從報(bào)稅表詐騙到WordPress漏洞、勒索軟件、商業(yè)電子郵件泄露、DDoS攻擊和總統(tǒng)大選被黑疑云——2016簡(jiǎn)直就是網(wǎng)絡(luò)安全地獄年,而且這還沒(méi)完。
根本沒(méi)理由相信2017會(huì)有所好轉(zhuǎn)。若說(shuō)有什么區(qū)別的話,那就是會(huì)變得更糟糕——因?yàn)榫W(wǎng)絡(luò)罪犯會(huì)繼續(xù)發(fā)動(dòng)社會(huì)工程,找到投送惡意軟件的新方法,破解有漏洞的數(shù)據(jù)庫(kù),利用移動(dòng)技術(shù)來(lái)找出打破公司防御咬上目標(biāo)人物的途徑。
兩位杰出的網(wǎng)絡(luò)安全專家:安全訪問(wèn)軟件公司Bomgar首席執(zhí)行官馬特·德克斯,安全設(shè)備管理和移動(dòng)安全公司 Cyber adAPT首席技術(shù)官斯科特·米里斯,為我們展望了一下2017網(wǎng)絡(luò)安全形勢(shì)。
1. 口令“成長(zhǎng)”
10月21日造成互聯(lián)網(wǎng)大面積掉線的DDoS攻擊,至少有部分是因IoT設(shè)備上未修改的默認(rèn)口令被黑客利用而發(fā)起的。別覺(jué)得自己能幸免,有多少用戶用的是簡(jiǎn)單、常見(jiàn)、過(guò)時(shí)的口令?2017年,更好的口令管理服務(wù),會(huì)隨著企業(yè)意識(shí)到自己防護(hù)有多差而引起重視。
有太多特定用途的“啞”設(shè)備了,就像前面說(shuō)過(guò)的助力DDoS攻擊的那些路由器,這讓黑客們的工作變得十分容易。
弱口令依然一統(tǒng)江湖的時(shí)候,網(wǎng)絡(luò)安全人員面對(duì)關(guān)鍵基礎(chǔ)設(shè)施、聯(lián)網(wǎng)系統(tǒng)和遠(yuǎn)程訪問(wèn)系統(tǒng)及設(shè)備防護(hù)任務(wù)簡(jiǎn)直一籌莫展,而且問(wèn)題還不只是外部威脅一種。
內(nèi)部威脅緩解也可以通過(guò)更好的口令管理來(lái)完成。最佳方式,是實(shí)現(xiàn)用戶未知口令安全存儲(chǔ)的解決方案,并定期驗(yàn)證和輪轉(zhuǎn)這些口令以確保安全。
這里指的,其實(shí)就是憑證保險(xiǎn)柜。理想狀況下,用戶不會(huì)知道自己的口令,口令由保險(xiǎn)柜自動(dòng)填充,并且每周輪轉(zhuǎn)和改變。黑客本質(zhì)上是很懶的,他們也有自己的時(shí)間需求。如果你讓他們的破解工作更難,他們就會(huì)轉(zhuǎn)移目標(biāo)而不是投入時(shí)間精力來(lái)跟你死磕。
2. 權(quán)限受到重視
黑客想要高權(quán)限,他們通過(guò)瞄準(zhǔn)IT員工、CEO和供應(yīng)商之類的特權(quán)用戶來(lái)獲得高權(quán)限。雖然公司對(duì)重要系統(tǒng)、應(yīng)用和數(shù)據(jù)采取了安全措施,這些預(yù)防性措施顯然已不再足夠。2017年,懂行的公司最終會(huì)嚴(yán)肅對(duì)待特權(quán)用戶保護(hù)問(wèn)題,而不僅僅是系統(tǒng)防護(hù),他們會(huì)識(shí)別、監(jiān)視特權(quán)用戶的訪問(wèn),關(guān)閉他們不需要的權(quán)限。
有人說(shuō)“我的用戶和外部供應(yīng)商都只能用VPN來(lái)連接,挺好的。”但其實(shí)他們根本不知道這些外部人士到底都在讀取些什么!權(quán)限管理就像電梯間,根據(jù)角色,乘客只能進(jìn)入某些特定樓層,切實(shí)地限制了用戶行為,尤其是在用戶懷有惡意的情況下。即便手握有效口令,只要權(quán)限限制了只能訪問(wèn)第1和第7層,任何試圖闖入第6層的做法都會(huì)觸發(fā)警報(bào)并鎖定電梯。
解決權(quán)限問(wèn)題,同樣需要公司愿意提供關(guān)于潛在危險(xiǎn)的擴(kuò)展教育和培訓(xùn),尤其是在越來(lái)越多的移動(dòng)辦公人員太喜歡犧牲隱私和個(gè)人數(shù)據(jù)來(lái)?yè)Q取訪問(wèn)權(quán),而且天真地以為自己的安全會(huì)被第三方服務(wù)提供商和App作者保護(hù)好的情況下。
