原文:
annas-archive.org/md5/8570b4b9b47974c7302ce023e1eb9bc8译者:飞龙
九、攻击和防御方法的演变
当我写下这本书的第一版时,网络安全只是网络安全专家和精明的高管感兴趣的话题。这本书是为了让任何人都能理解,并且尽管我预测了网络攻击的大规模增加,但我也没有预料到网络犯罪的迅速增长会如此极端。
网络犯罪现在是地球上增长最快的行业,据估计,2016 年的收入达到了 4450 亿美元(来源:世界经济论坛)。这个数字预计在未来几年将翻一番以上。
在前一章中,我们回顾了预防和检测网络攻击的主要传统方法。
关于这些防御措施的信息非常基础,在这本入门级的书中,主要目标是提供对这个广泛主题领域的基本、全面的理解。然而,对攻击和防御方法的演变方式的任何讨论都需要更深入地了解不同的技术和其他类型的控制。因此,本章将进一步探讨攻击和防御的演变。
首先,正如我们在前几章中所介绍的,有效防止不受欢迎的入侵或滥用电子设备及其所包含信息的唯一方法是采取比简单实施技术控制更全面的方法。
例如,英国网络基本要求方案是众多旨在帮助组织建立更好防御的框架之一,它指出仅有效管理五个关键领域就能防止 80%的攻击。这些领域包括:
- 有效的防火墙位置和管理。
- 安全配置。
- 用户访问控制。
- 恶意软件防护。
- 及时的补丁管理。
| 安全配置 - 确保在应用设置到任何项目(设备或软件)时,始终采取适当的步骤来确保(i)默认账户被移除或禁用,(ii)不使用共享账户,以及(iii)项目中的所有保护和防御控制都使用最强的适当设置。默认账户 - 通常具有管理员访问权限的通用用户和密码权限,通常作为某些应用程序和硬件的标准配置在初始设置期间提供。访问控制 - 通过权限管理和限制物理、虚拟或数字区域的进入或退出所使用的规则和技术。权限通常分配给个人、设备或应用程序服务,以确保使用的责任和可追溯性。可以使用(i)物理令牌(你所拥有的东西)来保护权限;例如,一个钥匙卡,(ii)秘密信息(你所知道的东西);例如,密码或(iii)生物识别信息 - 使用人体部位(如指纹或眼部扫描)来获取访问权限(你所是的东西)。还可见多因素身份验证。补丁管理 - 用于在数字设备上部署关键的临时软件更新的受控过程。通常发布软件的“补丁”是为了响应已经确定的关键缺陷或漏洞。未及时应用新的临时软件更新可能会使存在的安全漏洞暴露出来。因此,及时应用这些更新(补丁管理)被认为是维护有效网络安全性的关键组成部分。 |
在上面的列表中显而易见的是,三个加粗的项目(安全配置、用户访问控制和及时的补丁管理),都依赖于人类执行某些程序。因此,它们不是直接的技术控制,而是需要应用于网络、系统、设备和应用程序的过程控制。
定期备份(定期将有价值的信息备份到安全位置)通常也依赖于建立正确的流程 - 这通常是一个关键流程,可以在成功攻击发生时恢复计算机系统。
无论应用的控制主要是技术性的还是主要依赖人力的,案例研究都表明,导致加大对网络攻击的易受性的从未是孤立的技术失效。
因此,智能安全协调软件越来越多地用于网络防御。
安全协调软件旨在汇集不同安全控制状态的更全面图景。然而,重要的是要注意,就像在地图上放大和缩小一样,有许多不同级别的协调可用。
一个协调企业整体安全位置的绝佳方法是通过一个集中的、全面的治理、风险管理和合规系统。在最高层次上,企业的治理、风险和合规系统旨在汇集以下内容:
- 治理信息 - 是企业执行层用来确保组织在可接受范围内运作的全部政策、程序和具体控制。这包括直接的安全政策、程序和控制,以及间接的法规,也可以影响或影响安全。
- 合规信息 - 是由用于识别安全差距并验证是否遵循治理法规的流程产生的数据。
- 风险信息 - 涉及可能对组织产生重大和实质性影响的任何事物。这些数据可以来自多个来源,包括已经确定的合规性差距,以及新的威胁(如法规变化或新类型的利用)。
尽管收集和同步这些最高级别的信息是创建整体安全位置的最佳方法,但它依赖于从更细粒度的安全协调软件的信息来源获取信息。细粒度的来源可以包括漏洞评估、渗透测试、审核、事件和其他关于潜在差距和威胁的信息来源的结果,
网络运营中心经常汇集有关信息流量和入侵尝试的信息。
反恶意软件协调套件可以监视资产,确保它们的个体反恶意软件软件正常运行,更新并收集有关尝试感染率的信息。
纠正和预防措施系统可以通过监测、管理和监控已识别的问题直至解决来操作。通常,这些行动没有被有效地分析以识别重复模式,这可以实现更有效的纠正措施。
有超过 30 种不同的安全控制流程可以聚合信息。然而,如果它们只是将信息聚合在孤立的信息库中,而无法理解它们之间的关系,那么理解真正需要优先考虑的内容的机会就会丧失。
如果我们看一下案例研究,通常是无法理解真正的全局图景最有可能产生足够的差距,以允许重大的网络安全漏洞。由于防御层层叠加技术,单个漏洞本身不太可能导致重大损失。
在我们进一步研究更多防御方法之前,我们应该考虑攻击本身是如何演变的。
不断进化的攻击方法
在过去几年里,网络攻击已经越来越多地涉及三个趋势:
- 勒索软件使用的大规模增加
- 捕获和重新使用有效的用户和密码访问信息
- 分布式拒绝服务(DDoS)攻击
勒索软件
近年来最显著的变化是勒索软件的惊人激增。如前所述,这是一种旨在通过锁定或加密个人或组织文件和/或设备直接从目标处获取资金,并只在支付赎金后才释放它们的方法。
当然,如果您运行正确的安全软件,或者甚至在外部位置充分备份信息,勒索软件就不会有效。然而,大多数人和组织缺乏这些基本防御措施。
