在过去的2015年中,几乎没有哪一个礼拜没有发生过重大的数据泄露事件、重大的网络攻击活动或严重的漏洞报告。而在这其中,许多安全事件均是由于企业糟糕的安全控制、执行错误或其他基本安全失误所导致的,由此也凸显了企业在确保IT安全的诸多基本层面的工作仍然任重而道远。
而现在,不妨让我们超越林林总总的各种网络攻击和漏洞,借此来分析这些攻击事件所揭示出的网络恶意活动的相关洞察,以及如何在未来采取有效的措施以抵御。在2015年中,有相当一部分可以说是耐人寻味的网络入侵事件,其中每个事件都突显了黑客技术的改进,带来了新形式的网络违规行为,或者为我们指明了需要采取防御措施的新的领域。在过去的一年里,某些网络罪犯分子采用了创新的方法,并获得了有关国家的资助,使得其攻击行为变得更大胆。而他们进行网络攻击的动机也发生了转移,获取经济利益已经不再是他们发动网络攻击的唯一原因。制造物理损失、窃取商业机密,将黑客攻击行为作为一种抗议形式等等——使得2015年的网络攻击恶意活动可以说是服务于众多不同的目的。
日益互联的世界意味着网上的犯罪份子可能造成大量的损害;而更重要的是,现在有许多恶意的犯罪份子有相当先进的能力和手段来实施网络攻击。下面,我们将为广大读者总结在过去一年的中所发生过的一系列最为重大的网络攻击事件,其中每一个网络攻击活动都将整体网络安全向前推动了的一大步,展示了黑客攻击的新领域,以及人们亟待采取防御措施的新领域。
被网络犯罪份子所窥视的比特币
比特币是一种新的加密货币的理念。其在2015年获得了主流的关注,部分原因就在于网络恶意活动者使用该平台作为其支付掩护手段。从事勒索的犯罪团体强迫受害者必须支付比特币,才能让自己被他们攻击的文件和文件夹获得解锁,同时勒索者都要求以比特币换取不发动针对网站的DDoS攻击。在2015年,基于各种不同的原因,比特币屡屡成为安全攻击新闻事件的头条:甚至有很多小偷窃取比特币的新闻事件......
2015年一月初,在发现一款钱包系统存在漏洞被黑客入侵攻破之后,欧洲比特币交易平台BitStamp暂停了交易。该交易平台被认为是世界上第三大的比特币交易平台,处理全球约6%的比特币交易。此次黑客入侵导致约1.9万枚比特币被盗,价值约合500万美元。但这并不是唯一一次比特币遭遇网络黑客攻击:据报道,在2015年二月,中国的比特币交易平台比特儿(Bter.com) 发生被盗事件,导致约合175万美元的7170枚比特币从其冷钱包系统被盗。而在2015年十月,小偷又从比特币初创企业Purse公司盗走了10.235 BTC,大约是2500美元。
我们可以将这种网络攻击理解为是针对传统银行抢劫的一种转折:犯罪分子不再是直接抢劫银行账户或袭击交易所。这除了显示出虚拟货币有现实的经济价值之外,相关的盗窃案还凸显了“制定国际公认的比特币安全标准”的紧迫性,Optiv Inc公司信息安全主管Florindo Gallicchio表示说。在2015年二月,数字货币认证协会(the CryptoCurrency CertificationConsortium,C4)提出了创建、存储、审核和使用比特币的10项标准化规则,并将其作为数字货币安全标准(CCSS)的一部分。
虽然上述被盗事件所涉及的金额都不小,但相比在日本Mt. Gox交易平台于2014年所消失的85万枚比特币,价值近4.5亿美元,可以说是微不足道。该交易平台被认为已处理了全球约70%的比特币交易,自那时起一经关闭并宣布破产。日本警方认为,此次盗窃事件极有可能是一种监守自盗。鉴于比特币的开采和交易都与技术相关,因此,其交易平台迄今往往都主要集中在功能性和易用性方面,而把安全保障排在了较靠后的位置,Hexis网络解决方案公司的首席技术官史提夫?唐纳德说。许多攻击活动都依赖于社会工程,在比特币交易网络平台获得一个立足于据点。交易需要采取安全代码开发的方法,以及动态和静态相结合的代码分析,以保护他们的应用程序。“比特币交易平台应采取高度激励措施来提高安全,而这也是这种新型的货币实现大规模应用之前的一个必须实现的要求。”唐纳德说。
