有句话叫,没有千日防贼,意思是,实时防贼难免有懈怠的时候。但是对与数字世界来说,现在需要面临的问题已经不是”千日防贼”,而是时时应对五花八门的攻击。
根据Akamai公司提供的数据,商务交易、高科技公司、金融服务位是前三大重点攻击目标,主要透过恶意软件、钓鱼网站来执行。来自灰色世界的攻击已经在攻击深度、攻击范围以及攻击频率方面再次升级,这倒是很像新冠病毒的变种—omicron,同样是在传播速度和范围上远远超过了前面几代,但不同之处是,omicron变种病毒的威力已经减小很多,至少人们在心里上已经坦然很多,可是网络攻击却正好相反,其危害也在升级。
2022年5月初,仅半日web网络攻击实时情况截图 图片来源:akamai.com
2021年底被发现的ApacheLog4j存在任意代码执行漏洞,登上多家机构的2021年安全威胁榜单,CVSS给出了最早威胁等级满分10分的评价。美国国家安全局、德国电信CERT、中国国家互联网应急中心(CERT/CC)、新西兰计算机紧急响应中心(CERT)等多国机构相继发出警告。
此次漏洞是由Log4j2提供的lookup功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置,但是程序在处理数据时,并未对输入(如${jndi)进行严格的判断,从而造成注入类代码执行。从Akamai公布的网络攻击时时数据来看,透过SQL 注入方式的攻击在web攻击中占据了最高频率
目前,该漏洞受影响应用及组件(包括但不限于):ApacheSolr、ApacheFlink、ApacheDruid、ApacheStruts2、srping-boot-strater-log4j2等。包括谷歌、微软、亚马逊、特斯拉、苹果、腾讯、百度等一大批互联网企业受到影响,共有6921个APP存在被攻击风险。目前,该漏洞正在被修复中。
2021年8月,Microsoft发布声明宣布遭遇史上最大规模的DDoS攻击,带宽负载高达2.4Tbps。这次攻击者针对微软欧洲的一位Azure客户,相比比微软在2020年记录的最高攻击带宽量高出140%。它也超过了之前攻击针对亚马逊网络服务时期的2.3Tbps的峰值流量。
金融、交通、医疗、能源等多个领域成为攻击者们热衷的目标。仅2021年上半年全球就至少发生了1200多起勒索软件发起的攻击事件,其中针对医疗系统和教育行业的攻击增加了45%,平均赎金从2020年的40万美元提高到2021年的80万美元。综合了各方面信息,我们来看看近一年多以来发生诸多与网络安全有关的事件。
多家医疗机构机构遭到攻击或勒索
美国加州大学圣地亚哥分校健康中心在2020年12月2日至2021年4月8日期间,有人未经授权访问了“某些员工电子邮件帐户”。主管负责人表示,攻击中可能被访问和泄露的数据可能包括全名、地址、出生日期、电子邮件地址、传真号码、索赔信息(包括接受护理的日期和费用)、实验室结果、医疗诊断和条件、医疗记录号、处方信息、治疗信息、社会安全号、政府识别号、财务账号、学生识别号、用户名和“患者、学生和员工小区的子集”的密码。
2021年5月,爱尔兰医疗系统遭勒索攻击,网上疫苗预约等重要工作均无法进行。爱尔兰公共卫生事务的卫生服务执行局官员证实这次攻击行为试图破坏HSE的IT系统的勒索行为。
2021年8月,意大利拉齐奥地区政府证实,黑客攻击了管理罗马周边的拉齐奥地区COVID-19疫苗预约的公司的IT系统,导致该系统被迫关闭。所有的系统都被停用,包括该地区的卫生门户网站和疫苗接种网络的系统,导致接种计划受到影响。
8月15日凌晨,美国医疗连锁机构Memorial Health System遭遇勒索软件攻击,致使IT系统瘫痪,旗下三家医院无法正常运营。该机构下辖的大部分医院诊所还取消了当时所有非紧急手术和放射性检查。
同样在2021年8月份,奎斯特诊断公司向美国证券交易委员会(SEC)提交通报,公司旗下生育诊所ReproSource在八月份遭到了勒索软件攻击,约 350,000 名患者的大量健康信息和财务信息遭到泄漏,部分患者的社会安全号码(ssn)和信用卡号码也遭到泄漏。
针对基础设施攻击
2021年,2月8日,一名黑客侵入了佛罗里达州奥德马尔一家水处理厂,通过篡改可远程控制的计算机数据,将该厂水中的氢氧化钠含量调高到了极其危险的水平,试图让整个城市的人都差点中毒。所幸水厂的运营商及时发现了问题,避免了一场灾难。虽然没有酿成大祸,但是这次事件,让数字化后的关键基础设施的脆弱性暴露出来,并由此引发了新一轮对关键基础设施的攻防大战。
