在过去的2015年中,几乎没有哪一个礼拜没有发生过重大的数据泄露事件、重大的网络攻击活动或严重的漏洞报告。而在这其中,许多安全事件均是由于企业糟糕的安全控制、执行错误或其他基本安全失误所导致的,由此也凸显了企业在确保IT安全的诸多基本层面的工作仍然任重而道远。
而现在,不妨让我们超越林林总总的各种网络攻击和漏洞,借此来分析这些攻击事件所揭示出的网络恶意活动的相关洞察,以及如何在未来采取有效的措施以抵御。在2015年中,有相当一部分可以说是耐人寻味的网络入侵事件,其中每个事件都突显了黑客技术的改进,带来了新形式的网络违规行为,或者为我们指明了需要采取防御措施的新的领域。在过去的一年里,某些网络罪犯分子采用了创新的方法,并获得了有关国家的资助,使得其攻击行为变得更大胆。而他们进行网络攻击的动机也发生了转移,获取经济利益已经不再是他们发动网络攻击的原因。制造物理损失、窃取商业机密,将黑客攻击行为作为一种抗议形式等等——使得2015年的网络攻击恶意活动可以说是服务于众多不同的目的。
日益互联的世界意味着网上的犯罪份子可能造成大量的损害;而更重要的是,现在有许多恶意的犯罪份子有相当先进的能力和手段来实施网络攻击。下面,我们将为广大读者总结在过去一年的中所发生过的一系列较为重大的网络攻击事件,其中每一个网络攻击活动都将整体网络安全向前推动了的一大步,展示了黑客攻击的新领域,以及人们亟待采取防御措施的新领域。
被网络犯罪份子所窥视的比特币
比特币是一种新的加密货币的理念。其在2015年获得了主流的关注,部分原因就在于网络恶意活动者使用该平台作为其支付掩护手段。从事勒索的犯罪团体强迫受害者必须支付比特币,才能让自己被他们攻击的文件和文件夹获得解锁,同时勒索者都要求以比特币换取不发动针对网站的DDoS攻击。在2015年,基于各种不同的原因,比特币屡屡成为安全攻击新闻事件的头条:甚至有很多小偷窃取比特币的新闻事件......
2015年一月初,在发现一款钱包系统存在漏洞被黑客入侵攻破之后,欧洲比特币交易平台BitStamp暂停了交易。该交易平台被认为是世界上第三大的比特币交易平台,处理全球约6%的比特币交易。此次黑客入侵导致约1.9万枚比特币被盗,价值约合500万美元。但这并不是一次比特币遭遇网络黑客攻击:据报道,在2015年二月,中国的比特币交易平台比特儿(Bter.com) 发生被盗事件,导致约合175万美元的7170枚比特币从其冷钱包系统被盗。而在2015年十月,小偷又从比特币初创企业Purse公司盗走了10.235 BTC,大约是2500美元。
我们可以将这种网络攻击理解为是针对传统银行抢劫的一种转折:犯罪分子不再是直接抢劫银行账户或袭击交易所。这除了显示出虚拟货币有现实的经济价值之外,相关的盗窃案还凸显了“制定国际公认的比特币安全标准”的紧迫性,Optiv Inc公司信息安全主管Florindo Gallicchio表示说。在2015年二月,数字货币认证协会(the CryptoCurrency CertificationConsortium,C4)提出了创建、存储、审核和使用比特币的10项标准化规则,并将其作为数字货币安全标准(CCSS)的一部分。
虽然上述被盗事件所涉及的金额都不小,但相比在日本Mt. Gox交易平台于2014年所消失的85万枚比特币,价值近4.5亿美元,可以说是微不足道。该交易平台被认为已处理了全球约70%的比特币交易,自那时起一经关闭并宣布破产。日本警方认为,此次盗窃事件极有可能是一种监守自盗。鉴于比特币的开采和交易都与技术相关,因此,其交易平台迄今往往都主要集中在功能性和易用性方面,而把安全保障排在了较靠后的位置,Hexis网络解决方案公司的首席技术官史提夫•唐纳德说。许多攻击活动都依赖于社会工程,在比特币交易网络平台获得一个立足于据点。交易需要采取安全代码开发的方法,以及动态和静态相结合的代码分析,以保护他们的应用程序。“比特币交易平台应采取高度激励措施来提高安全,而这也是这种新型的货币实现大规模应用之前的一个必须实现的要求。”唐纳德说。