网络攻击进入现实世界
网络恶意攻击在现实物理世界也造成了极大的损失,其发生在电视节目上的要比在观众视线以外更频繁。早在2012年,就曾发生过相当骇人的Shamoon恶意攻击病毒部分或完全的删改了沙特Saudi Aramco石油公司大约35,000台电脑硬盘驱动器上的信息的事件。这让我们再次认清了网络世界和现实物理世界之间的界线是模糊的,据报道,某个实际发生在2014年的攻击活动,而其详细的事后调查报告则是在今年年底之前刚刚发布不久的:在德国的一处未详细透露名称的钢厂曾遭遇过恶意攻击者的操纵,并破坏了其控制系统。最终导致其高炉无法正常关闭,进而造成了“巨大的”的损失。
有一种倾向认为网络攻击就是窃取数据或通过攻击使系统离线脱机。但事实上,其甚至可能会真实世界造成相当严重的损害。恶意攻击者可能会侵入某制药公司的生产流程或质量控制系统,并修改某个特定药物的配方。医院系统也很容易受到攻击,特别是对于那些仍在大规模使用许多传统遗留系统的医疗卫生机构,这方面的安全无法得到很好的保证。高达20%的医院都非常容易受到网络攻击,导致其重症监护系统无法正常使用,Gallicchio表示说。
“人们也可能会从网络攻击中遭到物理伤害。” Gallicchio说。
关于工业控制系统的安全性已经出现在太多的谈话中了,但在上述例子中所介绍的德国钢厂发生的网络攻击事件更能突显网络安全威胁已不再是理论上的了。谈到工业控制系统的安全性,特别是对于制造业而言,其当前所面临的一大挑战是其实是一个非常简单的事实:即其各种控制系统一般都是由企业的运营和工程部门所控制的,而不是IT管理部门。而企业的运营和工程团队往往都将主要精力集中在了可靠性方面,其所作出的维持正常运行时间的各项决策往往都是以牺牲安全性为代价的。
企业提高网络安全防御需要实施“一套混合的基础方案和更现代的防御方案”,如确保适当的分割和不同网络之间的访问控制,唐纳德说。
网络金融犯罪规模变大
在2015年,还曾发生过一系列的针对金融机构的网络恶意攻击活动,但其中没有一件要比Carbanak犯罪团伙的活动来得更为大胆创新。该犯罪团伙瞄准了超过30个国家的100多家银行及其他金融机构。根据卡巴斯基实验室估计,自2013年底以来,该犯罪团伙所窃取的金额或将高达10亿美元,并成功的保持了长达两年的神秘低调,因为该犯罪团队将每笔交易就都控制在了250万美元到1000万美元之间。
针对金融机构的网络攻击活动的规模显示了网络攻击不法分子的攻击目标正在由低价值的消费者相关攻击(如身份信息窃取和信用卡盗窃),转向为更高价值的网络攻击活动。过去的依靠 “打砸抢”的笨方法正在变为经过了精心策划和缜密执行的作业。CounterTack公司首席技术官迈克·戴维斯表示说。
而美国联邦调查局还警告说,新的网络恶意攻击还明显增加了社会工程活动的趋势:某个网络恶意攻击者向某公司的CFO或其他高级行政人员发送一封电子邮件,声称自己是公司的CEO或其他高级管理人员,要求授权电汇。如果收件人被骗,或在电汇转账之前没有核实验证邮件的真实性,钱就白白没了。
尽管来自外部的攻击者仍然是对金融机构的最大威胁,但在2015年,一些业内人士的攻击所造成损失的危害性可能也相当严重。在今年早些时候,摩根士丹利的一名前雇员承认有罪,该名前雇员在为一份新工作面试两名竞争者期间曾窃取了大约700,000名客户账户的机密数据。而还有外部攻击者将其目标瞄准了金融机构内部已经过访问敏感数据的内部人士。加密、根据数据传输实施的动态安全政策和强大的多因素身份验证控件是金融机构应考虑采取的用以确保未经授权的人无法读取任何他们不被允许查看的数据信息的防御手段,Fasoo的副总裁罗恩雅顿说。
医疗卫生保健行业的违规活动
在2015年,一些最大规模的安全漏洞还涉及到了医疗卫生保健机构,包括Anthem、Excellus BlueCross BlueShield、Premera Blue Cross和CareFirst等等机构均遭受到不同程度的黑客入侵。而根据美国卫生和公众服务部介绍,美国医疗卫生保健行业排名前十的安全漏洞事件中,有八项安全漏洞事件均发生在2015年。
