【秦安點(diǎn)評(píng)】網(wǎng)絡(luò)空間風(fēng)乍起,于無聲處聽驚雷。網(wǎng)絡(luò)安全既是國(guó)家安全問題,也是重大民生問題,秦安戰(zhàn)略頭條號(hào)邀請(qǐng)專業(yè)人士,專門推出《網(wǎng)空閑話》專題,深度剖析網(wǎng)絡(luò)空間蘊(yùn)含的新質(zhì)生產(chǎn)力、文化力、國(guó)防力,把新領(lǐng)域的熱點(diǎn)、焦點(diǎn)、難點(diǎn)問題,與大家的生活、工作、學(xué)習(xí)聯(lián)系起來,有助于做好網(wǎng)絡(luò)安全知識(shí)普及和網(wǎng)絡(luò)強(qiáng)國(guó)意識(shí)提升,讓大家在網(wǎng)絡(luò)空間新時(shí)代有更多獲得感、幸福感、安全感。
威脅情報(bào)平臺(tái)供應(yīng)商HackNotice分析了過去三年里超過6萬份入侵事件報(bào)告,并發(fā)現(xiàn)了一些令人不安卻意料之中的結(jié)果——入侵事件增長(zhǎng)的高速度和官方報(bào)告入侵事件數(shù)量的相對(duì)下降。其一,當(dāng)黑客們變得越來越老練的時(shí)候,防御者們可能花費(fèi)了太多的時(shí)間和精力在閃亮的新工具上,而不是在網(wǎng)絡(luò)安全的最最基礎(chǔ)的措施上。其二,企業(yè)把防御力量集中在了錯(cuò)誤的領(lǐng)域。黑客屢屢得手的重要原因,即他們的目標(biāo)不是基礎(chǔ)設(shè)施,而是背后的人。龐大的預(yù)算,時(shí)髦的最新概念,最先進(jìn)的防御系統(tǒng),抵擋不住一次精心設(shè)計(jì)的釣魚郵件和一個(gè)弱口令。正所謂基礎(chǔ)不牢,地動(dòng)山搖。新常態(tài)下,人是網(wǎng)絡(luò)安全的邊界。人性的弱點(diǎn)怎么解決,網(wǎng)絡(luò)安全文化應(yīng)該是一條路徑!
主要發(fā)現(xiàn)
在《安全周刊》獨(dú)家分享的分析報(bào)告中,該公司調(diào)查了從2018年到2020年公開報(bào)告的67529起入侵泄露事件。這些報(bào)告的來源如下:
黑客披露的包含被攻陷公司數(shù)據(jù)的泄露報(bào)告(41,030起)。
新聞媒體;這是由一個(gè)在線新聞服務(wù)首先公布的一份入侵報(bào)告(15219起)。
由于最先被黑客披露的數(shù)據(jù)泄露量是新聞服務(wù)機(jī)構(gòu)的2.7倍,這意味著,為了自己或供應(yīng)商的利益而監(jiān)控新聞的公司,最好還是監(jiān)控一下暗網(wǎng)。
勒索軟件,當(dāng)受害者拒絕支付贖金時(shí)黑客泄露的數(shù)據(jù)(988起)。
這并不能說明成功地勒索軟件攻擊的數(shù)量,而只能說明在日益頻繁的雙重勒索攻擊中,有多少家公司遭到入侵,但拒絕支付贖金。第一起此類入侵事件發(fā)生在2020年4月,但到2021年1月1日,數(shù)量增至近1000起。這意味著雙重勒索攻擊正在增加,并可能在2021年及以后繼續(xù)增加。
網(wǎng)站污損,即網(wǎng)站被攻破,內(nèi)容被黑客更改作為證據(jù)(2243起)。
網(wǎng)站污損一直以來都很受黑客主義者的歡迎,他們希望借此表明自己的觀點(diǎn)——通常是政治上的或者道德上的。十年前,這種攻擊很常見,但近年來似乎不怎么流行。然而,根據(jù)HackNotice的數(shù)據(jù),從2019年7月又開始增加,令人關(guān)注的是從2020年4月開始大幅增加。考慮到近年來地緣政治的動(dòng)蕩狀態(tài),這或許并不令人意外。
很難預(yù)測(cè)這種情況是否會(huì)持續(xù)下去,但它很可能反映出國(guó)家和國(guó)際地緣政治的狀況。從事政治或道德敏感領(lǐng)域工作的公司應(yīng)該格外小心,保護(hù)自己的網(wǎng)站免受毀損攻擊。
官方披露,指將入侵或數(shù)據(jù)泄露情況報(bào)告給官方來源并予以披露——如州一級(jí)的司法部網(wǎng)站和美國(guó)衛(wèi)生與公眾服務(wù)部被入侵(9131起)。
這里有趣的一點(diǎn)是,通過官方渠道報(bào)告的入侵?jǐn)?shù)量相對(duì)較少,約占總數(shù)的13.5%。這一比例已逐漸下降,最初分析開始時(shí)為25%。
關(guān)于發(fā)生在2018年至2020年的入侵事件的最新分析中,有兩個(gè)元素特別有趣:黑客成功次數(shù)的穩(wěn)步增長(zhǎng),以及通過官方渠道披露的入侵事件的百分比下降。
2018年,HackNotice發(fā)現(xiàn)了29562處報(bào)告的入侵事件。截至2019年12月,發(fā)現(xiàn)的總數(shù)已上升至44863起,同比增長(zhǎng)51.7%。到2020年12月,總數(shù)已經(jīng)上升到67529起,比2019年上升了50.5%。從絕對(duì)數(shù)字來看,2019年相比2018年增加了15301起,2020年比2019年增加了22666起。
一個(gè)顯而易見的問題是,當(dāng)我們?cè)黾恿税踩A(yù)算,推出了更多據(jù)稱更優(yōu)秀的安全產(chǎn)品時(shí),為什么黑客會(huì)屢屢得手,攻擊成功?