尤其是最近幾代數(shù)字原住民,太愿意給出自己的個(gè)人數(shù)據(jù)來(lái)?yè)Q取App、聯(lián)網(wǎng)、信息等等的訪問(wèn)權(quán)了——利用這一點(diǎn)簡(jiǎn)直不要太容易!他們幾乎默認(rèn)這些App開(kāi)發(fā)者、服務(wù)提供商會(huì)確保他們的安全。天真!危險(xiǎn)!綜合考慮如今的網(wǎng)絡(luò)安全技術(shù)缺口、人才短缺、移動(dòng)辦公、App為中心的環(huán)境、更高級(jí)的黑客活動(dòng),我們面對(duì)的根本就是一場(chǎng)完美風(fēng)暴。只會(huì)更壞,不會(huì)更好。
3. 安全責(zé)任推卸升溫
現(xiàn)在,安全公司的客戶傾向于連“假如”發(fā)生網(wǎng)絡(luò)攻擊事件都不提了,直接就問(wèn)“什么時(shí)候”被攻擊?情況會(huì)有多糟?這種自己撒手不管,完全依賴安全公司服務(wù)的思潮,是十分恐怖的。
IoT和對(duì)安全解決方案提供商越來(lái)越重的依賴度,意味著公司企業(yè)可能在數(shù)據(jù)泄露發(fā)生時(shí)推卸其所有權(quán)和事件源頭的責(zé)任。誰(shuí)應(yīng)該對(duì)保護(hù)、維護(hù)和修復(fù)各種技術(shù)負(fù)責(zé)?更糟的是,有沒(méi)有產(chǎn)品被接入根本無(wú)法打上補(bǔ)丁的內(nèi)部系統(tǒng)?很多IoT設(shè)備經(jīng)常因?yàn)椴辉贗T傳統(tǒng)管轄范圍內(nèi)而被無(wú)視掉,但這確實(shí)造成了對(duì)威脅的暴露面。
IoT、自動(dòng)化和云在不斷集成整合,但似乎沒(méi)人完全確定到底誰(shuí)該對(duì)維護(hù)所有這些不同技術(shù)的安全負(fù)責(zé):IoT設(shè)備制造商?安全服務(wù)提供商??jī)?nèi)部IT團(tuán)隊(duì)?個(gè)人用戶?在安全上,木桶理論完全適用——取決于最不安全的設(shè)備或關(guān)系。
當(dāng)數(shù)據(jù)泄露發(fā)生,即便有層次化的安全措施,誰(shuí)負(fù)責(zé)、誰(shuí)有權(quán)響應(yīng)的問(wèn)題,也將引發(fā)激烈的爭(zhēng)執(zhí)和相互指責(zé)。
通過(guò)確保IT與業(yè)務(wù)部門之間的開(kāi)放溝通,理解潛在威脅、安全選項(xiàng)、公司內(nèi)部的挑戰(zhàn)和限制,此類責(zé)任推卸游戲便可有效杜絕。
部分問(wèn)題在于:作為CSO、CISO甚或CIO之類安全相關(guān)責(zé)任人,如果你工作做得超棒,那么你基本上毫無(wú)存在感;否則,你將如坐針氈。如果你定出了不錯(cuò)的策略、規(guī)程和安全措施,通常也得交給IT來(lái)實(shí)施。但如果因?yàn)槟銢](méi)能理解業(yè)務(wù)需求、預(yù)算、各種要求而導(dǎo)致這些措施沒(méi)起到效果,那你就真的可有可無(wú)了。
4. 勒索軟件將失去控制
自2016年1月起,賽門鐵克安全響應(yīng)小組見(jiàn)證了每天平均4000+勒索軟件攻擊:比2015年的數(shù)據(jù)增加了300%。
大多數(shù)公司依賴低開(kāi)銷預(yù)防技術(shù)來(lái)緩解此類威脅,比如防火墻、反病毒解決方案或入侵預(yù)防。然而,這些工具并不足以起到完全預(yù)防作用,被泄露的數(shù)據(jù)大軍赤裸裸地昭示著這些檢測(cè)和事件響應(yīng)方法必須改善。
隨著攻擊者繼續(xù)使用社會(huì)工程和社交網(wǎng)絡(luò)來(lái)鎖定敏感角色或公司內(nèi)部人士,全面安全教育的需求變得比以往更加緊迫。
如果安全策略和技術(shù)不將此類攻擊方法納入考慮,勒索軟件將持續(xù)滲入。還有檢測(cè)問(wèn)題。有些攻擊者能在公司環(huán)境中暢游數(shù)月之久,而網(wǎng)絡(luò)、邊界、終端和數(shù)據(jù)安全系統(tǒng)及過(guò)程之間的隔絕卻限制了公司預(yù)防、檢測(cè)和響應(yīng)高級(jí)攻擊的能力。
最后,新的攻擊界面,比如說(shuō):IaaS、SaaS和IoT。這些東西太新了,公司企業(yè)還沒(méi)弄清保護(hù)它們安全的最佳方法。
5. 駐留時(shí)間看不到多大改善