网络攻击进入现实世界
网络恶意攻击在现实物理世界也造成了极大的损失,其发生在电视节目上的要比在观众视线以外更频繁。早在2012年,就曾发生过相当骇人的Shamoon恶意攻击病毒部分或完全的删改了沙特Saudi Aramco石油公司大约35,000台电脑硬盘驱动器上的信息的事件。这让我们再次认清了网络世界和现实物理世界之间的界线是模糊的,据报道,某个实际发生在2014年的攻击活动,而其详细的事后调查报告则是在今年年底之前刚刚发布不久的:在德国的一处未详细透露名称的钢厂曾遭遇过恶意攻击者的操纵,并破坏了其控制系统。较终导致其高炉无法正常关闭,进而造成了“巨大的”的损失。
有一种倾向认为网络攻击就是窃取数据或通过攻击使系统离线脱机。但事实上,其甚至可能会真实世界造成相当严重的损害。恶意攻击者可能会侵入某制药公司的生产流程或质量控制系统,并修改某个特定药物的配方。医院系统也很容易受到攻击,特别是对于那些仍在大规模使用许多传统遗留系统的医疗卫生机构,这方面的安全无法得到很好的保证。高达20%的医院都非常容易受到网络攻击,导致其重症监护系统无法正常使用,Gallicchio表示说。
“人们也可能会从网络攻击中遭到物理伤害。” Gallicchio说。
关于工业控制系统的安全性已经出现在太多的谈话中了,但在上述例子中所介绍的德国钢厂发生的网络攻击事件更能突显网络安全威胁已不再是理论上的了。谈到工业控制系统的安全性,特别是对于制造业而言,其当前所面临的一大挑战是其实是一个非常简单的事实:即其各种控制系统一般都是由企业的运营和工程部门所控制的,而不是IT管理部门。而企业的运营和工程团队往往都将主要精力集中在了可靠性方面,其所作出的维持正常运行时间的各项决策往往都是以牺牲安全性为代价的。
企业提高网络安全防御需要实施“一套混合的基础方案和更现代的防御方案”,如确保适当的分割和不同网络之间的访问控制,唐纳德说。
网络金融犯罪规模变大
在2015年,还曾发生过一系列的针对金融机构的网络恶意攻击活动,但其中没有一件要比Carbanak犯罪团伙的活动来得更为大胆创新。该犯罪团伙瞄准了超过30个国家的100多家银行及其他金融机构。根据卡巴斯基实验室估计,自2013年底以来,该犯罪团伙所窃取的金额或将高达10亿美元,并成功的保持了长达两年的神秘低调,因为该犯罪团队将每笔交易就都控制在了250万美元到1000万美元之间。
针对金融机构的网络攻击活动的规模显示了网络攻击不法分子的攻击目标正在由低价值的消费者相关攻击(如身份信息窃取和信用卡盗窃),转向为更高价值的网络攻击活动。过去的依靠 “打砸抢”的笨方法正在变为经过了精心策划和缜密执行的作业。CounterTack公司首席技术官迈克·戴维斯表示说。
而美国联邦调查局还警告说,新的网络恶意攻击还明显增加了社会工程活动的趋势:某个网络恶意攻击者向某公司的CFO或其他高级行政人员发送一封电子邮件,声称自己是公司的CEO或其他高级管理人员,要求授权电汇。如果收件人被骗,或在电汇转账之前没有核实验证邮件的真实性,钱就白白没了。
尽管来自外部的攻击者仍然是对金融机构的较大威胁,但在2015年,一些业内人士的攻击所造成损失的危害性可能也相当严重。在今年早些时候,摩根士丹利的一名前雇员承认有罪,该名前雇员在为一份新工作面试两名竞争者期间曾窃取了大约700,000名客户账户的机密数据。而还有外部攻击者将其目标瞄准了金融机构内部已经过访问敏感数据的内部人士。加密、根据数据传输实施的动态安全政策和强大的多因素身份验证控件是金融机构应考虑采取的用以确保未经授权的人无法读取任何他们不被允许查看的数据信息的防御手段,Fasoo的副总裁罗恩雅顿说。
