有句話叫,沒有千日防賊,意思是,實時防賊難免有懈怠的時候。但是對與數字世界來說,現在需要面臨的問題已經不是”千日防賊”,而是時時應對五花八門的攻擊。
根據Akamai公司提供的數據,商務交易、高科技公司、金融服務位是前三大重點攻擊目標,主要透過惡意軟件、釣魚網站來執行。來自灰色世界的攻擊已經在攻擊深度、攻擊范圍以及攻擊頻率方面再次升級,這倒是很像新冠病毒的變種—omicron,同樣是在傳播速度和范圍上遠遠超過了前面幾代,但不同之處是,omicron變種病毒的威力已經減小很多,至少人們在心里上已經坦然很多,可是網絡攻擊卻正好相反,其危害也在升級。
2022年5月初,僅半日web網絡攻擊實時情況截圖 圖片來源:akamai.com
2021年底被發現的ApacheLog4j存在任意代碼執行漏洞,登上多家機構的2021年安全威脅榜單,CVSS給出了最早威脅等級滿分10分的評價。美國國家安全局、德國電信CERT、中國國家互聯網應急中心(CERT/CC)、新西蘭計算機緊急響應中心(CERT)等多國機構相繼發出警告。
此次漏洞是由Log4j2提供的lookup功能造成的,該功能允許開發者通過一些協議去讀取相應環境中的配置,但是程序在處理數據時,并未對輸入(如${jndi)進行嚴格的判斷,從而造成注入類代碼執行。從Akamai公布的網絡攻擊時時數據來看,透過SQL 注入方式的攻擊在web攻擊中占據了最高頻率
目前,該漏洞受影響應用及組件(包括但不限于):ApacheSolr、ApacheFlink、ApacheDruid、ApacheStruts2、srping-boot-strater-log4j2等。包括谷歌、微軟、亞馬遜、特斯拉、蘋果、騰訊、百度等一大批互聯網企業受到影響,共有6921個APP存在被攻擊風險。目前,該漏洞正在被修復中。
2021年8月,Microsoft發布聲明宣布遭遇史上最大規模的DDoS攻擊,帶寬負載高達2.4Tbps。這次攻擊者針對微軟歐洲的一位Azure客戶,相比比微軟在2020年記錄的最高攻擊帶寬量高出140%。它也超過了之前攻擊針對亞馬遜網絡服務時期的2.3Tbps的峰值流量。
金融、交通、醫療、能源等多個領域成為攻擊者們熱衷的目標。僅2021年上半年全球就至少發生了1200多起勒索軟件發起的攻擊事件,其中針對醫療系統和教育行業的攻擊增加了45%,平均贖金從2020年的40萬美元提高到2021年的80萬美元。綜合了各方面信息,我們來看看近一年多以來發生諸多與網絡安全有關的事件。
多家醫療機構機構遭到攻擊或勒索
美國加州大學圣地亞哥分校健康中心在2020年12月2日至2021年4月8日期間,有人未經授權訪問了“某些員工電子郵件帳戶”。主管負責人表示,攻擊中可能被訪問和泄露的數據可能包括全名、地址、出生日期、電子郵件地址、傳真號碼、索賠信息(包括接受護理的日期和費用)、實驗室結果、醫療診斷和條件、醫療記錄號、處方信息、治療信息、社會安全號、政府識別號、財務賬號、學生識別號、用戶名和“患者、學生和員工小區的子集”的密碼。
2021年5月,愛爾蘭醫療系統遭勒索攻擊,網上疫苗預約等重要工作均無法進行。愛爾蘭公共衛生事務的衛生服務執行局官員證實這次攻擊行為試圖破壞HSE的IT系統的勒索行為。
