序:某些方面而言,网络安全是一个很有趣的领域。特别是在这个新互联网时代,在IT变革时期中,不仅恶意攻击者总是在人们意想不到的地方实施入侵,防御者们备受挑战的安全思维也在发生变化,于“异想天开”中打造全新的安全防护体系。
声明I:本文所述非为夸大恶意攻击之残酷歹毒,意在帮助防御者共同探寻新的安全思想。
声明II:文中部分数据及资料取材于赛门铁克第二十期《互联网安全威胁报告》(ISTR)。
恶意威胁从未停止、减弱,攻击与防御永在不停变化、不停进化
小米800万用户信息泄露、索尼影业遭最大规模黑客攻击(可怜的索尼貌似都遭遇好几次攻击了)、摩根大通银行被黑8300万客户信息、OpenSSL“心脏出血” 漏洞、Shellshock“破壳”漏洞、Adobe Flash零日漏洞、ATM机漏洞……2014年网络安全世界里大事件、大漏洞层出不穷,同时大情报也被频频爆出:金融木马更加强悍,间谍工具regin被曝光,从Cyber Resilience——网络韧性(快速、精准发现安全威胁)到Security Intelligence——安全智能……当形成利益集团的骇客们发起愈加凶狠的攻击时,辛劳的安全防御者也在频频出手,擒获恶意攻击者的帮凶,破解网络攻击的核心秘密,并不断研发出更具针对性、更为有效的安全防护技术。
玩“蛙跳”的网络攻击者
如今的网络犯罪分子正在不断使用新型欺骗手法入侵公司网络,比如玩玩“蛙跳”:恶意攻击者采用跳跃方式躲避企业防御,使得企业无法进行有效侦察、预测。而这一切要从黑客组织Dragonfly(蜻蜓)说起……
2014年赛门铁克发现并报告了Dragonfly犯罪集团攻击欧洲和美国能源行业的事件,Dragonfly采用了多种针对性攻击手段,包括鱼叉式网络攻击、水坑攻击、软件更新植入木马等典型攻击方法。
向目标人群发送电子邮件,投出攻击“鱼叉”是网络攻击者最常用的手段,能源行业是鱼叉式网络攻击的重灾区。而“守株待兔”在黑色产业链圈子里已经不是一个贬义词,新型的“水坑攻击”借助钓鱼网站让用户在不知不觉中自投罗网。最“炫”的是,企业业务中的各类应用软件也被充分利用,软件更新已经不仅仅能够提升应用性能,更可能带来已被先期植入的木马。恶意攻击者在不同时期充分利用这几类攻击手段,交叉组合,用户防不胜防。虽然数据上显示鱼叉式网络钓鱼攻击数量在下降,但攻击活动却并未减少,这意味着攻击方式正在逐渐成熟。
在ISTR报告中显示,每6家大型企业中,就会有5家成为攻击目标。攻击者通过劫持大型企业IT基础架构如影随形、如毒附骨,轻松躲避安全监测,随心所欲的实施攻击。
身手愈加敏捷的网络犯罪分子
你知道么?2014年最为著名的Heartbleed(心脏出血)漏洞在被公布出来之前就已经被恶意攻击者充分利用。有数据显示,在漏洞被公布之前骇客们已经利用它发起攻击将近4个小时。零日漏洞如此好使,那些漏洞挖掘工们更加勤快了。
网络犯罪分子利用零日漏洞的速度完胜厂商推出补丁的速度——2014年,在厂商推出补丁之前,攻击者利用排名前5大“零日漏洞”并主动实施攻击的时间总共长达295天。
你又知道么,现在含有恶意软件的合法网站开始大幅度减少,这是“邪不胜正”的缘故?抱歉,这并非是由于网站的网络安全性得以提高,而是攻击手段已经成熟起来的缘故,攻击者开始使用工具包和SaaS从他们的网站实施攻击,也就是说合法网站上所含的恶意软件数量虽然减少,但是骇客们会将受害者重定向到受到攻击者控制的网站上。如今的网络攻击在变得更加准确、快速、隐蔽,攻击数量是减少了,而攻击所造成的损失并没有下降,网络犯罪分子在攻击速度和精准度上获胜!