医疗卫生保健行业的违规活动
在2015年,一些较大规模的安全漏洞还涉及到了医疗卫生保健机构,包括Anthem、Excellus BlueCross BlueShield、Premera Blue Cross和CareFirst等等机构均遭受到不同程度的黑客入侵。而根据美国卫生和公众服务部介绍,美国医疗卫生保健行业排名前十的安全漏洞事件中,有八项安全漏洞事件均发生在2015年。
鉴于这些医疗卫生保健行业的企业往往拥有较为宝贵的数据信息,包括姓名,地址,社会安全号码,医疗记录和财务信息等等,因此,网络恶意攻击者纷纷开始以该行业的企业作为攻击目标也就不足为奇了。而由于这些数据信息一般是很难改变的,这就意味着这些数据信息具有一个较长的保质期,并且可以在各种后续攻击中使用。在2015年,网络攻击者访问了1亿多份医疗记录。
虽然一些网络违规行为可能是为了盗取客户的身份数据信息,或者是其他网络犯罪活动的一部分。但有安全专家认为,Anthem 公司所遭遇的网络攻击可能是来自中国的黑客。而这类攻击者很可能是针对特定的个人资料,以获取情报为目的的;或他们可能有想要获取涉及到医疗保险和保险数据库如何建立的相关知识产权。中国政府否认了这一袭击事件,中国当局较近还逮捕了声称针对Anthem 公司实施过网络犯罪的嫌疑人。
“就像网络恶意攻击者金融行业发展成为了新一代的银行抢劫一样,我们将很快看到网络攻击者利用医疗信息记录,支持更复杂的商业模式。”SafeBreach公司的共同创始人兼首席技术官伊茨克科特勒表示。
这些网络攻击的成功在很大程度上是由于传统上医疗保健公司在安全举措方面的投入远不及金融机构。而Anthem公司被黑客入侵事件突出显示了,一些医疗保健公司在基本的安全较佳实践方案的落后。如同零售服务商塔吉特塔吉特百货在2014年所遭遇的数据外泄事故为该行业的同行们上了相当震撼的一课一样,Anthem公司的黑客入侵事件也将让整个医疗保健行业警觉起来,并充分留意其当前所面临的非常现实的危险。
更糟糕的是,围绕着敏感数据信息所实施的加密方法是无效的。在许多针对医疗保健行业的漏洞攻击中,用户被社会工程泄露了自己的凭据信息,让攻击者能够很容易绕过加密控件。而且几乎可以说是不费吹灰之力。有网络恶意攻击者仅仅只是通过侵入五名用户的帐户就从一家大型的医疗保险公司窃取了8000万的个人记录,BlueTalon公司的首席执行官Eric Tilenius说。 “因此,每家公司都应该问,’如果我们公司的某一个用户的帐号被窃取,将可能导致多少数据会被暴露?’,然后采取相应的措施,以限制数据信息的泄露。”他说。
“如果您企业的员工在较佳安全实践方案方面没有得到适当的培训,那么,无论您的安全平台有多么强大,都是没有任何意义的。”WinMagic公司技术副总裁加里·麦克拉肯说。
网络攻击成为了一项长期的活动
也许在2015年所发生的较有趣、较出名、同时也较令人震惊的安全事件是针对美国人事管理局(OPM)的袭击。数以百万计的政府雇员,美国军事人员,以及曾接受过背景调查和安全检查的政府承包商的个人资料均被盗。在一个典型的数据泄露事件中,攻击者以组织机构为目标是因为他们希望获得该组织机构所拥有的相关数据信息。而在此次OPM被黑客攻击的案例中,攻击者所希望的并不仅仅只是为了简单的获取到这些数据信息记录,同时更是为了获得对攻击目标个人的背景信息。
“此次OPM 被黑客攻击事件有助于我们了解企业员工是我们较大的安全隐患...是企业安全管理链条上较薄弱的环节。”Micro Focus公司的安全产品组合解决方案策略经理Renee Bradshaw说。
网络恶意攻击活动的方法遵循一个模式:在社会工程领域瞄准一个目标的转包商,窃取凭据以获得网络访问。在一个系统培植恶意软件并创建一个后门。然后就可以持续几个月从该该系统窃取数据而不被发现了。在OPM所实施的糟糕的安全管理措施是相当“令人震惊”的,“包括一致的漏洞扫描和双因素认证的缺失,以及不合时宜的补丁管理。”Bradshaw说。