2021年8月,意大利拉齊奧地區政府證實,黑客攻擊了管理羅馬周邊的拉齊奧地區COVID-19疫苗預約的公司的IT系統,導致該系統被迫關閉。所有的系統都被停用,包括該地區的衛生門戶網站和疫苗接種網絡的系統,導致接種計劃受到影響。
8月15日凌晨,美國醫療連鎖機構Memorial Health System遭遇勒索軟件攻擊,致使IT系統癱瘓,旗下三家醫院無法正常運營。該機構下轄的大部分醫院診所還取消了當時所有非緊急手術和放射性檢查。
同樣在2021年8月份,奎斯特診斷公司向美國證券交易委員會(SEC)提交通報,公司旗下生育診所ReproSource在八月份遭到了勒索軟件攻擊,約 350,000 名患者的大量健康信息和財務信息遭到泄漏,部分患者的社會安全號碼(ssn)和信用卡號碼也遭到泄漏。
針對基礎設施攻擊
2021年,2月8日,一名黑客侵入了佛羅里達州奧德馬爾一家水處理廠,通過篡改可遠程控制的計算機數據,將該廠水中的氫氧化鈉含量調高到了極其危險的水平,試圖讓整個城市的人都差點中毒。所幸水廠的運營商及時發現了問題,避免了一場災難。雖然沒有釀成大禍,但是這次事件,讓數字化后的關鍵基礎設施的脆弱性暴露出來,并由此引發了新一輪對關鍵基礎設施的攻防大戰。
2021年3月,據美聯社消息,管理全球主要超過400家航空公司的機票處理和常旅客資料的IT服務公司——SITA(全球信息技術公司)宣布服務器被黑客入侵,攻擊者經入侵了SITA的旅客服務系統(PSS)來訪問他們的某些隱私數據,PSS是SITA用來處理乘客從訂票、登機和行李控制的一系列交易的關鍵業務系統,全球多家知名航空公司和航旅企業的顧客資料遭泄漏。
歐洲能源及基礎設施企業提供技術方案的廠商,挪威公司Volue,在2021年5月4日-5日遭遇勒索軟件攻擊,被搞得疲于奔命。
2021年4月,倉儲與運輸服務商Bakker Logistiek遭遇勒索軟件攻擊。Bakker Logistiek是荷蘭國內規模最大的物流服務商之一,專門荷蘭各超市提供恒溫倉儲與食品運輸服務。4月,Bakker Logistiek公司遭遇勒索軟件攻擊,業務網絡上的設備被對方加密,食品運輸與配送體系也隨之癱瘓。
同樣在2021年4月,汽車尾氣排放測試公司Applus Technologies遭遇惡意軟件(很可能是勒索軟件)攻擊,導致包括康涅狄格州、喬治亞州、愛達荷州、伊利諾伊州、馬薩諸塞州、猶他州和威斯康星州等八個州的車輛無法進行年檢。
2021年4月10日,美國和以色列情報機構的情報消息來源表示,以色列摩薩德是對伊朗伊朗納坦茲核設施進行網絡攻擊的幕后黑手,該行動導致核設施斷電。據估計,該網絡行動破壞了伊朗濃縮鈾的能力。
在2021年5月7日,美國科洛尼爾油管公司遭遇勒索軟件攻擊,并引發一場全美有史以來規模最大的輸油管線停擺事故。
2021年,加拿大最多倫多的公共交通系統遭到勒索軟件襲擊,大量內部IT系統癱瘓;包括交通委員會內部的郵件服務、駕駛員通信系統、殘疾人交通預定系統、出行規劃應用、車站屏幕、車輛實時信息等均無法正常工作。
2021年7月,南非重要港口被網絡攻擊癱瘓。事件發生后,南非國家運輸公司(Transnet,南非國營港口運營商兼貨運鐵路壟斷企業)在努力淡化事件中的嚴重性,最初只是將其定性為“IT網絡中斷”,但在港務碼頭部門發給客戶的函件中,已經確認事件屬于“網絡攻擊、安全入侵與破壞行為”。