加密货币使勒索软件得以实现,这是一种匿名支付形式,允许资金在没有简单识别接收方的情况下转移。
网络犯罪分子不再必须依靠将窃取的信息转售给其他犯罪分子从网络犯罪中获利。从勒索软件中轻松获利的方式推动了犯罪分子以这种方式瞄准私人个人和小企业的大幅增加。事实上,在大多数国家,网络犯罪现在是最多产的犯罪形式。
过去大多数网络攻击依赖通过电子邮件传播恶意软件或鼓励目标将未知应用程序下载到设备上。这也是勒索软件进入数字设备的方式。
最早使用的(并仍在使用的)技术之一被称为网络钓鱼。
| 网络钓鱼 – 利用电子通信(例如电子邮件或即时通讯)假装来自合法来源,试图从收件人那里获取敏感信息(例如,密码或信用卡号)或在收件人设备上安装恶意软件。网络钓鱼的方法已经发展,以至于消息可以简单地包含指向恶意软件所在的互联网位置的链接,或者可以包含一个附件(例如 PDF 或 Word 文档),在打开时安装恶意软件。恶意软件随后可用于运行任意数量的未经授权功能,包括从设备中窃取信息,将额外的恶意软件复制到其他可访问位置,共享用户屏幕,记录用户输入的键盘记录或在勒索软件攻击中锁定访问权限。网络钓鱼的较简单形式可以鼓励收件人访问一个虚假但令人信服的网站,并透露密码或其他详细信息。 |
这种技术的进化版本被称为鱼叉式网络钓鱼。
| 鱼叉式网络钓鱼 – 一种更具针对性的网络钓鱼形式。这个术语描述了利用电子通信(例如,电子邮件或即时通讯)针对特定人或人群(例如,某个地点的员工)并假装来自合法来源的行为。在这种情况下,发送方还可能假装是收件人认识和信任的某人,试图获取敏感信息(例如,密码或信用卡号)。 |
恶意软件,如勒索软件,也可能仅仅通过点击一个互联网链接而无意中被下载。即使用户没有在设备上安装软件的权限,恶意软件有时也可以规避此控制而进行安装。
为了增加成功的机会,攻击者通常利用主要的社交媒体网站和流行的网络服务。Facebook、Twitter、Ebay 和其他网站都可以携带用户插入的链接。如果攻击者使链接足够有趣,以诱使受害者点击它,这将允许恶意软件潜在地获得立足点。
另一个问题是,有时这些社交媒体和网络服务网站不能被阻止,因为至少一些业务功能需要这些工具与客户进行沟通或连接。
这些网站还使用安全的加密协议,如 SSL,防止其内容被拦截。这些协议使得通常使用的安全设备在发送或接收信息时难以检测或阻止包括恶意软件在内的信息。
| SSL - 是安全套接字层的缩写。这是一种在数字景观中为两个点提供加密通信的方法(协议)。例如,这可能是一个网页服务器(托管网络服务或网站的计算机)和一个网络浏览器(接收者用于查看网页的程序;例如,Internet Explorer)之间的通信。在 URL(用户可见的互联网地址)中,使用 SSL 通过一个‘https:’前缀表示。 |
文件共享和即时通讯服务也可能以相同的方式被利用。
这种攻击形式被称为驱动下载。
| 驱动下载 - 通过互联网页面、电子服务或链接无意中接收到恶意软件到设备上的过程。受害者通常不知道自己的行为允许新的恶意软件被拉到并安装到数字设备或网络中。 |
攻击者使得捍卫数字景观变得越来越困难的另一种方式是定制他们的恶意软件。
许多组织和个人继续使用过时且无效的反恶意软件。如果此软件仅依赖于识别签名(威胁的特征),攻击者只需定制恶意软件即可逃避检测。现在,即使没有编程知识,使用预打包软件程序也可以简单地定制或调整恶意软件,使其签名与反恶意软件通常识别的签名足够不同。这样可以防止攻击被立即检测到,因为在新的恶意软件版本被发现、隔离、提交给反恶意软件专家、解密和分析之前,签名型反恶意软件程序不会添加更新的防御。根据定制的恶意软件的异常程度(不寻常和罕见),创建新的防御可能需要数月或数年时间——由于新的恶意软件数量庞大(估计每天有超过五十万个新变种),可能无法及时更新较旧的反恶意软件形式,以便为其提供可行的防御。
增加了这个问题的是,许多恶意软件能够在安装后适应性地改变以更有效地逃避反恶意软件。这种反恶意软件被称为多态恶意软件。
一些较新的下一代反恶意软件没有这个缺陷,可以检测和阻止超过 99%的更复杂的恶意软件威胁。然而,截至 2017 年初,许多企业使用的反恶意软件错过的恶意软件比检测到并处理的恶意软件还要多。
| 多态恶意软件——能够改变其属性以帮助避免被反恶意软件检测到的恶意软件。这种突变过程可以自动化,使软件的功能继续,但操作方法、位置和其他属性可能会改变。参见变形恶意软件。 |
密码攻击
过多的计算机系统和在线服务仅通过用户名和密码组合进行控制,这增加了不安全因素。此外,几乎每个服务都需要其独特的用户名和密码。这导致大多数计算机用户需要拥有数十甚至数百个不同的用户名和密码。
然而,许多人并非为每个在线账户使用不同的密码和用户名,而是遵循重复使用相同密码的不安全做法。
加剧这一问题的是,主要在线站点的安全漏洞,包括 LinkedIn、Yahoo 等,在黑市上公开出售了数十亿个用户名和密码组合。
这意味着犯罪分子不再需要破解密码,而是可以轻松地处理长长的历史用户名和密码列表,将它们输入自动化软件中,以检查它们是否适用于成千上万个不同的在线服务。
更糟糕的是,犯罪团伙还想出了使用统计数据来规避许多阻止密码“猜测”的密码安全措施的方法。如果他们尝试在一个站点上多次猜测密码,这些尝试可能会被阻止。然而,如果他们从多个位置工作,并且在数千个服务上分布他们的猜测,尝试几乎不可能被检测到。