2021年3月,据美联社消息,管理全球主要超过400家航空公司的机票处理和常旅客资料的IT服务公司——SITA(全球信息技术公司)宣布服务器被黑客入侵,攻击者经入侵了SITA的旅客服务系统(PSS)来访问他们的某些隐私数据,PSS是SITA用来处理乘客从订票、登机和行李控制的一系列交易的关键业务系统,全球多家知名航空公司和航旅企业的顾客资料遭泄漏。
欧洲能源及基础设施企业提供技术方案的厂商,挪威公司Volue,在2021年5月4日-5日遭遇勒索软件攻击,被搞得疲于奔命。
2021年4月,仓储与运输服务商Bakker Logistiek遭遇勒索软件攻击。Bakker Logistiek是荷兰国内规模最大的物流服务商之一,专门荷兰各超市提供恒温仓储与食品运输服务。4月,Bakker Logistiek公司遭遇勒索软件攻击,业务网络上的设备被对方加密,食品运输与配送体系也随之瘫痪。
同样在2021年4月,汽车尾气排放测试公司Applus Technologies遭遇恶意软件(很可能是勒索软件)攻击,导致包括康涅狄格州、乔治亚州、爱达荷州、伊利诺伊州、马萨诸塞州、犹他州和威斯康星州等八个州的车辆无法进行年检。
2021年4月10日,美国和以色列情报机构的情报消息来源表示,以色列摩萨德是对伊朗伊朗纳坦兹核设施进行网络攻击的幕后黑手,该行动导致核设施断电。据估计,该网络行动破坏了伊朗浓缩铀的能力。
在2021年5月7日,美国科洛尼尔油管公司遭遇勒索软件攻击,并引发一场全美有史以来规模最大的输油管线停摆事故。
2021年,加拿大最多伦多的公共交通系统遭到勒索软件袭击,大量内部IT系统瘫痪;包括交通委员会内部的邮件服务、驾驶员通信系统、残疾人交通预定系统、出行规划应用、车站屏幕、车辆实时信息等均无法正常工作。
2021年7月,南非重要港口被网络攻击瘫痪。事件发生后,南非国家运输公司(Transnet,南非国营港口运营商兼货运铁路垄断企业)在努力淡化事件中的严重性,最初只是将其定性为“IT网络中断”,但在港务码头部门发给客户的函件中,已经确认事件属于“网络攻击、安全入侵与破坏行为”。
2021年8月,CNN援引海岸警卫队的事故分析报告及美国高级网络安全官员的公开声明,墨西哥湾沿岸重要港口休斯敦港遭受网络攻击,攻击者疑似有国家背景。官网站显示,休斯敦港每年的货物吞吐量可达2.47亿吨,是墨西哥湾沿岸最大的港口之一。所幸官方早期调查发现了入侵者,尚未对港口的船运活动进行干扰。
金融一直是重点目标
2021年3月底,美国最大的保险公司之一CNA Financial被勒索软件攻击,在试图恢复档无果之后,他们开始与攻击者谈判,以赎金的方式挽回损失。最后,CNA Financial在事件发生两周后支付了4000万美元赎金,以重新获得对其网络的控制权,创造了勒索赎金的新高纪录。
2021年月9月,一次大规模DDoS攻击导致多家俄罗斯银行系统宕机,部分服务无法正常使用。在此期间,各银行用户纷纷遭遇支付与卡片服务问题。
2021年8月,日本加密货币交易所Liquid遭网络攻击,9400万美元失窃。这可能是该交易上一次被攻击的后续,在上一次攻击中,攻击者通过劫持其DNS基础设施窃取了部分用户数据。
继美国之后,日本的保险公司也被成功攻破。日本收入最高的的财险集团东京海上披露其新加坡分公司遭到了勒索软件袭击。
2021年10月,巴基斯坦国民银行 (NBP) 当地时间10月30日发布声明称,已检测到对该国商业银行NBP 的网络攻击已中断其服务,这些服务需要一些时间来恢复。
也在同期,因遭遇网络攻击,厄瓜多尔最大私营银行皮钦查银行关闭了部分网络和系统,业务被迫中断;此次攻击导致该银行业务大面积中断,ATM机、网上银行、移动客户端、数字管道和自助服务、电子邮件均无法运行。
科技公司制造业被勒索的情况频发
2021年3月,REvil勒索软件宣布他们已经成功入侵宏碁公司的系统,并同时公布了了相关证据,包括关于财务电子表格、银行结余以及银行往来信息的文文件,并开出了5000万美元天价。同期,技嘉GiGa-Byte遭RansomExx勒索软件攻击,位于台湾的系统被迫关闭,超112GB签署保密协议的商业资料遭泄露,涉及英特尔、AMD等合作伙伴;
2021年9月,日本奥林巴斯关闭了其在欧洲、非洲和中东的计算机网络,同时对其系统遭到的网络攻击进行调查。
2021年10月,德国企业Eberspächer Group(为知名汽车品牌供应空调、供暖及排气系统)遭勒索软件攻击,官网、邮件、办公网络、生产系统等纷纷瘫痪,部分工厂员工在宕机处理期间留在家中带薪休假。