其所带来最直接的后果就是,2014年数据泄露总量增加了将近四分之一。其中零售行业和医疗行业在数据泄漏方面十分严重,网络攻击导致零售行业大量用户资料被窃取(泄露事件占比11% ,但却造成59%身份信息的泄露),而医疗行业虽然主要数据泄漏途径还是意外、设备丢失被盗等,但如今医疗行业所泄漏的数据在成上升趋势。
开始玩“斗地主”的贪吃鬼们
再看个数据,2014年每天出现约100万种新型威胁,而且将近三分之一的恶意软件能够感知虚拟机甚至搜索虚拟镜像,这意味着沙盒、沙箱类安全防御被恶意攻击识破的可能性在变得更高。防御者希望借助虚拟机让恶意软件漏出马脚,而恶意软件一旦识破则会或停止运行潜伏下来,或发送虚假数据实施迷惑,甚至会采取规避动作、延迟执行、等待用户操作等等,骇客们正在斗智斗勇“斗地主”!而大幅上升的恶意软件还分散了本应部署于高级安全问题的IT资源,这些恶意软件好一幅“贪吃鬼”恶相了得。
“贪吃鬼”们除了喜欢玩“斗地主”,其“绑票”副业也玩的更溜儿了。2014年勒索软件攻击上升了113%,设备被绑架人数上升了45倍,对企业和消费者构成持续威胁。当我们收到某些“执法机构的警告信”时,要先考虑下其真实性了,那可能是一个勒索陷阱。当“熟人”所发电子邮件里出现“软勒索”类信息时,上当否?
而可恶的密码勒索软件依然在急剧增长,其加密长度也越来越长,还养成了收了“赎金”也“撕票”——用户无法顺利解锁——的坏习惯。未来,密码勒索软件将继续攻击Office和PDF文件、个人文件与照片,专业存储设备、云端、移动设备、智能手机等也将无法幸免。
玩社交?被“社交”“玩”?
尽量关掉自己IT设备上的摄像头吧,它会“帮助”恶意攻击者窃取用户信息,透过社交网络使得用户的朋友们遭受欺骗。社交网络里,那些需要先在朋友圈“分享”的精彩内容,背后很可能是骇客正要发起的攻击。现在,网络犯罪分子开始利用消费者对朋友所分享内容的信任实施社交网络和移动欺诈。所以,学会习惯用怀疑的眼光去看每一条收到的社交信息链接吧。
如果你总是用同一套账号密码登录各类网站、应用,那么就要做好遭遇数据被窃、资金丢失等损失的心理准备。另外,对于那些可能泄露隐私的免费应用,还是慎重考虑是否安装吧。
物联网安全?嘿,哥们,它已不远
物联网安全貌似很远,其实当您在ATM机器前做取钱操作时,您就已经在开始面临网络犯罪分子攻击的风险。ATM、视频监控设备的安全隐患已经被暴露,物联网的安全问题正在持续发酵。
家庭路由器、机顶盒、监控设备……其中都存在尚未被封堵的漏洞,恶意攻击者可以十分轻松的将其利用。而车联网、医联网里更是存在风险度极高的安全隐患。一个小小的智能手环,在数据搜集、传输、交互过程中,脆弱网络协议里的漏洞随时可能被恶意攻击者发现。
拨开安全迷雾 给安全思维“破个洞”
突然想起在《红警》、《星际争霸》这些游戏里,由于“战争迷雾”一类设定的存在,打开主基地后,玩家要做的第一件事情就是派出自己1路或者n路小兵去探路,找寻资源,更要找寻敌人所在方位、进攻路线。而在侦察路径的设定上或者选择圆周方式、或者放射性出击、或者对角线穿透……无论哪种——只要米有使用秘笈、作弊器“驱逐战争迷雾”——都需要耗费一定时间才能找寻到敌人的基地。不过,系统控制的敌军则无需探路,他们会直接目标清晰的发起攻击。原因无他,系统设定里敌军对我方的基地方位为已知。
如今,骇客们也拥有类似的优势!
聪明的骇客们已经摸透了当前的IT系统架构——数据如何生成、获取,怎样传输,存储在哪里,门儿清!——这使其在攻击上具有先天优势。聪明的骇客们在使用层出不穷的新攻击手段不断发起轮番攻击,而落后一步的防御者却依然在延续传统安全惯性徒劳的希望抓到攻击者的影子。
面对快速变化、愈加精准的恶意威胁,防御者为何不以空间换时间,诱导恶意攻击步入防御体系节奏,编织出覆盖更多维度的安全防御“蜘蛛网”,在“网”中迟滞恶意攻击,感知恶意攻击,转换攻防节奏,让入侵者变为猎物。
或者打造一个“系统迷宫”,给我们的IT系统架构披上一件隐蔽服,让恶意攻击者去面对一个“陌生”的系统,使其完全不知从何下手。
安全防护正在从点转向面,在这个转变的过程,安全智能以及安全情报的分享能够帮助用户尽快实现“面”的防御。
没有受到攻击并非就意味着安全,对安全的认识与思考需要从新的维度进行。安全架构、安全响应、安全定义等等都需要打个“洞”——重新思考。脑洞大开之间,智慧的碰撞下,新的安全防护架构将被重新搭建起了。例如,赛门铁克就正在与友商结成联盟,甚至深度合作,通过大数据分析进一步揭开安全迷雾。
(责任编辑:aqxh)
关注微信公众号