OPM被黑客攻击事件还凸显了企业社会工程的脆弱性。政府雇员和承包商现在已经开始接受安全意识培训课程,以了解网络钓鱼和其他社交媒体的安全威胁。
漏洞失控
在2015年夏天,一项反黑客团队攻击的活动让人们大开了眼界。一家总部设在米兰的公司开发监控软件,并向世界各地的政府机构销售。该公司依靠“零日漏洞”(zero-day)开发软件,其很难被检测到,还可以拦截通信。彼时,一个未知的人发布超过400GB数据被黑客团队盗取,包括电子邮件通信、商业文件和源代码,安全研究人员在Adobe Flash Player中发现了三款不同的零日漏洞的概念证明。尽管Adobe 公司尽可能快地进行了漏洞的修补,网络罪犯分子也能够快速创造漏洞,并使用它们进行大规模的攻击。“在国家和私人的层面上,零日攻击的积聚对我们每一个人都是危险的。当面临这些类型的漏洞时,我们不能坐视不管。”安全咨询公司Rook Security的安全运营负责人Tom Gorup说。
不向产品供应商报告这些漏洞的存在,并对程序实施修补意味着其他人也可能会找到相同的bug。如果这些漏洞一直存在,就代表着其终究会被人发现。而如果是黑客较先发现这些漏洞,一旦漏洞被公开,每个人都处于危险中。零日攻击不像物理武器,其原来的所有者能够控制其如何及何时使用。而一旦这样的武器落入黑客之手,就具有毁灭性的后果。
“我们需要重新调整我们在网络防御方面的努力,并加大主动进攻的力度。”Gorup说。
政府服务泄露太多信息
在政府机构所遭遇的网络攻击中,美国国税局遭黑客侵袭可能算是损失较小的事件了。只有10万名美国纳税人通过该漏洞被暴露了他们的信息,这显著低于OPM被攻击所导致的2150万人受影响的程度。攻击者通过受害人的姓名、地址和社会安全号码获取了他们诸如收入、雇主名称和家属等详细信息。
更独特的是,袭击者使用合法的服务伪造基本的个人身份信息,然后利用这些资料成功申报一些假的退税。同样的方法也被用于机动车辆的在线更新服务部门或县级资产评估网站。通过这些服务获得的信息,使得黑客进行身份盗取变得更容易。而且,攻击者利用这些偷来的数据有50%的成功率。BeyondTrust公司的技术副总裁Morey Haber指出。
“有很多类似于国税局这样的网站,包括国家级、地方级、以及联邦政府的相关机构网站。而国税局仅仅只是易于攻击的目标之一,而且还有其他更多易于攻击的政府机构服务网站。”Haber说。
飞机上发生的事件
在2015年,车辆被黑客攻击的事件频频登上安全新闻的头条,但其实,我们更应该担心我们并不熟悉的飞机上的攻击事件。就在研究人员Charlie Miller 和Chris Valasek利用克莱斯勒的UConnect信息系统远程控制了一辆2014年产的克莱斯勒吉普切诺基的同时,就有关于OPM被黑事件背后的集团已成功获得美国联合航空公司的乘客的始发地和目的地的记录,以及乘客名单。另一组袭击者也入侵了波兰航空公司的IT系统,这导致该航空公司取消了20趟航班使1400名乘客受到影响。
当然还有美国联邦调查局表示,安全研究人员克里斯·罗伯茨在乘坐美国联合航空公司的航班时,曾侵入飞机娱乐系统,有一次还发出爬升命令,导致飞机倾向一侧。这些攻击事件是否应该引起我们的高度关注呢?飞机飞行是否处于危险中呢?双方都拒绝提供有关问题的任何详细信息。 “关于此,较为可怕的是:我们对此并不知情,这是既令人惊讶和震惊的。”WhiteHat安全公司的安全威胁研究中心的负责人Johnathan Kuskos表示。
我们需要特别关注两种不同类型的攻击事件。一种是针对IT系统,如航空公司的网站、机场check-in服务系统。另一种攻击的目标是针对飞机的控制系统。而由于飞机的操作控制系统往往是沙箱控制,并已经被锁定,因而IT系统的风险更高。而且,根据WhiteHat公司的漏洞统计报表显示,每一款在线应用程序都至少有一个严重的漏洞。
