文章目录
在2010年之前(其实应该是从2011年算起,不过2010年更顺口),网络安全还是一个孤立的领域。直到自己所使用的东西无法运转之前,没有人真正关心这一行业。恶意软件或广告软件导致设备崩溃,用户因为设备无法使用而不得不由 IT 人员重新加载时感到懊恼,但这一切问题结束后,忧虑也随之消散。
当我们迈入2010年时,多数企业的做法仍然毫无改观,但到2018年至2019年时,网络安全专家和安全及风险专业人员成为董事会及新闻中的常客。关于“网络”的斗争激化了,抵抗力量消散了,而这就是所谓的整个历程。我们不如把优雅接受失败的做法视作臣服吧。我们来盘点一下十年来最值得注意的趋势和事件。
每个人或听过或读到过这句话,它往往出现在公司开始解释造成侵犯隐私和安全的事件的原因之前。而多数安全和风险专业人士认为这句话中缺少一个关键词:“现在”——“现在,我们认真保护您的隐私和安全。”这句话如此流行,Forrester 公司的分析师甚至为其创建了一个新指标:MTBCA(“距离首席执行官道歉的平均用时”)。
尘埃落定后,我们几乎总会发现攻击者实际上并没有那么“精明”。或者,即使他们很精明,但实际上并未耗费九牛二虎之力就侵入环境。结合唾手可得的目标和 Living off the land(LotL) 技术让攻击者游刃有余地入侵公司。
Intel 和 McAfee 的并购掀起了网络安全市场长达十年的并购活动和资本涌入盛况。多数并购活动确实带来积极影响,但本案例除外。
McAfee 被收编至 Intel 麾下的七年毫无建树。Intel 兼并 McAfee 好像是发生在多年以前的事,或者看起来似乎如此,但事实果真如此吗?实际上它发生在2010年中期。在落笔前,我本来要说这件事发生在上个十年,但实际上并非如此,它确实拉开了这个十年的序幕,它到底象征着什么呢?Intel 的愿景本来是利用 McAfee 将安全性嵌入硬件中,为Intel 带来独立的硬件和安全厂商无可比拟的独特的竞争优势。遗憾的是,这一愿景并未结出硕果,Intel 最后不得不将 McAfee 剥离出去。Forrester 公司曾预测到这一点,七年后它成为了现实。
Mandiant旗下火眼公司发布多份关于国家黑客参与网络纠纷的案例报告,用间谍小说的手法说明网络安全,改变了该行业的市场营销方式。在这十年行将结束之前,一个接一个的企业使用威胁情报报告作为内容营销手段招徕客户。
每个行业都有自己的术语,网络安全行业也不例外。火眼公司发布关于 Lockheed Martin KillChain(“杀死链”)报告创建了以术语来解释发生了什么、为何会发生、如何分类以及更重要的是如何应对未来的各个攻击阶段。它并未解决技术和非技术观众之间的沟通鸿沟,但确实解决了在构造攻击方面网络安全行业内的沟通问题。
备选者虽众,但这这两款恶意软件因定义了这十年来的攻击工具而鹤立鸡群。
“震网 (Stuxnet)”具备一切:复杂性、地缘政治和工控系统。Stuxnet 不乏专门的书籍和纪录片介绍,而且一名美国陆军将军因揭露 Stuxnet 实际上是代号为 “Olympics Games” 的一项美国计划而受到纪律处分。输出 Stuxnet 要求结合技术能力、HUMINT 和足够的时间以便通过外交渠道解决问题。
WannaCry 和 NotPetya 问鼎勒索软件冠军。这十年的后半段应该是勒索软件的天下,它使电信、物流、公共事业、市政等机构瘫痪。其它恶意软件和这两款勒索软件相比均黯然失色,尤其是从非网络安全从业人员的角度来看更是如此。尽管造成了破坏,但 WannaCry 和 NotPetya 也让网络安全对于互联企业的重要性得到宣传。
我们不可能提到所有的大型或超大型数据泄露事件,而且它们也无法被称之为“最佳”。因此,我们来回顾一下在这十年来造成重大变化的数据泄露事件。