这导致大多数主要在线服务为其访问安全性增加了更多层次。您可能会注意到,这可能采取重新输入密码和屏幕上显示的唯一代码的要求的形式,或者您可能需要接收一条提供必须输入以确认登录人员确实是帐户持有者的代码的短信或电子邮件。
一些组织过去曾责怪帐户用户由于使用有效的用户名和密码而导致的金钱或信息被盗,但调查已经证明这不再是一个有效的防御。例如,使用僵尸网络进行的分布式机器人密码攻击可以从数千个位置的数千个攻击尝试中尝试数千个密码,这些尝试通过正常手段几乎无法检测到。大多数尝试将失败-但足够多的尝试会成功,使攻击者的这种方法值得一试。
访问系统实际上需要更多的验证手段,不仅仅是用户名和密码。
安全专家还发现,以前推荐的加强密码的技术往往产生相反的效果。例如,使用 4 或 5 个小写字母的随机单词链比包含数字、特殊字符和大写字母组合的 8 个字符密码要难破千倍。
这些 8 字符密码类型相对容易破解,因为密码破解软件已经了解到人类密码模式。例如,密码猜测软件可以假定第一个字符是大写字母,最后一个字符很可能是特殊字符或数字集合。
DDoS(分布式拒绝服务)
通过发送大量不需要的流量来中断网络连接或在线服务的分布式拒绝服务技术已经被使用多年。然而,最近发生了变化的是,发动 DDoS 攻击现在变得很容易,并且可以发送的破坏性流量量大大增加。
这是因为计算机和智能手机曾经几乎是唯一连接到互联网的设备,现在有数十亿其他低成本设备连接到互联网。大多数这些设备的安全性较弱,因此犯罪分子很容易用恶意软件感染它们。在 2017 年初,据估计,大约 80%的“智能”设备实际上具有薄弱和易受攻击的安全性。
现在,网络攻击者相对容易地招募数百万这些安全性较弱的设备,然后利用它们发动大规模的 DDoS 攻击,这在几年前是不可想象的规模。
其他不断发展的攻击方法
另一个重要但经常被忽视的妥协领域是大多数硬件设备上存在 USB 连接端口。
许多形式的数据丢失预防安全程序和硬件配置试图禁用或限制对这些端口的访问;然而,带有恶意内容的硬件通常被设计用来规避安全措施。例如,USB 连接可能仅限于键盘和鼠标,但一块恶意硬件可能被编程成类似键盘或鼠标。它可能在外观上看起来像一个鼠标,但除了这个功能外,它还可能包含恶意软件或内存,以帮助进行攻击。
直接物理连接(例如通过 USB 连接)到已经在网络内部具有访问权限的设备,将会位于几层安全层之外,因为它可以利用已连接设备的现有访问权限。
这种类型的攻击确实需要对设备进行物理访问,但这可以通过一个恶意内部人员故意连接感染的 USB 设备到联网计算机,或者通过一个有意或无意使用被一个秘密攻击者给予的感染设备的目标员工或供应商来实现。
有关感染恶意软件的 USB 设备普遍性的统计数据根据不同研究人员使用的样本而有所不同,但研究表明,所有 USB 设备中有相当数量携带恶意软件。
每当你查看网络安全统计数据时,一定要验证其有效性。它有多新?传达信息的人或团体是否试图推销某种产品(可能存在偏见)?
许多网络犯罪利用了所谓的暗网。
| 暗网 - 隐藏其服务器位置的网站。虽然公开可访问,但它们不在标准搜索引擎上注册,并且隐藏的服务器值使得极其困难确定这些网站背后的组织和人员。 |
暗网地点被用于各种非法活动。当软件中的新漏洞被公布时,用于利用该问题的攻击工具包通常在暗网上在 24 小时内可用。暗网也用于出售窃取的数据,为服务中断付费(DDoS 攻击作为一种服务)并交换其他非法形式的信息。使用暗网的犯罪分子还使用各种加密和隐私软件工具来帮助隐藏其用户详细信息。
值得考虑的最终新兴攻击趋势是移动计算的规模和持续增长。已有一半以上的互联网流量使用某种形式的移动设备进行处理。与传统计算机或笔记本电脑不同,移动设备和其他互联网连接设备的持续增加使得这些设备成为网络犯罪分子越来越受欢迎的目标。
不断发展的防御方法
鉴于攻击的规模和复杂性,似乎几乎不可能创建有效的防御。然而,这并不是真的。
随着攻击变得更加复杂,防御措施也在加强。正在发生的主要变化是防御策略现在越来越多地被结合并放置在更多的位置。
例如,移动设备的增加使用意味着一种被称为移动设备管理的安全技术已成为大型企业管理员工使用的平板电脑和智能手机资产的标准。
| 移动设备管理(MDM) - 用于安全控制诸如平板电脑和智能手机等移动设备操作和使用的技术。能够(例如)远程擦除移动设备上的信息并控制允许安装或运行哪些应用程序和功能。 |
正如已经讨论的那样,仅使用密码已不再被视为任何安全设备的足够访问控制。多因素身份验证正变得越来越成为一种必需的标准,而不仅仅是一种高安全性选项。
| 多因素身份验证 - 使用多种形式的证据来确认试图请求访问的个人或设备的身份。通常有三种不同的认证类型:(i)你知道的东西[通常是密码](ii)你拥有的东西[也许是安全令牌或访问卡]和(iii)你是的东西[使用生物识别技术;例如指纹或面部识别]。例如,有效的双因素身份验证将要求在请求访问时,至少需要来自两个不同类别的证明。 |
在安全技术中可能最重要的改进之一是使用被称为机器学习的东西来帮助检测和击败攻击。与必须明确识别和阻止已知威胁不同,许多技术(包括最新形式的反恶意软件(通常称为下一代反恶意软件和一些类型的先进端点保护))能够根据每个文件和服务的操作方式智能识别和中和威胁。
而以前人们必须手动指示安全技术如何识别和中和威胁,机器学习程序可以理解计算机系统的常规和允许的行为,因此它们能够智能地了解、报告和阻止可疑的项目或事件。