英国工程公司伟尔集团披露,2021年9月遭受了一起勒索软件攻击,导致出货、制造与工程系统发生中断,仅9月因开销不足与收入延后带来的间接损失高达5000万英镑。
进入2022年,一个名为Lapsus$的南美黑客组织显得格外活跃,他们先后攻击了包括nVidia、三星电子、Microsoft等科技公司,拿到大量核心代码,并提出相应的要求。安全方面的人士认为,从网络系统寻找漏洞可能并非唯一的攻击手段,他们可能花钱从内部人士那里“购买”到了重要的账号。
“盾”的升级
网络世界日趋复杂多变的安全形势,防不胜防的安全事件,促使世界各地和各国,从企业到政府层面都在提升防护水平,指定相应法规,以维护数字世界的“和平”。
美国发布《2021财年国防授权法案》《临时国家安全战略纲要》《改善国家网络安全行政令》等,致力于强化网络空间安全能力、弹性。2021年2月,美国网络安全与基础设施安全局(CISA)发布《CISA全球参与》档,通过加强国际合作以增强全球关键信息基础设施的安全性和韧性。在2021年5月和7月出台针对关键信息基础设施安全防护的行政令,并于9月批准了一项修正案,为CISA增加8.65亿美元,用于相关行政令的落实、安全运营和人才培养。
美国公布的2021财年IT总预算为922亿美元,其中网络安全领域总预算为188亿美元,比2020财年高出14亿美元,网络安全预算占IT预算的比例为20.4%。
俄罗斯总统普京签署的新版《国家安全战略》首次将信息列入,而正在进行的战争,让俄罗斯军队正在深刻感受信息战的力量,在信息领域获得部分优势的乌克兰人,正在把俄罗斯的入侵拖入泥潭。
欧盟发布《欧盟数字十年网络安全战略》,对美国科技公司说“不”,欧盟正在拾回其“数字主权”,同时将提升关键基础设施的保护和恢复能力作为未来五年网络安全的重点工作方向。
英国发布《网络战略2022》《安全、防务、发展和外交政策综合评估报告》,将网络安全作为战略重点,以提升英国在全球网络空间的地位。日本发布《未来三年网络安全战略纲要》,强化网络空间安全的战略指导。
西班牙政府计划在三年内投资超过4.5亿欧元,以促进国家网络安全技术、产业和人才发展。
中国作为互联网创新的热门地区,相继出台了《数据安全法》、《网络安全法》、《个人信息保护法》、《网络安全审查办法》。2021年7月12日,工信部公开征求对《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》的意见。行动计划中提出:到2023年,网络安全产业规模超过2500亿元,年复合增长率超过15%。
迈向零信任(ZeroTrust)架构
2021年4月,美国国防部(DOD)宣称计划推出一个零信任战略。5月拜登总统签署行政命令,强制要求政府部门全面迈向零信任架构。这一年后续的时间里,美国联邦政府发布《联邦零信任战略》、美国国防部要求拨款6.15亿美元用于与零信任网络安全架构相关的工作
不久国际电信标准组织ITU-T正式对外发布《Guidelines for continuous protection of the service access process》(《服务访问过程持续保护指南》)标准,这被认为是全球首个零信任的国际标准。
终结密码时代
据 Verizon 公司年度资料泄露报告,弱且易于猜测的密码占所有数据泄露的 80% 以上。鉴于密码泄露,弱密码被撞库工具频频攻破。近日,Apple、Microsoft、Google分别于“世界密码日”宣布,将会全面支持FIDO联盟和万维网协会(W3C)通用的“无密码登录”标准,让用户无需使用传统密码便能在任何平台及设备上登录网站,改以更安全、更简易的无密码登录,取而代之的是更具唯一性和复杂性的升密码,如指纹、人脸识别等方式。
FIDO 联盟执行董事兼首席营销官安德鲁·施基尔(Andrew Shikiar)表示:新功能的启用将带来一波 FIDO 标准实施的浪潮,助推安全密钥的持续不断增长,并为服务提供商提供抗网络钓鱼身份验证的全方位选择。整个行业范围内的合作将为无密码的未来奠定基础。
美国网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency,CISA)局长仁·伊斯特利(Jen Easterly)说:“CISA 正在努力提高所有美国人的网络安全水平。无密码登录技术的扩大极具前瞻性,是网络安全维护的一个重要里程碑。我们很高兴看到内置安全的实践并最终说明颠覆密码的存在。”