駐留時(shí)間——從攻擊成功到被受害者發(fā)現(xiàn)的時(shí)間間隔,在2017年不會(huì)看到任何改善。某些極端案例中,駐留時(shí)間甚至能達(dá)2年之久,給公司造成數(shù)每次泄露百萬(wàn)美元的損失。
為什么會(huì)這么久?原因令人無(wú)奈的簡(jiǎn)單——幾乎沒(méi)有對(duì)真正攻擊活動(dòng)檢測(cè)的關(guān)注。隨著惡意軟件時(shí)代的到來(lái),公司、廠商和個(gè)人都繃緊了‘把壞人攔在門外’的弦,整個(gè)行業(yè)快速成長(zhǎng),專注于兩個(gè)基本主題:“深度防御”——用層次化預(yù)防戰(zhàn)術(shù)讓從外部滲透變得更難;以及“惡意軟件識(shí)別”——已證明自身是朝向100%檢測(cè)率的軍備競(jìng)賽。
響應(yīng)技術(shù)和修復(fù)能力都有了進(jìn)步,受害者可以快速隔離和修復(fù)攻擊所造成的損害。但是,問(wèn)題在于,這些技術(shù)對(duì)減少駐留時(shí)間沒(méi)什么卵用;除非響應(yīng)團(tuán)隊(duì)偶然遇到了某些惡意事件,或者意外發(fā)現(xiàn)了某個(gè)異常。
時(shí)至今日,安全人員使用網(wǎng)絡(luò)設(shè)備日志文件來(lái)搜索攻擊是否發(fā)生或已成功的線索,但存儲(chǔ)和分析這大量數(shù)據(jù)是花費(fèi)巨大且低效的。
大量數(shù)據(jù)存儲(chǔ)和大規(guī)模分析引擎的需求,驅(qū)動(dòng)了新安全信息和事件管理(SIEM)產(chǎn)業(yè)。但是,盡管SIEM是個(gè)很好的事后鑒證工具,卻依然對(duì)發(fā)現(xiàn)實(shí)時(shí)進(jìn)行中的攻擊毫無(wú)效果。分析原始網(wǎng)絡(luò)流量以發(fā)現(xiàn)攻擊指征或許會(huì)有所幫助。在黑客攻擊邊界或設(shè)備防護(hù)層時(shí),或者在他們作為無(wú)辜/惡意內(nèi)部人士完全繞過(guò)防護(hù)措施后盡快發(fā)現(xiàn)他們,將大幅縮短他們的駐留時(shí)間。
6. 手機(jī)作為切入點(diǎn)的數(shù)據(jù)泄露將持續(xù)上升
2017年,至少會(huì)有1起(大概會(huì)更多)重大企業(yè)數(shù)據(jù)泄露事件由手機(jī)導(dǎo)致。波耐蒙研究所一份報(bào)告發(fā)現(xiàn),對(duì)一家企業(yè)而言,手機(jī)數(shù)據(jù)泄露的經(jīng)濟(jì)風(fēng)險(xiǎn)可高達(dá)2640萬(wàn)美元。該項(xiàng)調(diào)查中67%的受訪企業(yè)報(bào)告稱,曾因員工使用手機(jī)訪問(wèn)公司的敏感和機(jī)密信息而導(dǎo)致數(shù)據(jù)泄露。
當(dāng)今世界的人員及其手機(jī)都流動(dòng)得太快太頻繁了,老一套網(wǎng)絡(luò)安全策略很難起效。而且,隨著用戶對(duì)其所選手機(jī)權(quán)利意識(shí)的增長(zhǎng),漏洞利用形勢(shì)堪稱成熟。
很多用戶覺(jué)得自己能在對(duì)公司和個(gè)人服務(wù)的持續(xù)訪問(wèn)中保護(hù)好自身隱私。還有很多人絲毫不覺(jué)得自己是安全事件責(zé)任人;如果他們能規(guī)避“安全”以改善用戶體驗(yàn),他們會(huì)的。CISO、CIO和CEO將之視為實(shí)現(xiàn)企業(yè)安全策略的復(fù)雜挑戰(zhàn),而且是不能用通過(guò)SSL發(fā)送電子郵件和日程安排到單一指定OS能解決的。
手機(jī)支付,也將成為安全責(zé)任的一方面。MasterCard的“自拍支付”和英特爾的人臉識(shí)別解鎖軟件 True Key 只是冰山一角。個(gè)人應(yīng)當(dāng)明白,自身生物特征數(shù)據(jù)應(yīng)像其他財(cái)務(wù)和私密數(shù)據(jù)一樣得到妥善保護(hù)。而這,又落到了教育和培訓(xùn)的身上。
公共WiFi接入提供商像香煙盒上印制“吸煙有害健康”標(biāo)語(yǔ)一樣豎起互聯(lián)網(wǎng)安全警示牌或許會(huì)比較好。比如說(shuō),“警告:本公共接入連接不安全,您收發(fā)的信息有可能被罪犯偷看、收集并用以盜取您的資產(chǎn)、身份或私密信息。”