还有一些技术陷阱可以设置来帮助捕获、追踪和起诉攻击者。蜜罐和蜜罐网络是网络安全专业人员使用的两种技术的例子,它们涉及设置虚假的数字区域,看起来像攻击面的敏感和有价值的部分,但实际上并不包含任何有价值的东西。事实上,这些陷阱是故意用来诱捕、识别和追踪潜在的攻击者及其恶意软件的。
| 蜜罐 - 一种电子设备或数据集,旨在通过检测、偏转或以其他方式对抗攻击者的努力来诱捕潜在的攻击者。设计成看起来像企业攻击面的真实部分,蜜罐不包含对攻击者有真正价值的内容,但包含识别、隔离和追踪任何入侵的工具。蜜罐网络 - 一组蜜罐的集合,它们共同运作以帮助构成网络入侵检测策略的一部分。 |
网络记录是许多大型组织正在使用的另一个较新的工具。这允许在攻击结束后重放数周或数月的网络事务,以帮助追踪和识别攻击的性质。
有一些非技术策略也可以显著降低攻击的可能性。
其中一种策略涉及数据保留和销毁。尽管收集大量信息有时可能是有利的,但个人和组织通常会在其网络中保留大量的信息,这些信息的价值有限或较低。这主要是因为数据存储的成本较低,以及保留信息比丢弃信息更明智的看法。然而,保留信息通常是有害的。
实施考虑安全成本作为整体业务策略的一部分的深思熟虑的数据保留和销毁政策可以确保数据只在保持其可证明性时才被保持为活动和可用状态。
电子邮件是这一原则的一个很好的例子。当律师处理案件时,找到表明不当行为的单个通信比重新组装证明相反的完整结构化数据集更容易。如果员工和其他电子邮件系统用户了解到他们的通信在例如 3 个月后将被自动删除,除非特别存储到存档系统中,那么风险曝光就会降低。
同样,即使有法律或业务要求保留信息存储,也很重要确定是否需要活动存储或离线存储满足要求。
这些措施有助于减少攻击表面并集中安全工作。
如果考虑从莫萨克·丰塞卡(Mossack Fonseca)窃取的电子邮件,尽管他们使用的软件已过时且安全配置差,但攻击的成功主要源于他们选择在线保留多年的电子邮件。
减少攻击表面的另一种方法是创建高安全区域,为最敏感的数据增加更多的保护。就像策略可能管理高安全性站点的配置一样,可以强制要求高安全区域是否应该是封闭系统,或者是否所有入站和出站流量都必须完全解密和检查。
| 封闭系统 - 一组仅具有相互通信能力的应用程序、系统和设备。不允许与已知和可信组外的任何组件连接。 |
封闭系统经常用于制造线和飞机控制等领域。
最重要的是,所有管理或连接到具有价值的信息或服务的技术都必须通过设计嵌入安全性。仅在网络上部署安全性会错过一半以上的潜在漏洞。
即使是对云服务的配置或供应商系统的使用 - 任何连接或使用的技术都必须确保从最早的设计阶段到最终报废阶段都包含适当的安全性要求和测试。
总之,可以创建高效的防御措施来抵御攻击。
- 在组织中实施这些防御措施最关键的因素是获得执行(董事会级别)对安全正确投资的支持。这需要向执行层呈现组织风险曝光规模和范围的清晰图景。这将在第 12 和 13 章中详细介绍。
- 将攻击表面减少到满足公司业务需求的最小合适尺寸。
- 使用安全架构师帮助简化网络防御点的范围。
- 对信息进行分类,以确定哪些数据集需要最大程度的安全控制。
- 将攻击面划分为反映其传输的信息价值和敏感性的离散段。对最高价值区域应用最严格的安全措施。
- 删除或销毁没有意义或价值低的数据。
- 在所有携带、存储或交易您信息的设备上使用最新的“下一代”防恶意软件。
- 确保您具有强大的用户访问控制,其工作原理是根据提供用户所需最低特权来执行其角色。
- 确保访问控制需要更多的方式来验证用户身份,而不仅仅是用户名和密码。
- 及时为所有设备和操作系统打补丁,使用来自制造商的最新安全更新。
- 部署其他关键的技术对策,如具有强有力政策的高级防火墙到关键位置。
- 确保所有应用程序、系统和物理设备的安全设置都设置为适当的高级别,并删除所有默认帐户。
- 教育您的用户进行良好的安全实践,包括密码管理以及如何识别可疑的电子邮件和附件。
- 确保所有为使用而构建或配置的技术在其生命周期中都包含并测试了安全要求。
记住,防御深度需要对安全性进行全面的审视。物理安全、程序控制和文化条件是最重要和最成功的攻击的关键因素。
只有具有全面了解的组织才能防止重大攻击。
创建有效的组织防御的主要挑战在于保证在必要的技术和措施上获得足够的投资。获得这种投资需要建立一个有效的商业案例(对费用的证明)。随着导致巨额损失的成功攻击数量不断登上头条新闻,改善电子设备及其数据安全的价值相对容易证明。
电子设备及其信息的有效安全需要一个昂贵而广泛的方法,这一方法在董事会层面得到了支持。
无效的安全性甚至更加昂贵。在安全性投资不足的情况下,实际上经常导致了对于对其组织允许承担的网络风险了解不足的主要董事会成员的解雇。
十、案例研究 - 索尼(2014)
| 组织: | 索尼 |
| 违规日期: | 未知至未知 |
| 发现日期: | 2014 年 11 月 24 日 |
| 披露日期: | 2014 年 11 月 24 日 |
| 违规性质: | 敏感电子邮件、未发布的电影、员工数据,… |
| 违规规模: | 据信超过 100 太字节。 |
| 影响: | 估计超过 300 百万美元 |
摘要:
作为一个高度依赖技术的大型公司,索尼过去经常成为网络攻击的目标。
为了为他们多样化的部门提供灵活性,索尼对其系统的安全采取了灵活的方法,允许每个公司组实施和管理各自所需的内容,同时还有一些跨所有部门运作的整体安全系统。
这种方法的优势在于允许不同部门整合新技术,以帮助扩展和交付产品,以满足客户需求,从而增加收入。