2021年8月,CNN援引海岸警衛隊的事故分析報告及美國高級網絡安全官員的公開聲明,墨西哥灣沿岸重要港口休斯敦港遭受網絡攻擊,攻擊者疑似有國家背景。官網站顯示,休斯敦港每年的貨物吞吐量可達2.47億噸,是墨西哥灣沿岸最大的港口之一。所幸官方早期調查發現了入侵者,尚未對港口的船運活動進行干擾。
金融一直是重點目標
2021年3月底,美國最大的保險公司之一CNA Financial被勒索軟件攻擊,在試圖恢復檔無果之后,他們開始與攻擊者談判,以贖金的方式挽回損失。最后,CNA Financial在事件發生兩周后支付了4000萬美元贖金,以重新獲得對其網絡的控制權,創造了勒索贖金的新高紀錄。
2021年月9月,一次大規模DDoS攻擊導致多家俄羅斯銀行系統宕機,部分服務無法正常使用。在此期間,各銀行用戶紛紛遭遇支付與卡片服務問題。
2021年8月,日本加密貨幣交易所Liquid遭網絡攻擊,9400萬美元失竊。這可能是該交易上一次被攻擊的后續,在上一次攻擊中,攻擊者通過劫持其DNS基礎設施竊取了部分用戶數據。
繼美國之后,日本的保險公司也被成功攻破。日本收入最高的的財險集團東京海上披露其新加坡分公司遭到了勒索軟件襲擊。
2021年10月,巴基斯坦國民銀行 (NBP) 當地時間10月30日發布聲明稱,已檢測到對該國商業銀行NBP 的網絡攻擊已中斷其服務,這些服務需要一些時間來恢復。
也在同期,因遭遇網絡攻擊,厄瓜多爾最大私營銀行皮欽查銀行關閉了部分網絡和系統,業務被迫中斷;此次攻擊導致該銀行業務大面積中斷,ATM機、網上銀行、移動客戶端、數字管道和自助服務、電子郵件均無法運行。
科技公司制造業被勒索的情況頻發
2021年3月,REvil勒索軟件宣布他們已經成功入侵宏碁公司的系統,并同時公布了了相關證據,包括關于財務電子表格、銀行結余以及銀行往來信息的文文件,并開出了5000萬美元天價。同期,技嘉GiGa-Byte遭RansomExx勒索軟件攻擊,位于臺灣的系統被迫關閉,超112GB簽署保密協議的商業資料遭泄露,涉及英特爾、AMD等合作伙伴;
2021年9月,日本奧林巴斯關閉了其在歐洲、非洲和中東的計算機網絡,同時對其系統遭到的網絡攻擊進行調查。
2021年10月,德國企業Eberspächer Group(為知名汽車品牌供應空調、供暖及排氣系統)遭勒索軟件攻擊,官網、郵件、辦公網絡、生產系統等紛紛癱瘓,部分工廠員工在宕機處理期間留在家中帶薪休假。
英國工程公司偉爾集團披露,2021年9月遭受了一起勒索軟件攻擊,導致出貨、制造與工程系統發生中斷,僅9月因開銷不足與收入延后帶來的間接損失高達5000萬英鎊。
進入2022年,一個名為Lapsus$的南美黑客組織顯得格外活躍,他們先后攻擊了包括nVidia、三星電子、Microsoft等科技公司,拿到大量核心代碼,并提出相應的要求。安全方面的人士認為,從網絡系統尋找漏洞可能并非唯一的攻擊手段,他們可能花錢從內部人士那里“購買”到了重要的賬號。
“盾”的升級
網絡世界日趨復雜多變的安全形勢,防不勝防的安全事件,促使世界各地和各國,從企業到政府層面都在提升防護水平,指定相應法規,以維護數字世界的“和平”。
美國發布《2021財年國防授權法案》《臨時國家安全戰略綱要》《改善國家網絡安全行政令》等,致力于強化網絡空間安全能力、彈性。2021年2月,美國網絡安全與基礎設施安全局(CISA)發布《CISA全球參與》檔,通過加強國際合作以增強全球關鍵信息基礎設施的安全性和韌性。在2021年5月和7月出臺針對關鍵信息基礎設施安全防護的行政令,并于9月批準了一項修正案,為CISA增加8.65億美元,用于相關行政令的落實、安全運營和人才培養。
