2020年,无论向前追溯十年,还是向后展望十年,很可能都是其中最为特别的一年——新冠疫情、国际局势、天灾人祸等等,都对社会的发展和走向产生了极大的影响。安全行业毫无疑问也遭遇了极大的危机,其中有危险,也有机遇。让我们借着年终的机会,回顾一下2020年的各种安全“关键词”。
如果不是被Solarwinds抢了风头,勒索软件无疑是2020年最热的安全关键词。2017年的Wannacry及2019年的GandCrab从结果上看并没有对绝大多数企业起到警示的作用,2020全年的勒索软件及附属的数据泄露事件从未中断过。
勒索软件已经高度产业化的当下,RaaS已不是什么新鲜事,不过黑客还是在勒索软件的勒索模式上实现了新的突破。如今绝大多数成熟勒索软件已经实现了数据回传,并以公开数据作为条件逼迫企业或个人支付赎金。在这种情势下,被勒索软件攻击已经可以和数据泄露直接挂钩。
而除了数据泄露这个最直接的影响外,今年勒索软件还间接造成了其他的影响,有些影响比数据泄露还要更为严重。12月初,富士康在美洲的工厂遭DoppelPaymer勒索软件攻击,出现数天停工导致巨额经济损失;9月中旬,德国一所大学附属医院遭勒索软件攻击,患者因转院不及时终不治身亡。其中后者值得深入反思,这是第一起经公开报道的勒索软件直接致死事件。在此之前,网络安全致死更多存在于理论研究,即对联网医疗器械的研究中。但这起事件正式表明,勒索软件,乃至于其他网络安全风险,完全有可能造成经济以外的损失甚至危及生命。
与勒索软件的对抗,也从未中止。美国作为勒索软件最大的受灾区之一,出台了多项措施拟对抗勒索软件。在年初,纽约州议员就提出新法案,欲通过立法的方式禁止政府机构向勒索软件支付赎金,10月美国财政部发布咨询建议,警告向勒索软件支付赎金可能会面临处罚。通过这种方式从源头上阻断无利不起早的勒索软件并非不可,但最大的可能无非是剥开勒索软件花里胡哨的外壳,将勒索软件组织转变为窃取数据贩卖机密的组织,孰优孰劣,目前还未可断言。
相比去年GandCrab宣布隐退的轰轰烈烈,今年勒索软件相关新闻更显得“百花齐放”。其中最吸睛的莫过于10月份Darkside勒索软件组织向慈善组织捐款两万美元,慈善组织得知是脏钱后拒绝接受这笔捐赠,但隐藏了发送地址的虚拟货币无法退回,直到现在也没有归处。同时今年也有多个勒索软件组织宣布隐退,比如Maze、Troldesh等组织都宣布停止“运营”,有的公开了全部密钥,有的则销毁了全部密钥,不过,安全人员后续发现部分组织只是换了一个马甲,这就是后话了。
最后,节选下2020年勒索软件相关部分新闻,有些较为重大,有些比较有趣:
1月
Nemty勒索软件组织建立网站用来公开未付赎金公司数据
2月
DoppelPaymer勒索软件组织开启新服务,售卖未付赎金公司数据
3月
PwndLocker勒索软件根据网络规模自动设定赎金金额、PwndLocker被安全人员成功开发解密工具
四月
5月
ProLock(PwndLocker)勒索软件与其他黑客组织合作、ProLock(PwndLocker)勒索软件解密模块存在问题会导致交了钱也解不了文件、REvil勒索软件组织疑似为未付赎金数据找到神秘买家
6月
勒索软件以“某勒索软件解密工具”为诱饵对受害者被加密的文件再加密一次、本田遭勒索软件攻击
7月
英国网安中心提醒英超球队警惕勒索软件攻击(11月英国曼联球队遭勒索软件攻击)、欧洲刑警组织创建的No More Ransom Project成立四周年,已帮助数百万受害者恢复文件(好耶.jpg)
8月
佳明遭WastedLocker勒索软件攻击,佳能遭Maze勒索软件攻击,GandCrab相关人士在白俄罗斯被捕
9月
德国医院遭勒索软件攻击终致患者死亡
10月
Darkside勒索软件组织向慈善组织捐款两万美元
11月
Enel Group今年第二次遭到勒索软件攻击、据称勒索软件组织大规模招募成员
12月