史蒂夫·托馬斯認(rèn)為,這是因?yàn)槠髽I(yè)把防御力量集中在了錯(cuò)誤的領(lǐng)域。“黑客正在贏得網(wǎng)絡(luò)戰(zhàn)爭(zhēng),”他說,“主要是因?yàn)樗麄兊哪繕?biāo)不是基礎(chǔ)設(shè)施,而是人。”“網(wǎng)絡(luò)釣魚、偽造證書、盜取個(gè)人賬戶以進(jìn)入企業(yè)賬戶……所有主要的攻擊載體都依賴于這樣一個(gè)事實(shí):普通員工不知道自己暴露在多大的風(fēng)險(xiǎn)之下,他們對(duì)安全的重視程度遠(yuǎn)低于安全團(tuán)隊(duì)。”
網(wǎng)絡(luò)安全專家解讀
Josh Angell,弗吉尼亞州nVisium的應(yīng)用程序安全顧問,他認(rèn)為這一統(tǒng)計(jì)數(shù)據(jù)表明,“人為錯(cuò)誤仍然是這些事件的主要原因,如果這些網(wǎng)絡(luò)和系統(tǒng)維護(hù)的人,使用過時(shí)的工具和安全編碼實(shí)踐,還有那些訪問公司電子郵件和敏感的客戶數(shù)據(jù)的人,不遵守行業(yè)最佳實(shí)踐,結(jié)果可想而知。”
總部位于加州圣何塞的Netenrich公司首席信息官布蘭登·霍夫曼(Brandon Hoffman)解釋說:“有幾個(gè)因素導(dǎo)致了入侵事件的增加。”他說:“其中一些確實(shí)與對(duì)手的聰明才智有關(guān),但大部分似乎與未落實(shí)基本安全控制有關(guān)。安全工具已經(jīng)有了很大的進(jìn)步,但是安全作為一門學(xué)科的重點(diǎn)似乎更多地放在高級(jí)工具的使用上。這帶來的挑戰(zhàn)是時(shí)間和資源。”
總部位于舊金山的Digital Shadows公司的威脅情報(bào)團(tuán)隊(duì)負(fù)責(zé)人Alec Alvarado總結(jié)了這個(gè)觀點(diǎn):“黑客/壞人之所以能贏得網(wǎng)絡(luò)對(duì)抗,僅僅是因?yàn)樗麄儓?jiān)持了行之有效的方法。即使是最強(qiáng)大的安全團(tuán)隊(duì)、最廣泛的網(wǎng)絡(luò)安全實(shí)踐和數(shù)百萬美元的網(wǎng)絡(luò)安全預(yù)算,也會(huì)因?yàn)橐环饩脑O(shè)計(jì)的釣魚郵件或一個(gè)弱口令的一次點(diǎn)擊而失敗。”
言外之意很清楚。當(dāng)黑客們變得越來越老練的時(shí)候,防御者們可能花費(fèi)了太多的時(shí)間和精力在閃亮的新玩具上,而不是在安全的最最基礎(chǔ)的措施上。
官方通報(bào)機(jī)制失效
HackNotice研究的第二個(gè)值得注意的發(fā)現(xiàn)是,通過官方渠道披露的入侵泄露數(shù)量有所下降。考慮到目前存在的越來越多的國(guó)家和國(guó)際入侵事件披露法律,這似乎令人驚訝。HackNotice的首席執(zhí)行官托馬斯將這種明顯的反常現(xiàn)象歸結(jié)為,美國(guó)有很多州違反了法律,相關(guān)規(guī)定要求必須提前30天或更早的時(shí)間內(nèi)通知客戶。
他告訴《安全周刊》說:“美國(guó)沒有聯(lián)邦安全攻擊事件通報(bào)法,所以你必須根據(jù)各州的情況行事。”然而,各州的法律規(guī)定各不相同,法律允許被入侵的公司在必須披露信息前30天甚至更早時(shí)間內(nèi)披露信息。新聞媒體、勒索軟件和破壞團(tuán)伙最終在官方通知之前披露信息,所以我們看到官方披露信息的占比正在減少。”
