序:某些方面而言,网络安全是一个很有趣的领域。特别是在这个新互联网时代,在IT变革时期中,不仅恶意攻击者总是在人们意想不到的地方实施入侵,防御者们备受挑战的安全思维也在发生变化,于“异想天开”中打造全新的安全防护体系。声明I:本文所述非为夸大恶意攻击之残酷歹毒,意在帮助防御者共同探寻新的安全思想。声明II:文中部分数据及资料取材于赛门铁克第二十期《互联网安全威胁报告》(ISTR)。恶意威胁从未停止、减弱,攻击与防御永在不停变化、不停进化小米800万用户信息泄露、索尼影业遭最大规模黑客攻击(可怜的索尼貌似都遭遇好几次攻击了)、摩根大通银行被黑8300万客户信息、OpenSSL“心脏出血” 漏洞、Shellshock“破壳”漏洞、Adobe Flash零日漏洞、ATM机漏洞……2014年网络安全世界里大事件、大漏洞层出不穷,同时大情报也被频频爆出:金融木马更加强悍,间谍工具regin被曝光,从Cyber Resilience——网络韧性(快速、精准发现安全威胁)到Security Intelligence——安全智能……当形成利益集团的骇客们发起愈加凶狠的攻击时,辛劳的安全防御者也在频频出手,擒获恶意攻击者的帮凶,破解网络攻击的核心秘密,并不断研发出更具针对性、更为有效的安全防护技术。
玩“蛙跳”的网络攻击者如今的网络犯罪分子正在不断使用新型欺骗手法入侵公司网络,比如玩玩“蛙跳”:恶意攻击者采用跳跃方式躲避企业防御,使得企业无法进行有效侦察、预测。而这一切要从黑客组织Dragonfly(蜻蜓)说起……
2014年赛门铁克发现并报告了Dragonfly犯罪集团攻击欧洲和美国能源行业的事件,Dragonfly采用了多种针对性攻击手段,包括鱼叉式网络攻击、水坑攻击、软件更新植入木马等典型攻击方法。
向目标人群发送电子邮件,投出攻击“鱼叉”是网络攻击者最常用的手段,能源行业是鱼叉式网络攻击的重灾区。而“守株待兔”在黑色产业链圈子里已经不是一个贬义词,新型的“水坑攻击”借助钓鱼网站让用户在不知不觉中自投罗网。最“炫”的是,企业业务中的各类应用软件也被充分利用,软件更新已经不仅仅能够提升应用性能,更可能带来已被先期植入的木马。恶意攻击者在不同时期充分利用这几类攻击手段,交叉组合,用户防不胜防。虽然数据上显示鱼叉式网络钓鱼攻击数量在下降,但攻击活动却并未减少,这意味着攻击方式正在逐渐成熟。
在ISTR报告中显示,每6家大型企业中,就会有5家成为攻击目标。攻击者通过劫持大型企业IT基础架构如影随形、如毒附骨,轻松躲避安全监测,随心所欲的实施攻击。
身手愈加敏捷的网络犯罪分子你知道么?2014年最为著名的Heartbleed(心脏出血)漏洞在被公布出来之前就已经被恶意攻击者充分利用。有数据显示,在漏洞被公布之前骇客们已经利用它发起攻击将近4个小时。零日漏洞如此好使,那些漏洞挖掘工们更加勤快了。“采蘑菇地小姑娘~”,哦,错了,应该是:
“
挖漏洞地小骇客带着一台笔记本黑夜光着俩肩膀走遍系统服务器他挖的漏洞最多多得像那星星数不清他曝的漏洞最大赚得成堆金币装满包噻箩箩哩噻箩箩哩噻……”
(嘿,莫扔砖头、莫扔烂菜叶——这个西红柿还不错,不唱了,吃它!)
网络犯罪分子利用零日漏洞的速度完胜厂商推出补丁的速度——2014年,在厂商推出补丁之前,攻击者利用排名前5大“零日漏洞”并主动实施攻击的时间总共长达295天。
你又知道么,现在含有恶意软件的合法网站开始大幅度减少,这是“邪不胜正”的缘故?抱歉,这并非是由于网站的网络安全性得以提高,而是攻击手段已经成熟起来的缘故,攻击者开始使用工具包和SaaS从他们的网站实施攻击,也就是说合法网站上所含的恶意软件数量虽然减少,但是骇客们会将受害者重定向到受到攻击者控制的网站上。如今的网络攻击在变得更加准确、快速、隐蔽,攻击数量是减少了,而攻击所造成的损失并没有下降,网络犯罪分子在攻击速度和精准度上获胜!
其所带来最直接的后果就是,2014年数据泄露总量增加了将近四分之一。其中零售行业和医疗行业在数据泄漏方面十分严重,网络攻击导致零售行业大量用户资料被窃取(泄露事件占比11% ,但却造成59%身份信息的泄露),而医疗行业虽然主要数据泄漏途径还是意外、设备丢失被盗等,但如今医疗行业所泄漏的数据在成上升趋势。