Target 百货公司数据遭泄露的后果虽然肯定影响广泛,但该行业内的所有相关方受影响最大的地方在于,Target 成为每家供应商平台的默认梗:在第3张和第7张幻灯片之间的某个地方,肯定会听到关于 Target 的内容。
OPM 挫败美国的情报能力。2014年3月20日,美国人事管理局获悉黑客已经提取了用于对安全通关进行背调的敏感的 Standard Form 86 副本。
人们最初对索尼影业遭受攻击的注意力主要集中在它是朝鲜因电影《访谈》而实施的网络安全报复上,索尼影业被攻击之后后背发凉:因为多位名人之间的邮件往来都被暴露在互联网上。这件事引发了人们对知识产权所有权以及谁能从被提取数据中获益的大讨论。而我们也获悉了各种爆料,如名人作家和娱乐节目主持人有时会通过写剧本支付私立学校的学费,以及索尼影业曾考虑聘请律师强迫明星出演但最终以失败告终的各种故事。
在我们说明这些漏洞之前,我们必须先说明由它们所产生的类别,即“十年中让我们讨厌的趋势”:每个漏洞都有一个 logo 和网站。无需 write-up,它们自证其身。但从2010年到2019年期间,出现了两个漏洞:一个破坏了互联网基础架构,另一个导致勒索软件爆炸式增长:
我们有一些非常有名的 CVE 漏洞,但很多人挠破头也不知道 CVE-2014-0160 是什么。但如果你说“心脏出血”,他们马上就反应过来了。它的名气超过 MS08-067,确实也实至名归。这个漏洞命中所有一切:网站、工具设备(包括安全设备)、应用程序……无所不包。它会导致什么后果?一切后果:私钥、用户名、密码、邮件、数据……所有通过受影响的 OpenSSL 版本加密的一切东西均可被攻陷。如果你想找到能够破坏技术领域中一切东西的漏洞,那它非“心脏出血”漏洞莫属。
同时它证明网络武器落入不法之徒之手,真的非常危险。尽管2017年起就发布补丁,但“永恒之蓝”仍持续侵害企业。WannaCry、NotPetya和“坏兔子”也在攻陷初期阶段使用“永恒之蓝”,利用微软 SMB 协议中的缺陷用于横向移动。
虽然框架很难让我们激情澎湃,但安全和风险专业人士迫切需要一些共性的东西来塑造程序并为安全程序提供目标。NIST 和 MITRE 提供的正是这些东西:
2014年2月,NIST CSF 作为一个全面的框架首次亮相,它确实值得赞扬:将识别、保护、检测、响应和恢复的概念纳入我们的共享词典中。Forrester 公司发现,经过网络力量的传播,NIST CSF 已成为讨论网络安全程序的董事会级别的语言。很多董事会成员任职于多个董事会,他们从一位 CISO 那里听到 NIST CSF 之后开始后询问其他人相关信息,从而使其在网络程序相关讨论中占据重要地位。
ATT&CKruin已成为一种为业内广泛接受的标准,如 ATT&CK 网站所言,“ATT&CK 是关于网络对抗行为的知识库,也是对它们生命周期内网络对抗动作的分类。”Kill Chain 之于攻击阶段的做法就如同ATT&CK 在深层次之于攻击者的行为和动作。鉴于最终用户和投资者在检测公司投入大量资金,ATT&CK 开发了一种方法,用于理解供应商安全工具在各个类别中的性能。
这十年不乏亮点,不过也有很多不为人所知之处。但对于在2010年之前开始职业生涯的安全和风险专业人士而言,情况确实是在向好的方向发展,他们得到了高管的更多支持,人们对网络安全重要性的意识在提高,而且人们关注到技术对社会的影响。安全、风险和隐私挑战不会消失。尽管如此,我们仍然从这十年的挫折中获得了很多经验教训,也知道了如何处理这些障碍迈出更有意义的步伐。虽然道阻且长,但一切值得做的事情不都如此吗?
*参考来源:forrester,由奇安信代码卫士变异,转载请注明来自FreeBuf.COM