“很难想象,一个专业犯罪集团或政府支持的黑客还没有盯上这些主要的航空公司。”Kuskos说。
苹果App Store的应用程序中毒事件
2015年,Palo Alto Networks公司破获了XcodeGhost,这是一款会感染iOS应用程序的恶意软件,在被发现之前就已经在苹果的App Store应用程序商店存在几个月了。这种攻击依赖于iOS的开发人员下载某个版本的Xcode,一款iOS的开发工具包的编译工具。这种工具链并不是一种新的攻击方法,但XcodeGhost在感染开发人员获得了规模非常广泛的成功。真正的危险在于,XcodeGhost团队从他们的此次成功中获得了哪些经验,以及他们将如何卷土重来。
在开发人员将其iOS应用程序提交到App Store之前就已经受到恶意软件感染了,而这种方式完全是新的。Palo Alto Networks公司的情报总监赖安·奥尔森说。开发商是很脆弱的,攻击者可以借助他们的应用程序进入到苹果公司的应用程序商店App Store,从而绕过苹果公司的安全管理措施。
“虽然XcodeGhost恶意软件并不是特别危险,但其却以开创性的方式感染了数以百万计的设备。”奥尔森说。
XcodeGhost向人们展示了即使是苹果公司的围墙也可以被突破,并且是大范围的。其迫使应用程序开发人员们必须清理他们的系统,重新提交自己的应用程序,并在获得他们的开发工具方面变的更慎重。而为了打击类似的攻击,iOS的开发人员们需要了解他们的开发系统、以及其应用程序对于那些寻找各种方法来针对iOS用户实施攻击的攻击者是有价值的。“XcodeGhost是较早款真正影响广泛的针对非越狱手机的恶意软件,它让那些曾以为苹果是无懈可击的iOS用户们大开了眼界。”奥尔森说。
瞻博网络公司未经授权的后门事件
较近,瞻博网络公司发现ScreenOS中未经授权的代码,可以让资深的攻击者获得对NetScreen设备的管理权限和解密VPN连接。该问题产生的原因是,瞻博网络公司使用Dual_EC_DRBG,这是一款已知的有缺陷的随机数发生器,作为用于在NetScreen的ScreenOS中加密运算的基础。瞻博网络称他们使用了额外的预防措施,以确保随机数发生器。结果其保障措施其实是无效的。
Dual EC的后门可以被看作是两部分的比喻,其中一个在一扇门的正常锁上增加了第二个锁孔,而第二个锁孔必须配合一个特定的锁芯,约翰霍普金斯大学助理教授兼密码专家马修•格林在推特上写道。攻击者用自己的锁芯取代了国家安全局批准的锁芯。而如果门在较早个地方没有更换锁孔的话,他们就不能更换锁芯了。
较后,某些地方的人能够解密瞻博网络的流量,而这些人可能来自美国及世界各地。此事件目前正在由美国联邦调查局调查中。
“国家安全局建立了一个强大的窃听后门。攻击者只需改变几个字节的代码即可改变其用途。”格林说。 “说实话,虽然我担心这样的事情已经很长一段时间了。但看到这样的事情实际发生还是觉得相当惊人的。”
鉴于政府监管机构对于高科技产业在程序后门加密的压力越来越大,发生在瞻博网络公司的此次后门程序被滥用事件或将成为一个明显的例子。2016年,相关执法机关和政府监管机构是否会汲取教训,并对此进行重新研究尚有待考察。
总结2015年
很显然,在过去的2015年中,整个安全行业在面临各种网络安全攻击和违规行为时,并没有很好的定位,以保护自己。而清楚的了解现状无疑是战斗的一半,但他们在遵循基本的安全较佳实践方面仍然有一条漫长的道路要走。“安全性并不便宜,当您企业在历史上对于安全领域的投资不足时,就需要在技术投资和人力资本方面花大力气。”LogRhythm实验室副总裁兼首席信息安全官詹姆斯•卡德尔表示说。