整理 | 夕颜
2020年是新冠疫情构成主旋律的一年,全球经济形势、科技发展乃至人们的日常工作生活都受到疫情影响。在疫情催化各行业数字化转型更加依赖网络世界的同时,互联网安全也受到了前所未有的挑战。从2020年的开年大洞,微软 Windows CryptoAPI验证绕过漏洞CVE-2020-0601,到年末网络管理软件供应商SolarWinds遭供应链攻击,部分版本的Orion Platform更新文件中被植入后门,2020年的网络攻击更加频繁,手段更加多样化。
过去一年网络安全事件呈现出怎样的规律和新趋势?绿盟科技威胁响应中心联合绿盟科技格物实验室发布的《2020互联网安全事件观察报告》,对2020年全面的互联网安全进行了比较全面深入的调查报告总结,AI科技大本营邀请到绿盟科技安全专家,对报告进行了更加详细的解读,重点整理如下:
年度各类事件数量事件总计81748起
报告显示,2020年全年监测收集到的各类安全事件共计 81748起,信息来源于各类漏洞库、 国内外安全资讯网站、社交媒体等;2020年共发布安全通告109 篇,防护方案 11 篇。
年度重大安全事件Top20
个人及企业对于高危漏洞的关注程度逐年增高,这些漏洞所能造成的直接影响已经较早些年大大降低。不过即便修复了漏洞也不能高枕无忧,有几类攻击也已活跃多年,产生的影响渗透进生产生活的各个方面。
这些暗中操作,影响持久的攻击事件就是勒索软件攻击和信息泄露。
“暗黑三兄弟”臭味相投、互相“扶持”
根据年度安全事件的观察结果显示,2020年全年安全事件主要有漏洞类、勒索软件、信息泄露、工控、攻击事件及恶意软件这几类。各类攻击手法之间或多或少存在一种默契,相互“扶持”来使各自的攻击效果最大化。其中,漏洞、信息泄露、勒索软件这“暗黑三兄弟”就颇有“臭味相投”的意思。
单独的一个高危漏洞已足以引起各路安全专家的注意,不过这才仅是个开始,一些漏洞被攻击者工具化后,通过掌握的泄露信息精准投放,入侵目标系统实施勒索,勒索时窃取到的信息又作为筹码被拿到黑市上交易,由此从中持续获利。观察近些年的网络攻击事件,发现这种模式已经被攻击者广泛利用,模式如下:
值得注意的是,肆虐虚拟网络空间的“暗黑三兄弟”在工控领域中也“大施拳脚”。
工控系统是水利、电力、石油化工、制造、航空航天等诸多国家命脉行业的基础设施,因此在利益、政治等因素驱动下的攻击者也是对其虎视眈眈。工控系统软硬件更新更换困难的现状使得不少漏洞隐藏其中而得不到修复;勒索软件使工业生产停滞的代价更是迫使许多企业不得不满足攻击者的要求。
疫情大环境下网络安全恶化
2020年,由于疫情原因,有不少攻击者利用民众对于疫情的关注来进行攻击,加剧了信息泄露的风险和恶意软件的传播。
类似疫情这种的大规模公共安全事件的发生也会影响到网络空间,不论是恶意APP还是不实谣言等都给管理网络空间安全带来了极大的挑战,网络安全不能完全脱离物理安全来考虑,应全方位的进行综合性评估,才能避免大规模的恶意攻击蔓延。
主要攻击方式观察
漏洞、信息泄露、勒索软件、工控安全性越来越受频发,报告总结了这几种网络攻击方式的观察结果:
漏洞总量连续四年创新高,“三部曲”处理
自2017年CVE(通用漏洞披露,Common Vulnerabilities and Exposures)数量飙升超过1.4万,此后每年发布的CVE个数都屡创新高。要论2020年漏洞增长的原因,疫情影响应该算得上一个。
疫情时期,组织在快速将应用推向市场和维护代码安全性之间恐怕更倾向于前者。而且2020年各国各地远程办公人数迅速增加,个人终端设备接入了公司网络,远程协作办公软件如视频会议、文档协作、虚拟专用网等自然也成为白帽黑客和攻击者的又一大目标。
据统计,漏洞具有平均七年的生命周期,2020 年遭频繁利用的漏洞几乎可以肯定将在2021年继续遭利用。能被反复利用的漏洞基本上已被武器化,或至少拥有公开/半公开可利用程序,且其目标多是广泛使用的操作系统、个人/企业常用软件、组件等。FireEye 被窃的红队工具包所涉及的漏洞能从侧面验证这一观点。
报告列举部分今年被广泛关注的常用软件漏洞:
在应对全年以万计数的漏洞时,应首先及时修复那些已被或易被武器化的漏洞,通过合理定级做取舍!