这种策略可以运作良好,但相比自上而下的安全执行,运营成本要高得多。在为每个部门单独运行安全性时,了解每个部分的责任和边界至关重要。必须有足够的资金,并且必须足够以允许每个部门管理安全的全面方法,包括我们在本书中探讨的所有组成部分。
2014 年 11 月 21 日星期五,索尼的少数高管电子邮件账户收到了一个自称为“上帝使徒”的团体的通讯,要求支付金钱赔偿以防止索尼“被整体轰炸”。据报道,收件人忽视或将此通讯视为垃圾邮件。
2014 年 11 月 24 日星期一,索尼影视娱乐公司,索尼公司的一个部门,发现他们的大量系统遭到入侵。已经有大量数据被窃取,并且一些关键服务无法运行。此时,确切的原因和渗透点尚不清楚。
首次有关攻击被检测到的报告出现在索尼影视娱乐公司位于加利福尼亚州卡尔弗城的总部的员工计算机屏幕上,屏幕上闪烁着黑客的消息。消息中包含黑客收集的一些被盗数据的链接。此时,攻击者自称为“和平卫士”。
同一天,有关违规的信息迅速传播到社交媒体上。一些被盗的数据已经发布在网上,媒体开始审查内容。
攻击的程度以及识别攻击方法所需的时间对索尼的即时运营产生了重大影响。事实上,据称全球范围内的索尼员工在许多天内继续工作,却无法使用他们的计算机、电子邮件或语音信箱。
在接下来的几周里,越来越多的被盗数据被发布在线,同时攻击者发出威胁和要求。
这次泄露的程度是巨大的。在线发布的数据包括:
- 高管的整个电子邮件档案。
- 一些员工的信息,包括工资信息和社会安全号码。
- 未发布的电影。
- 公司财务信息。
- …
攻击者泄露的信息类型列表将填满几页。攻击者(和平卫士)最初(同一个月)透露他们设法获取了 12TB 的信息。
据显示,黑客使用的恶意软件在攻击被检测到后仍然继续运作一段时间。最终评估显示黑客窃取的数据量超过 100TB。为了让这个数字更具体,整个美国国会图书馆的数字化格式只有这个大小的 10%。
这些信息持续泄露表明恶意软件是多态的(如前一章所述),当时无法用现有的反恶意软件软件阻止或隔离。因此,尽管索尼的安全团队试图隔离或清除被盗的数据,但这些尝试都失败了。
其他已经部署的安全措施,如应急情况下应该关闭系统的防火墙,也未能立即阻止或防止信息的持续泄露。这表明恶意软件绕过了这些防御措施,同时也规避了反恶意软件软件。
被盗信息的敏感级别是混合的,相对无关紧要的数据经常存在于高度敏感信息的小部分旁边。
指示表明这次攻击是出于政治动机,原因是即将发布一部名为《采访》的电影,据称冒犯了朝鲜政府。
索尼聘请外部安全公司协助阻止和清除泄露的数据,并帮助恢复内部系统和服务。这次攻击的规模也促使美国政府机构提供援助。
在 12 月 19 日,美国计算机应急响应小组发布了关于一种新型破坏性恶意软件的信息,该软件最近被用来攻击一家主要媒体公司。
https://www.us-cert.gov/ncas/alerts/TA14-353A
对恶意软件的分析确认其能够监听、访问、指挥和破坏感染设备上的信息。分析人员将这种恶意软件描述为蠕虫。
| 蠕虫 - 一种恶意软件,旨在寻找其他可以复制的位置。这有助于保护恶意软件免受清除,并增加受攻击面积。 |
它通过利用一种称为服务器消息块(SMB)的标准文件共享协议来运作。因为这种蠕虫也可以删除信息,所以它也被称为“擦除者”。这种方法已经在其他攻击中使用过,而且有一些补丁可以帮助解决这个漏洞。
在撰写本书时,财务影响,包括收入损失、业务中断、补救成本和赔偿支付仍在持续。这些成本预计将达到数亿美元,甚至更多。
这次攻击的规模、程度和影响完全超出了索尼当时所拥有的网络安全能力。
根本原因分析:
索尼网络安全团队从未充分考虑或准备好可能影响索尼本身或索尼影业部门的这种规模的攻击。
当索尼影业制作了一部冒犯了一个与世隔绝、敏感和反应迅速的国家的电影时,索尼将一个实质性和强大的对手添加到了对其系统感兴趣的攻击者名单中。
与其他攻击不同,其动机通常与金钱有关,国家赞助的攻击通常包含非常不同的目标。
一个充分的网络安全防御策略的基础在于告知公司高管风险的程度,并确保对暴露水平的整体理解存在。
根据渗透的程度和造成的损害,很明显一个关键的根本原因是防御层中存在大量的漏洞。总的来说,被窃取的数据量表明网络和设备级别的数据丢失预防工具被绕过或缺失;无论哪种情况,这些工具都被证明是无效的。
尽管当时几乎不可能完全保护系统免受使用多态恶意软件的攻击,但这种恶意软件本身主要利用已知的漏洞,而这些漏洞的保护措施已经存在。这意味着,尽管使用多态恶意软件的攻击可能造成损害,但当所有其他安全措施有效运行时,其规模和影响可以大大减少。
正如我们在上一章中所讨论的,建立坚固、多层次的防御措施是昂贵的,根据攻击方法的演变定期更新网络防御也是昂贵的。但这种类型的攻击揭示了一个事实,即不投资于全面、经常更新的防御措施可能会比强大、适应性强的多层次防御成本更高。
尽管有关索尼遭受的攻击是否真的是由朝鲜发起的的猜测一直在持续,但一些关键事实表明了这一点。
用于渗透索尼的软件类型,尽管经过修改以帮助其规避反恶意软件,但与 2013 年 3 月对韩国发动的早期攻击中使用的软件非常相似。那次攻击也被归因于朝鲜。
此外,‘和平卫士’已经渗透并复制了索尼未发布的电影,并将这些电影发布到了网络上,除了《采访》这部电影——这部电影冒犯了朝鲜政府。
最初的渗透被追溯到泰国曼谷瑞吉酒店。
分析人员还发现,恶意软件可能在被攻击日期之前就存在于索尼系统中,并且在攻击被揭露之前一段时间内一直未被发现。这些证据支持了这样的观察结果:在不到几个月的时间内收集和窃取如此大量的数据是非常困难的。