鉴于这些医疗卫生保健行业的企业往往拥有最为宝贵的数据信息,包括姓名,地址,社会安全号码,医疗记录和财务信息等等,因此,网络恶意攻击者纷纷开始以该行业的企业作为攻击目标也就不足为奇了。而由于这些数据信息一般是很难改变的,这就意味着这些数据信息具有一个较长的保质期,并且可以在各种后续攻击中使用。在2015年,网络攻击者访问了1亿多份医疗记录。
虽然一些网络违规行为可能是为了盗取客户的身份数据信息,或者是其他网络犯罪活动的一部分。但有安全专家认为,Anthem 公司所遭遇的网络攻击可能是来自中国的黑客。而这类攻击者很可能是针对特定的个人资料,以获取情报为目的的;或他们可能有想要获取涉及到医疗保险和保险数据库如何建立的相关知识产权。中国政府否认了这一袭击事件,中国当局最近还逮捕了声称针对Anthem 公司实施过网络犯罪的嫌疑人。
“就像网络恶意攻击者金融行业发展成为了新一代的银行抢劫一样,我们将很快看到网络攻击者利用医疗信息记录,支持更复杂的商业模式。”SafeBreach公司的共同创始人兼首席技术官伊茨克科特勒表示。
这些网络攻击的成功在很大程度上是由于传统上医疗保健公司在安全举措方面的投入远不及金融机构。而Anthem公司被黑客入侵事件突出显示了,一些医疗保健公司在基本的安全最佳实践方案的落后。如同零售服务商塔吉特塔吉特百货在2014年所遭遇的数据外泄事故为该行业的同行们上了相当震撼的一课一样,Anthem公司的黑客入侵事件也将让整个医疗保健行业警觉起来,并充分留意其当前所面临的非常现实的危险。
更糟糕的是,围绕着敏感数据信息所实施的加密方法是无效的。在许多针对医疗保健行业的漏洞攻击中,用户被社会工程泄露了自己的凭据信息,让攻击者能够很容易绕过加密控件。而且几乎可以说是不费吹灰之力。有网络恶意攻击者仅仅只是通过侵入五名用户的帐户就从一家大型的医疗保险公司窃取了8000万的个人记录,BlueTalon公司的首席执行官Eric Tilenius说。 “因此,每家公司都应该问,’如果我们公司的某一个用户的帐号被窃取,将可能导致多少数据会被暴露?’,然后采取相应的措施,以限制数据信息的泄露。”他说。
“如果您企业的员工在最佳安全实践方案方面没有得到适当的培训,那么,无论您的安全平台有多么强大,都是没有任何意义的。”WinMagic公司技术副总裁加里·麦克拉肯说。
网络攻击成为了一项长期的活动
也许在2015年所发生的最有趣、最出名、同时也最令人震惊的安全事件是针对美国人事管理局(OPM)的袭击。数以百万计的政府雇员,美国军事人员,以及曾接受过背景调查和安全检查的政府承包商的个人资料均被盗。在一个典型的数据泄露事件中,攻击者以组织机构为目标是因为他们希望获得该组织机构所拥有的相关数据信息。而在此次OPM被黑客攻击的案例中,攻击者所希望的并不仅仅只是为了简单的获取到这些数据信息记录,同时更是为了获得对攻击目标个人的背景信息。
“此次OPM 被黑客攻击事件有助于我们了解企业员工是我们最大的安全隐患...是企业安全管理链条上最薄弱的环节。”Micro Focus公司的安全产品组合解决方案策略经理Renee Bradshaw说。
网络恶意攻击活动的方法遵循一个模式:在社会工程领域瞄准一个目标的转包商,窃取凭据以获得网络访问。在一个系统培植恶意软件并创建一个后门。然后就可以持续几个月从该该系统窃取数据而不被发现了。在OPM所实施的糟糕的安全管理措施是相当“令人震惊”的,“包括一致的漏洞扫描和双因素认证的缺失,以及不合时宜的补丁管理。”Bradshaw说。
OPM被黑客攻击事件还凸显了企业社会工程的脆弱性。政府雇员和承包商现在已经开始接受安全意识培训课程,以了解网络钓鱼和其他社交媒体的安全威胁。
第三十五届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
抢沙发