美國公布的2021財年IT總預算為922億美元,其中網絡安全領域總預算為188億美元,比2020財年高出14億美元,網絡安全預算占IT預算的比例為20.4%。
俄羅斯總統普京簽署的新版《國家安全戰略》首次將信息列入,而正在進行的戰爭,讓俄羅斯軍隊正在深刻感受信息戰的力量,在信息領域獲得部分優勢的烏克蘭人,正在把俄羅斯的入侵拖入泥潭。
歐盟發布《歐盟數字十年網絡安全戰略》,對美國科技公司說“不”,歐盟正在拾回其“數字主權”,同時將提升關鍵基礎設施的保護和恢復能力作為未來五年網絡安全的重點工作方向。
英國發布《網絡戰略2022》《安全、防務、發展和外交政策綜合評估報告》,將網絡安全作為戰略重點,以提升英國在全球網絡空間的地位。日本發布《未來三年網絡安全戰略綱要》,強化網絡空間安全的戰略指導。
西班牙政府計劃在三年內投資超過4.5億歐元,以促進國家網絡安全技術、產業和人才發展。
中國作為互聯網創新的熱門地區,相繼出臺了《數據安全法》、《網絡安全法》、《個人信息保護法》、《網絡安全審查辦法》。2021年7月12日,工信部公開征求對《網絡安全產業高質量發展三年行動計劃(2021-2023年)(征求意見稿)》的意見。行動計劃中提出:到2023年,網絡安全產業規模超過2500億元,年復合增長率超過15%。
邁向零信任(ZeroTrust)架構
2021年4月,美國國防部(DOD)宣稱計劃推出一個零信任戰略。5月拜登總統簽署行政命令,強制要求政府部門全面邁向零信任架構。這一年后續的時間里,美國聯邦政府發布《聯邦零信任戰略》、美國國防部要求撥款6.15億美元用于與零信任網絡安全架構相關的工作
不久國際電信標準組織ITU-T正式對外發布《Guidelines for continuous protection of the service access process》(《服務訪問過程持續保護指南》)標準,這被認為是全球首個零信任的國際標準。
終結密碼時代
據 Verizon 公司年度資料泄露報告,弱且易于猜測的密碼占所有數據泄露的 80% 以上。鑒于密碼泄露,弱密碼被撞庫工具頻頻攻破。近日,Apple、Microsoft、Google分別于“世界密碼日”宣布,將會全面支持FIDO聯盟和萬維網協會(W3C)通用的“無密碼登錄”標準,讓用戶無需使用傳統密碼便能在任何平臺及設備上登錄網站,改以更安全、更簡易的無密碼登錄,取而代之的是更具唯一性和復雜性的升密碼,如指紋、人臉識別等方式。
FIDO 聯盟執行董事兼首席營銷官安德魯·施基爾(Andrew Shikiar)表示:新功能的啟用將帶來一波 FIDO 標準實施的浪潮,助推安全密鑰的持續不斷增長,并為服務提供商提供抗網絡釣魚身份驗證的全方位選擇。整個行業范圍內的合作將為無密碼的未來奠定基礎。
美國網絡安全和基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)局長仁·伊斯特利(Jen Easterly)說:“CISA 正在努力提高所有美國人的網絡安全水平。無密碼登錄技術的擴大極具前瞻性,是網絡安全維護的一個重要里程碑。我們很高興看到內置安全的實踐并最終說明顛覆密碼的存在。”