使用了已知一段时间的漏洞利用技术,并且如果索尼安装了软件制造商提供的补丁(更新),他们的系统就可以抵抗这些‘已知’的漏洞利用。
一旦发现攻击正在进行中,公司似乎无法迅速更新其入侵检测和预防例程以阻止攻击。这进一步支持了这样的论点:不定期安装更新在增加索尼面对这种规模攻击的脆弱性方面起到了重要作用。
分析人员还发现,至少对于电子邮件系统来说,索尼的记录保留和销毁程序要么不存在,要么极其不足。自动在特定有限时间后删除和销毁电子邮件,除非明确指定保留,否则会大大减少数据暴露的影响。
换句话说,由于补丁管理和记录保留和销毁政策的不足,攻击面的大小和敏感性比必要的要大且更易受攻击。
此外,攻击者能够在非敏感数据旁边找到一些敏感数据。这表明信息分类流程并未完全建立。敏感信息与非敏感数据的分离和比非敏感数据更高的安全措施并不一致。
有人推测攻击的另一个根本原因涉及到不满的前雇员利用内部信息。这一指控的部分理由是,如果攻击者合理地了解了索尼系统、网络位置和易受攻击点,就可以更合理地解释损害和渗透的程度,以帮助他们制定攻击策略。
数据泄露的最终根本原因之一是所有良好安全性的一个关键特征:单一责任制。
| 单一责任点(SPA 或 SPOA)- 所有关键资产、流程和行动必须具有明确的所有权,并可追溯到单一责任人的原则。理由是,未定义单一所有者是流程或资产保护失败的常见原因。共同所有权被视为重要的安全漏洞,因为一般情况下,当有多个人负责时,安全漏洞持续存在的可能性增加。 |
在本书的开头,我提出了这样一句话:“从来没有人为了表彰一个委员会而建立雕像。” 采用分部门的安全方法是可行的,但需要明确和可追溯的单一责任点责任线。如果每个人都负责,通常没有人会被追究责任。谁最终对索尼的安全负责?是分部门层面的高管,还是公司层面的高管?
这些类型的责任不明确的政策导致在面对灵活和快速移动的攻击者时反应迟缓且不足。每个组织都必须采取反映其信息价值和可能遇到的攻击者类型的安全姿态。
总的来说,索尼没有建立起足够规模的深度防御安全控制措施来应对已经发生的威胁。他们没有充分预见或准备可能对他们造成如此规模影响的攻击。
十一、网络安全冷战
目前正在进行一场战争。每天都有数以亿计的尝试未经授权地访问数字设备和账户。特别是通过黑客事件和泄露的被窃邮件的曝光,这一点尤为突出,据称是为了影响 2016 年美国总统选举。
一些网络攻击是机会主义的,而一些是有针对性的,但它们都是出于对那些合法拥有这些资产的组织和个人的政治或经济利益的欲望。
攻击尝试的数量增加和后果的成本是令人担忧的原因,也是推动提高网络安全和网络防御水平的强大动力因素。
与任何战争一样,战略家需要了解他们的敌人。哪些组织和人想要针对不同的数字景观,他们的目标是什么,他们有多复杂以及他们如何操作?
网络攻击者(有时也称为威胁行为者)主要分为 8 组:
- 国家
- 恐怖主义组织
- 组织犯罪团伙
- 黑客活动社区(黑客主义)
- 有技能的专业黑客
- 不满或机会主义的内部人员
- 业余黑客和记者
- 任何人
每个组织的威胁景观都是不同的。根据您或您的组织的活动,您可能会成为这些组中一个或多个更或少有吸引力的目标。
| 黑客主义——黑客和活动主义的合并。描述未经授权地访问任何数字设备或数字景观以促进社会或政治议程的行为。通常未经授权的访问用于造成破坏、干扰和/或公众关注。参与这些行为的个人被称为黑客活动者。黑客活动者——黑客和活动主义者两个词的合并。描述参与黑客活动的任何个人。威胁景观——威胁和景观两个词的合并。一个总称,用于描述组织或个人可能期望被攻击的整体预期方法(向量)和类型的网络攻击者。 |
您的数字存在的规模、范围和公众形象也将是确定谁攻击您以及攻击频率的关键因素之一。
2017 年,大多数家庭网络安全仍然非常差。这将很快改变。
网络攻击者从任何网络攻击中获利所需的努力和复杂程度迅速降低。随着所需努力的减少,越来越多的家庭易受攻击并意识到需要投资更高水平的网络安全。
随着将越来越多的日常家庭和其他常规电子产品连接到一起的趋势增长,攻击私人住宅的吸引力也会增加。这被称为物联网。
| 物联网(IoT) - 将电子设备纳入日常物品中,使它们能够与其他网络设备进行网络通信。 |
成功的网络攻击的主要问题之一是,与身体上的战斗不同,攻击者不需要具备显著的规模或复杂性就能造成巨大的破坏。即使是发动攻击的群体庞大且有组织,造成毁灭性攻击所需的人员数量也可能只有一个。
任何网络犯罪的成本回报比都非常高,以至于许多组织都在大量投资于增加他们的技能和工具库,以利用他人对技术的依赖来谋求自己的利益。
另一个重要因素是,任何具有相对较少知识的人都可以轻松下载并使用用于网络攻击的工具。黑客不再需要具备编程技能;他们可以简单地使用这些广泛可用且通常免费的现成工具。
我们现在将更仔细地观察每个进行网络攻击的群体,以更好地了解他们的动机和目标。
国家
各国一直在进行间谍活动。现代技术将间谍活动提升到了一个新的水平。
前东德可能拥有有史以来最完善的内部间谍网络。官方统计数据显示,他们的秘密警察,称为“斯塔西”,大约有每 20 名成年公民中就有 1 名是员工或线人。我曾与一名前斯塔西线人进行过交谈。他认为这个数字实际上远高于每 20 人中的 1 人;可能高达每 5 人中的 1 人。
在数字技术出现之前,监视大量人员活动需要大量的精力和非常庞大的财务投资。在斯塔西的情况下,估计有约 274,000 人员在其工资单上。