把泄露事件的通報(bào)拖延到最后一刻,幾乎像是在玩弄系統(tǒng)。Netenrich的Hoffman同意這一點(diǎn)。他說:“我們安全行業(yè)也懷疑,實(shí)際上有人違反了通報(bào)法規(guī),或者有人濫用通知期限,為投資者和公眾提供一個(gè)更美好的前景。”“換句話說,如果一個(gè)組織受到了攻擊,根據(jù)法律法規(guī),他們的通報(bào)窗口期是90天,他們?cè)谟昧?9天進(jìn)行最大限度的分類和清理工作后才會(huì)宣布,這樣當(dāng)他們宣布時(shí),他們就可以聲稱一切都得到了解決。”
Angell補(bǔ)充道:“入侵事件通報(bào)法規(guī)并不能保證公司愿意犧牲投資者的信心或冒著被起訴的風(fēng)險(xiǎn)來披露每次出現(xiàn)的入侵情況。”
Digital Shadows的Alverado對(duì)此有一個(gè)有趣的補(bǔ)充。他承認(rèn),目前的通報(bào)法規(guī)給公司提供了回旋的余地,以避免股票價(jià)值和品牌形象受到損害,但他補(bǔ)充說,“我們經(jīng)常聽到一家公司宣布‘發(fā)生了網(wǎng)絡(luò)安全事故,但沒有跡象表明數(shù)據(jù)被竊取’。”這應(yīng)該會(huì)讓大多數(shù)人感到驚訝,因?yàn)檫@不符合典型的威脅行為者的動(dòng)機(jī),坐在一個(gè)網(wǎng)絡(luò)上,而不提取數(shù)據(jù)或找到方法來賺錢。“當(dāng)我們聽到‘事件’的時(shí)候,我們可能會(huì)自動(dòng)懷疑‘可能的攻擊入侵’。
結(jié)論
對(duì)過去三年6萬起入侵泄露事件的分析提供了大量數(shù)據(jù),揭示了哪些地方出現(xiàn)了問題,并突出了未來可能出現(xiàn)的趨勢(shì)。重要的是,這表明網(wǎng)絡(luò)犯罪分子正在取勝。對(duì)于公司來說,可能至少有一個(gè)部分的解決方案,那就是在基本安全方面做得更好,而不是把錢砸在最新、最閃亮的產(chǎn)品上。
這個(gè)研究還表明,如果了解正在發(fā)生的事情很重要,那么通過威脅情報(bào)監(jiān)控暗網(wǎng),而不是監(jiān)控新聞源,可以獲得更準(zhǔn)確的態(tài)勢(shì)。它還表明,目前的安全事件通報(bào)法規(guī)并不真正適合于掌握安全事件態(tài)勢(shì)的目的。
關(guān)于HackNotice
HackNotice是一家總部位于德克薩斯州奧斯汀的初創(chuàng)公司,成立于2018年。關(guān)于此次調(diào)查,首席執(zhí)行官兼聯(lián)合創(chuàng)始人史蒂夫·托馬斯告訴《安全周刊》,該公司從數(shù)百個(gè)來源收集黑客通知(數(shù)據(jù)泄露、破壞、勒索軟件等),全天搜集官方數(shù)據(jù)泄露網(wǎng)站、勒索軟件泄露網(wǎng)站、API、twitter賬戶和標(biāo)簽。所有這些事件都進(jìn)入一個(gè)隊(duì)列,每個(gè)事件都由安全研究人員檢查。首先刪除所有的重復(fù)和擾亂數(shù)據(jù),識(shí)別被入侵的公司,并將這些事件添加到公司的專門系統(tǒng)中。最后使用機(jī)器學(xué)習(xí)來分析每個(gè)事件的披露聲明,以確定哪些數(shù)據(jù)被披露。
