例子,该国有许多以科技研究为重点的学校,但是基础设施严重不足,这使得他们无法发动大规模的攻击。随着巴基斯坦对其基础设施的加强,预计这一地区发起的攻击会更多。
所以,在未来会有更多的攻击,起源于更多地区,而且攻击会变得更加复杂。高级持续性威胁(APT)这一术语在营销文献及销售会议上频繁出现。APT是一个含糊的术语,用于描述复杂的针对性攻击—往往与国家的活动相关。这个术语的问题在于,无法从复杂度、谍报技术和持续性等方面区分大部分针对性攻击和APT。2013年发生的“大沦陷”和前面介绍的大部分攻击都很复杂且具有针对性,并且持续长达数月。
这些攻击在新闻报道上没有被称作APT,但是具备APT攻击的所有要素,所差的仅是国家的支持。即使刚入门的攻击者使用的工具也可以与许多国家使用的工具相抗衡。
攻击不仅越来越频繁发生、变得更加复杂、来源于更多地区,而且变得更具破坏力。
Stuxnet从2010年第一次被披露之后就因其复杂性而成为头条新闻。这种病毒针对发电厂中的特殊组件,似乎专门设计用于修改伊朗电厂中常用的组件。自从Stuxnet被发现以来,研究人员已经披露了一些其他的破坏性蠕虫:Duqu、Flame和Shamoon。每种蠕虫都被设计为针对特定的监测控制和数据采集(SCADA)系统,并且有可能破坏该系统。
由于攻击者变得更具侵略性,工具更加精密,可以预见,具备破坏性能力的蠕虫将越来越多。
Stuxnet和类似的恶意软件凸显了未来恶意软件的另一个特征:专门化。当今的恶意软件大部分都是通用的。一旦服务器被入侵,则安装恶意软件并上传用于不同功能的模块。例如,如果攻击者需要在系统上安装一个按键记录器,他就会简单地向被入侵的主机上传按键记录器模块,所有模块的通信都通过同一个已安装的恶意软件进行。
这种模式对简单的任务很合适,但是对于专门化需求则不是那么理想。为此,恶意软件开发者设计了专用的恶意软件,以完成特殊任务。
专门化恶意软件的最好例子之一是2013年和2014年发生的销售点(POS)入侵。这些入侵使用POS专用恶意软件(如BlackPOS和Dexter),此类软件设计用于在安装的系统中寻找信用卡号及其伴随信息。它们专门寻找格式化数据、拦截数据并发送命令控制所在主机,直到可以在地下市场中销售。和其他形式的恶意软件一样,POS恶意软件也可以在地下市场中购买或者租赁。
将来,预计会发现更多具有特殊任务或者针对特殊数据类型的专门化恶意软件。可以预期,专门构建的程序会紧密地与较为流行的恶意软件配合。它们的程序互操作性越好,新用户就越容易操作它们,在此背景下开发这些程序就越赚钱。