现代技术使类似的活动可以以更低的成本进行管理。不再需要大量人员来监视其他人的通信。技术可以被编程成‘监视’所有口头或书面通信,并在使用特定词语或短语,或特定人进行通信时引发警报或提醒。
大规模监视主要集中在情报收集上。来自主权国家的更大威胁是它们更可能完全渗透并利用其他国家的关键信息或基础设施。
国家赞助的网络攻击的动机可以概括如下:
- 获取情报以防范攻击并施加影响。
- 窃取知识产权以了解敌方能力并利用该信息获取国内政治或金融利益。
- 能够通过其数字化环境对任何外国或国内敌人施加控制的能力。例如,通过能够远程禁用关键的敌方技术和服务。
最后一项激励清单的一个例子发生在 2016 年美国总统选举期间,当时美国亲身经历了利用窃取的信息对选举结果施加影响。
根据美国安全界的消息来源,拥有最高网络战能力的国家有:
1.) 美国和赛里斯并列第一。
赛里斯拥有巨大的网络情报和渗透能力。这些能力倾向于被动地用于收集信息和窃取知识产权。赛里斯不倾向于使用破坏性技术;然而,这使得其入侵更难以检测,并导致其通过网络渗透造成突然而巨大的损害的能力远远超过其他任何国家。
美国也具有相当大的渗透能力,另一方面,它也有成为地球上遭受网络攻击最多的国家的荣耀。结果,美国已经发展出了可能是世界上最好的防御性网络战略。
作为美国网络战能力的一个例子,在 2015 年初,安全分析人员发现了一种新型恶意软件,由一个名为“方程式”的黑客组织使用(据称该组织与美国国家安全局有关)。这种恶意软件渗透到许多主要硬盘品牌的低级编程中。该方法是如此先进,以至于当时传统的反恶意软件甚至完全重新格式化驱动器也无法将其移除。然而,该恶意软件仅在与美国政府利益相关的特定机构的数字系统中被发现。
俄罗斯
近年来,俄罗斯加大了对网络情报的关注。与赛里斯使用的技术不同,据称俄罗斯的渗透技术倾向于故意更加显眼。这些技术更容易识别,但更昂贵。俄罗斯还是“混合战争”的领先倡导者,在这种战争中,网络攻击与其他颠覆性技术结合起来,以增加俄罗斯的权力和领土优势,而以其他国家的安全为代价。美国 2016 年的选举活动不是俄罗斯首次或最后一次据称使用此策略。俄罗斯标准战略的一个方面包括对任何“信息”产生足够的怀疑和混淆,以至于一切的有效性都受到质疑。这通常是通过将合法信息称为虚假信息,将虚假信息称为“假新闻”来实现的。随后的公众混淆可以在政府和公民中产生和利用偏见,以实现行凶者的政治目标。
以色列、英国和法国位居第四。
朝鲜也值得一提。尽管其互联网接入非常有限,但政府已经意识到通过有效的网络渗透技术可以施加多大的权力和影响力。2014 年底的索尼网络安全漏洞就是一个很好的例子。
很难获得关于国家支持的网络战规模的可靠信息。出于明显的原因,攻击和防御国家都不希望透露他们做了什么或知道什么。
明显的是,全球各国正在花费大量时间和金钱来加强其防御和进攻能力。
同盟国之间也越来越多地展开合作,分享有关新兴威胁的信息。
政府不仅将精力集中在其他国家,还会渗透对他们有用的重要组织。谷歌、微软、苹果、人道主义组织、基础设施服务甚至主要银行都必须保护其系统免受一些国家的入侵。
许多国家‘雇员’并不排斥从他们的网络侦查活动中赚钱作为其次要收益。这些个人可能会找到对他们工作的国家无用的信息,但如果他们可以在另一个市场上从中赚钱,他们很可能会这样做。
恐怖组织
恐怖组织在进行网络攻击时有三个主要动机:
- 筹集资金。
- 对敌人造成负面影响。
- 提高他们的知名度。
对这些团体具有吸引力的一点是,这些攻击有可能造成大量损害,使用相对较少的资源。恐怖组织只需找到一个网络弱点就能成功。相反,他们的敌人必须在更广泛的领土上维持网络防御。
尽管一些恐怖分子可能试图将自己描绘成黑客主义团体,但存在关键的行为差异。恐怖组织,尽管可能有政治目标,但使用有组织的、非法的、破坏性的方法来实现他们的目标。运行欺诈骗取人们和其他机构以获得财务收益是这些团体的主要收入来源之一。
有组织犯罪团伙
任何有组织犯罪团伙背后的动机非常明确。金钱。
这种财务收益可以直接或间接实现。窃取和再利用信用卡信息,或者访问银行系统并转移资金,是用于获得财务收益的直接方法的例子。获取可用于勒索或其他形式的敲诈的信息是间接但仍然有效的获得财务收益的方法的一个例子。
其他黑客也使用这些方法,但个人黑客使用的网络攻击和勒索技术与有组织犯罪团伙使用的技术之间存在关键区别:
有组织的犯罪团伙具有结构、规模和资金,能够发动更强大的攻击,并更快地利用他们获得的任何信息。如果一名独立的黑客获取了数百万个密码,那个人可能会试图在暗网上出售这些信息,但这个过程将向其他人(包括执法部门)显露问题,提醒受影响的方,从而减少对受害者和攻击者的财务损失。一个有组织的犯罪团伙可以更好地将数据货币化,而不会公开表明他们拥有它。这意味着他们有可能从中获得更多的利润。
黑客活动
黑客活动和恐怖主义之间存在着微妙的界限。两者都有政治目标。通常表现出黑客活动特征的三个主要因素是:
- 参与其中的人们相信他们正在为更大的利益服务。例如拯救地球或清除腐败的政府官员。
- 参与的个人不寻求从他们的活动中筹集资金。
- 黑客活动组织不会有意参与直接伤害人们或影响个人财务的犯罪活动。
任何不遵守这些界限的团体都是恐怖主义团体。
尽管存在这些界限,黑客活动仍然涉及犯罪行为。具体来说,他们仍旧旨在获取未经授权的访问或对其他组织的数字景观造成损害。
一个特定企业或组织所做工作的性质通常会影响它成为黑客活动组织目标的可能性。
熟练的专业黑客
这些是网络攻击世界的雇佣刺客。必须区分专业道德黑客和专业犯罪黑客之间的区别。