对于漏洞处置的办法,报告给出了“三部曲”的建议:
勒索赎金节节攀升,技术修复+支付赎双管齐下
2020年,攻击事件爆炸式增加,勒索手法频出花样,索要赎金节节攀升,不幸中招伤财伤人。
信息泄露避无可避,需要个人意识、企业责任、法律法规共同防守
信息泄露的主要原因包括恶意攻击、暗藏内鬼、系统故障或人为失误,以及不规范网站、平台、APP对信息过度采集和诱导采集,目前泄露数据类型Top3是公民信息、账号数据和商业敏感信息三类,发生信息泄露后会造成经济损失、名誉损失,或将引发持续多年的影响。
利益驱动下,隐私信息已成为获利的一大目标。被泄信息可能被用于倒卖、诈骗、勒索、社工等。随着自媒体发展,个人敏感信息在网上暴露情况也越发常见,某些生物信息的采集甚至在不知情或非自愿情况下进行。隐私信息的安全,需要个人意识、企业责任、法律法规共同守护。
工控安全事件普遍危害大,DDoS更致命
近年来,工控安全事件频发,智能制造、能源、轨道交通等成为最容易受到威胁的行业。2020年,工控安全典型事件包括Ripple20 (供应链风险),黑客攻击导致的委内瑞拉全国大面积停电,欧洲能源巨头 EDP遭遇勒索,利用10TB敏感数据索要千万美金等。目前,工控安全现状是工控漏洞70%以上属于高危漏洞,被利用的大多是Nday,这和工控漏洞修复难度大有密切关系。漏洞造成影响DDoS居多,相比其他行业,DDoS对工控行业的影响更为致命。
针对《2020年互联网安全事件观察报告》,AI科技大本营还邀请到绿盟科技威胁情报与网络安全实验室技术总监、格物实验室负责人李东宏,解答了大家关心的对于互联网安全的疑问,希望可以帮助读者更好地理解这份报告,采访整理如下:
问:当前技术条件下,网络安全威胁防控有哪些难点和痛点?如何从根源上防控网络安全事故发生?
李东宏:对于企业内部的安全管理,如何防范工作人员误操作行为导致的不良后果是当下网络安全威胁防控的难点。首先是在企业内部可能存在有权限接触敏感数据的人员获取数据后,基于经济目的对外出售的情况;其次,部分工作人员有意或无意的不规范操作也可能会导致系统故障。
此外,外部的因素也会增加网络安全防控的阻碍。其中包括,不规范的网站、平台、应用对信息的过度采集;攻击者利用0day 漏洞的攻击;在工业控制系统和物联网环境下,为了兼顾功能安全和信息安全,一些网络安全风险修复较慢甚至长期无法修复。
根据绿盟科技《2020互联网安全事件观察报告》中的相关分析,从根源上防控,需要做到如下方面:
1) 普及相关法律法规知识,提高员工安全意识。
2) 完善企业制度,提升企业满意度和运维人员的操作技能,辅以异常检测系统以及二次确认。
3) 诸多恶意样本、APT 攻击事件中多次使用0day漏洞进行攻击,针对0day漏洞的防御,需要对通讯协议高度理解,加上对攻击目标风险点全量审计,整合所有的安全风险可利用的路径以及方法,形成防护方案,这不是一蹴而就的事情,需要通过不断的积累实现从已知漏洞防护到未知漏洞防护的转变,临时的措施为设备的状态监控,包括进程监控、IO监控、外联监控等。
4) 企业为了保证业务的稳定运行,会维持使用老旧的系统,面对网络攻击,可以通过网络安全公司提供的产品、服务、运营等在避免更改现有运营状况下从网络侧针对业务环境进行安全保护。针对使用的非自主可控设备,可以逐步替换为自主可控设备,从根本上提高安全防护能力。
问:报告显示,漏洞、信息泄露、勒索软件“暗黑三兄弟”已经形成一个完整的攻击链条模式,哪个环节是防控安全事故发生最薄弱的环节?可以采取哪些措施?
李东宏:在这个信息爆炸的时代,信息泄露无孔不入,个人隐私保护是最容易被忽略的一环,随着当下APP应用、网站账号实名制信息政策的推广,个人隐私信息的暴露面也相应的增加了,使得用户本身成为最大的突破口。
防止信息泄露,最重要的还是要提高用户的安全意识。让他们意识到在互联网时代,应该默认自身的信息已经被攻击者获得,在面对疑似钓鱼攻击时提高警惕。同时需要设计一套适配于企业和个人的、合理的虚拟统一认证体系,可以保证用户信息使用唯一性的同时又不会暴露个人的敏感信息,这需要全行业共同努力。
问:当今时代背景下,隐私信息泄露是一个与大众息息相关,但无可避免的问题,目前可以用哪些技术手段尽量减少信息泄露发生的几率?
李东宏:通过采取以下措施可以减少隐私信息泄露的几率:
1) 确认和梳理敏感信息,进行分类分级管理;
2) 在访问网站和使用APP过程中要求填入如下组合信息的时候需要确认访问目标的可信性:
也可以安装主机防护软件针对访问的APP和访问站点进行安全信誉确认后访问,减少信息泄露。
3) 对网络中的通信流量进行审计,及时发现异常的行为,对数据库的各种操作进行监控,及时发现未授权的行为等。
4) 通过对数据库的信息加密,避免其在使用、存储或转移的过程中以明文形式泄露给攻击者。除此之外,也应该通过加密方式来保护网络通信数据。
5) 企业需要对不同平台和终端提供有效的安全支撑。对于这些终端拥有监控能力是及时发现异常泄露的关键。
问:疫情期间远程办公增加,企业和个人应如何通过技术手段等加强网络安全防护和处理能力?