7. IoT = 威脅網(wǎng)?
IoT漏洞和攻擊還會(huì)繼續(xù)增長(zhǎng),對(duì)各類安全措施的標(biāo)準(zhǔn)化需求亦然——今年DefCon上的黑客展示了47個(gè)新漏洞,影響21個(gè)廠家的23種設(shè)備。
還有,今年10月讓包含推特、Netflix、Reddit和英國(guó)政府網(wǎng)站在內(nèi)世界主要站點(diǎn)掉線的大規(guī)模DDoS攻擊,據(jù)說(shuō)也是由不安全I(xiàn)oT設(shè)備組成的Mirai僵尸網(wǎng)絡(luò)造成的。
投放到“智能設(shè)備”上的大量關(guān)注正好印證了IoT日益擴(kuò)張的影響力。現(xiàn)實(shí)卻是,聯(lián)網(wǎng)設(shè)備未必是智能設(shè)備。聯(lián)網(wǎng)的“東西”,通常因其簡(jiǎn)單性而是“即發(fā)即棄”沒(méi)有后續(xù)維護(hù)的,或者干脆就是我們根本不知道的一些內(nèi)置功能或工具——就像Mirai僵尸網(wǎng)絡(luò)中使用的那些路由器。這導(dǎo)致了一種無(wú)視這些“啞”設(shè)備的思維,根本沒(méi)注意到這些設(shè)備雖然“悶不吭聲”,卻是連接到聯(lián)通全球的互聯(lián)網(wǎng)上的。
這還不僅僅是小型消費(fèi)級(jí)設(shè)備,甚或智慧家居或智慧汽車的問(wèn)題。更令人不安的,是對(duì)廣泛使用的大型基礎(chǔ)設(shè)施系統(tǒng)的攻擊,比如電網(wǎng)、航空電子設(shè)備或鐵路系統(tǒng)。
聯(lián)網(wǎng)噴頭忽冷忽熱都是小問(wèn)題,2017年遭遇電網(wǎng)或交通系統(tǒng)大型黑客事件的極高可能性才令人擔(dān)憂。這些來(lái)自50或60年代的技術(shù)依然在為關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)服務(wù),而且?guī)缀跬耆珱](méi)有防護(hù),這才是實(shí)實(shí)在在一點(diǎn)就爆的“啞”IoT。
其實(shí)這是個(gè)認(rèn)知問(wèn)題。普羅大眾似乎不認(rèn)為這些系統(tǒng)與他們?nèi)找骖l繁使用的IoT設(shè)備類似——甚至手機(jī)都能落入該分類范疇。
就像之前的智能手機(jī),IoT設(shè)備被認(rèn)為是新的、獨(dú)立的一類東西,不屬于老一代技術(shù)范疇,不受過(guò)往技術(shù)的限制。但這種想法很是荒謬:智能手機(jī)根本是最常見(jiàn)最廣泛的互聯(lián)網(wǎng)設(shè)備。IoT則是下一個(gè)大規(guī)模風(fēng)行的東西。有些公司這次稍微前瞻了一點(diǎn)點(diǎn),試圖摒除掉IoT上類似手機(jī)當(dāng)前面臨的那些安全問(wèn)題。目前為止,采取的行動(dòng)還是又落回了預(yù)防上,但每個(gè)設(shè)備/連接都是可被攻擊的??s短駐留時(shí)間和保護(hù)IoT安全,取決于能否盡快以最高置信度報(bào)出這些不可避免的攻擊所發(fā)生的時(shí)間。