道德黑客(也被称为“白帽子”)由客户支付费用来揭示客户防御中的漏洞和弱点。
与只利用他们的技能来暴露(但不利用)网络防御中的技术漏洞的道德黑客不同,技术犯罪的熟练专业黑客(“黑帽子”)具有无道德标准的货币目标。专业犯罪黑客利用他们的才能来获取金钱利益,而不考虑法律。
专业黑客与最新技术和漏洞非常熟悉。就像任何网络安全专家一样,专业黑客可能仅专注于技术入侵,也可以利用各种技能,如社会工程学或其他攻击技术,与他或她的技术能力结合使用。
具有多种技能的独立职业黑客比仅依赖技术手段的黑客更危险。被组织雇佣来“红队”一个环境的独立职业黑客通常会知道如何摧毁该组织后离开。
失望或机会主义内部人员
任何组织或供应商内部系统访问权限的人员已经允许访问,这已经让他们通过了许多防御层。
拥有非常强大网络安全防御的企业可以通过始终监控和监督特权访问,将叛徒、犯罪分子或其他不满内部人员的滥用可能性降低到非常低的水平。当这些控制措施到位时,通常需要协作努力才能产生重大影响。
然而,有时,即使是获得了相对较少的信息,例如一封电子邮件,内部人员也可以利用它造成重大损害。
正如在人为因素章节中所述,进行雇前筛选和持续监测和评估可以帮助检测潜在的叛徒内部人员,但这些方法并非百分之百可靠。
一个不满的个人通常受到他或她可以对其感到不满的个人或企业造成的损害程度的激励。
另一方面,一个机会主义内部人员更有可能陷入这样一种情况,他或她相信可以在不被发现或失去职位的情况下获得经济利益。
举个例子,一家制药公司(不是我工作过的那家)发现了一种显示出很大潜力的新药物配方。当公司试图申请专利时,专利局发现这种药物已经在赛里斯生产和销售。调查人员发现,一名在赛里斯的信任员工窃取了配方的副本,并以几千美元的价格出售。尽管事实如此,这种药物无法再获得专利。小偷被判处很长时间的监禁,但制药公司损失了数亿美元的潜在收入。
防御这种攻击的主要方法是在企业内部培养一种强大、支持和积极的安全文化,并向员工和供应商提供这类行为后果的例子。还有必要确保任何敏感信息只能在适当的保护措施下访问或移除。
审计追踪、访问权限、数据丢失预防、电子邮件筛选工具、随机物理搜索、监督以及对工作场所摄像头使用的限制,都是可以用来阻止或预防这种行为的安全控制的例子。
一个企业如果有一种让员工和供应商感到疏远和不参与的文化,很可能会造成内部人员的不满,这些人具有内部访问权限。
类似地,一个不严格保护可能被利用谋取经济利益的敏感信息的企业,也很可能遭受由机会主义内部人员实施的网络安全漏洞。
这种威胁的一个主要问题是,内部人员并不一定需要具备任何网络攻击技能就能成功。
业余黑客和记者
一个我在这里不会透露名称的国家制作了一个非常复杂、有效的黑客工具,花费了数百万美元进行开发。然后,该国将其免费提供在互联网上下载。
为什么?简单的答案是——国家可以防御自己免受工具的影响,并且还可以让这个国家向其他黑客上传自己的恶意软件,并且确定这些黑客是谁。该国通过使用该软件的黑客活动获得了大量新的情报。
这是即使是最业余的黑客或记者也能获取非常复杂但完全免费的黑客工具的一种方式。
业余黑客带来的一个危险是,他们不一定会被防御措施所阻止,而这些措施会阻止专业人士发动攻击。如果专业黑客遇到一个防御措施,如果他或她攻破它可能会被抓到,那么这个黑客很可能会将其置之不理。尽管业余者的行动相对容易追踪,但他们的行为仍可能在意想不到的地方造成重大损害。
业余者也更有可能针对几乎任何东西,而不了解目标的价值或后果。记者可能采取更有针对性的方法,因为他们的动机是获取有新闻价值的信息。
任何人
发动网络攻击的便捷性意味着几乎任何人都可能成为施行者。研究网络攻击及其后果的组织认为导致这一现实的三个主要变化是:
- 要成功进行网络安全攻击,以前需要大量的专业知识和难以获得的专门工具。如今,任何人都可以使用(自带恶意软件的)软件尝试攻击,这些软件可以通过互联网免费下载。
- 成功的网络攻击所带来的成本和潜在价值呈指数级增长。
- 加密货币(比特币等)是一种可以隐藏收款人身份的在线支付形式。如果小心使用,它们可以帮助任何人实现匿名支付赎金或其他形式的勒索或收入。
尽管大多数造成严重破坏的网络安全漏洞都是由有技能或有组织的团体所犯下的,但任何有个人动机的个人都很容易参与这种类型的犯罪活动。
早在 2015 年,私人个体试图窃取信息或侵入组织或家庭防御措施相对较少。现在,免费工具的大量增加意味着这种攻击形式正在增加,特别是因为海外攻击目前极其难以监管和起诉。
每个企业或个人的威胁景观都是不同的。根据组织或个人的行为,不同的掠食性团体和个人可能试图利用他们的数字景观。
攻击数量和攻击的自动化程度是巨大的。不要低估正在发生的网络战争的程度。
新兴技术被采用和使用的速度意味着我们安全使用技术的能力总是落后于最新的威胁几步。有很多团体和个人已经准备好利用这些漏洞。
任何有效的网络安全的要宗旨是确保始终有一个全面的、多层次的防御策略在积极地运作,以保护数字化的环境。个人和组织更有可能在每一场战斗中生存下来,如果有多个、有效的防御层存在……而且这些层次需要延伸到网络边界之外,到信息流动的任何地方。
网络安全的设计和计划应始终包括对可能攻击数字化环境的组织和人员的了解,以及他们的运作方式,以及如何确保足够的保护措施已经就位。这种威胁情报分析通常是任何首席信息安全官定期执行的整体网络安全风险评估的一部分。
面向初学者的网络安全(二)(2)https://developer.aliyun.com/article/1507726