李东宏:正如绿盟科技《2020互联网安全事件观察报告》中所提到的,由于疫情的原因,远程办公成为了新的主要办公形式,同时有不少攻击者利用民众对于疫情的关注来进行攻击,加剧了信息泄露的风险和恶意软件的传播。企业和个人可以采取如下手段,避免网络攻击侵害。
企业客户:
1) 软件管理方面:禁止使用非官方途径下载的软件或者盗版软件;统计办公区域所采用的软件、关注相关软件厂商的补丁发布信息,及时升级到最新版本。
2) 主机安全方面:办公主机上增加主机类安全检测与防护软件,及时发现并阻止恶意软件的运行;严格控制主机对外连接访问以及对外开放的服务。
3) 认证方面:增加动态验证策略或者二次接入认证,避免账户信息泄露导致非法接入。
4) 网络安全方面:对办公网络,根据资产功能和业务属性进行分区分域,依据访问角色做好访问控制策略;在边界处部署防火墙检测并阻断恶意的通讯。
5) 人员安全意识方面:积极开展安全培训和攻防演练,促使员工具备安全意识和安全处置能力。
6) 数据安全方面:非即时性数据需要定期进行备份,即时数据需要实现双机即时热备;备机需要对写入来源进行信任控制。
个人用户:
1) 提高安全意识,执行“三不”策略,即不运行非官方的软件、不随便泄露个人账号信息、不执行不明程序。
2) 养成习惯,坚持“五做到”,分别是做到及时更新软件;做到安装主机类防护软件(例如杀毒软件);做到个人数据及时备份;做到资源不用时即时销毁;做到与钱财有关的事情多方求证。
问:工控威胁对网络安全提出了哪些新的挑战?如何应对?
李东宏:多种技术的融合和非自主可控系统、设备、软件的大规模使用是现在工业发展中的主旋律。在这种背景下,工控系统面临的威胁激增,既要考虑工业互联网实施过程中新技术带来的安全风险,又要考虑非自主可控情况下的供应链后门植入风险。为此,根据绿盟科技2020年发布的《工业控制系统安全评估流程》,工业企业要做好如下几点:
1) 梳理资产,知道自己有哪些“家底”,这些“家底”处于什么状态。
2) 梳理网络,摒弃不合规、安全风险高的网络连接和架构,按照“安全分区、网络专用、横向隔离、纵向认证”的原则建设工业网络。
3) 构建落地可用、经济可靠的纵深防御体系,避免使用过重防护、影响生产业务防护方案。
4) 建立企业内部的应急响应体系及工作流程,并且将应急演练落到实处,不要抱着应付的心态做应急,当事故真正出现时,各级部门要临危不惧、处理到位、降低损失。
除此之外,国内的工控厂商也应该加强自身产品的网络安全设计,加大该方面的投入。面对目前的现状,在政策层面可以针对信创类的系统、设备、软件做安全评测,确保可用、能用、安全后才可进入市场。
问:从整个互联网安全行业来说,近年来您观察到网络安全威胁发生了哪些变化和发展趋势?应对的措施有哪些变化?
李东宏:当下,网络安全攻击正在从传统的独立漏洞利用转向利用泄露信息的精准钓鱼攻击。(技术攻击->社工)
应对措施的角度变化正在从传统的漏洞修复和防护,向规范人员操作和提高用户安全意识的方向过渡。除了基本的技术层面检测和防护,也要从操作规范,流程管理,人员意识培训等全方位来进行防护,降低被社工等风险,避免用户本身成为攻击的突破口。
问:您对未来网络安全威胁的发展趋势有哪些预测?
李东宏:首先,供应链攻击的性价比最高。只有监管体制和行业自律双管齐下,才能减少这种攻击的存在。
其次,勒索事件继续增加,勒索手法频出花样,索要赎金的事件和价格节节攀升,预防勒索软件最好的方式是提高自身安全意识,避免被钓鱼、社工攻击,完善合理的备份系统和关键业务的应急方案,增强内部针对恶意软件的检测能力和防御能力。
最后,在经济利益的驱动下,隐私信息已成为获利的一大目标。根据绿盟科技发布的《2020互联网安全事件观察报告》中关于信息泄露事件的观察分析,住宿&交通运输、医疗卫生行业的数据有较大交易、利用价值,是攻击的主要目标。其次,如社交网站、招聘网站、电商网站等,其中的数据不仅有用户的个人信息,还能体现出用户关系的图谱,也成为不法分子的重要攻击目标。被泄露的信息可能被用于倒卖、诈骗、勒索、社工等。随着自媒体发展,个人敏感信息在网上暴露情况也越发常见,某些生物信息的采集甚至是在不知情或非自愿情况下进行。隐私信息的安全,需要个人意识、企业责任、法律法规共同守护。