富士康遭勒索软件攻击致停工、Intel Habana实验室遭Pay2key勒索软件攻击、微软与McAfee牵头成立勒索软件特遣队
勒索软件作为网络安全黑产的“财富密码”,恐怕还要再陪伴我们几年,直到网络安全整体态势转好,部署成本大大增加,可能才会遏制住持续增长的势头。随着勒索平台、勒索内容及勒索方式的多样化,损失也指数级增长,新的一年,勒索软件防范和安全投入仍要继续增加。
自Xshell供应链攻击事件发生后,供应链攻击逐渐成为大型企业安全防护一个不可忽略的方向,AntD彩蛋事件则暴露出开源库同样无法完全信任,而去年针对华硕的ShadowHammer行动则为供应链定向攻击敲响了警钟。此后,大大小小供应链攻击频发,尤其是在开源软件中,Linux、Node、Python等都出现过此类安全问题。此外,企业的信任也逐渐被打破,瑞士公司Crypto AG在年初被曝实控者为CIA,且一直协助政府实施监控计划。年末的Solarwinds行动则是直接引爆了一颗核弹,相较之下,今年其他的供应链攻击便如繁星见日,消隐无踪。
最初此消息是由顶级APT公司Fireeye公开,称其遭到黑客攻击,紧接着Fireeye便联合微软发布了安全报告,牵扯出一众超大型企业,甚至包括美国政府。直至如今,该行动所影响的企业列表还在不断增加,就连美国核武库也不能幸免,同时微软于前日还发布分析报告称发现第二个后门,后续可能还会有更多的细节。
Solarwinds行动的规模之大,技术之深,影响之广可谓前所未有。各家安全企业与安全研究人员、安全团队对此已有大量的分析,虽然意见多有分歧,但均有可参考的价值,读者可自行查阅。
尽管Solarwinds这种级别的供应链攻击对大部分企业来说就是绝望,但是也不能因此放弃了安全的希望。虽然检测、阻断难度高,但这种攻击的成本、复杂度和普通的网络攻击不可同日而语。对于供应链攻击,减少攻击面、安全框架构建、零信任、安全意识,这些都是目前行之有效的解决方案,可供有余力的企业选择。在Solarwinds带动下,明年供应链攻击很可能会掀起一股热潮,而大型企业更应该着重应对,纵然防护体系完善,但被攻击后的利益也同样诱人,可能需要在实战中探索供应链攻击的应对之道。
或许是疫情居家隔离大环境下游戏业的逆势涨幅,或许是开年动物之森和最后生还者2发售带来的游戏热潮,亦或是入侵游戏公司带来的关注度,相比以往开发游戏外挂、破解游戏密钥,今年黑客把更多的精力花在了攻击游戏开发公司上。当然,上面两款热门游戏涉及的公司在今年均未能幸免。
在今年5月份,顽皮狗工作室备受期待的新作最后生还者2剧本和过场动画部分泄露,最初网传为“临时工”报复所为不过很快便遭到官方否定。而在接下来官方发布的报告中,则表明此次泄露事件是公司私密服务器被入侵导致的。此次剧本泄露对以剧情🐶见长的游戏来说毫无疑问造成了巨大的影响。
相比于顽皮狗工作室,动物之森的开发商任天堂就倒霉得多。4月份时任天堂发布公告,因黑客入侵导致16万用户信息泄露,但谁都想不到这仅仅只是开胃菜。短短一个月后,任天堂多款游戏主机和部分游戏源代码就在各个论坛发布。据称此次泄露是任天堂的关联公司BroadOn被攻击所致,且泄露内容容量高达2TB,无论是在任天堂的历史上,还是在游戏业的历史上,都称得上是影响相当严重的一次攻击。此次攻击发生后任天堂迟迟未作出正式回应,但显然其企业网络已是千疮百孔,提升安全等级迫在眉睫。不过任天堂的地球最强法务部在“安全”领域为其挽回了一些颜面,在11月任天堂美国分部起诉亚马逊卖家破解Switch并成功让破解服务下架,为任天堂的安全大厦添了一把泥沙。
今年另两起较大的游戏公司被攻击事件,则与勒索软件年末冲业绩有关,均发生在11月。CAPCOM(卡普空)和Ubisoft(育碧)分别被Ragnar和Egregor勒索软件组织攻击,并被泄露大量机密信息。卡普空大量用户信息和游戏计划被公布,而育碧的游戏新作看门狗军团源代码则被发布在黑客论坛,讽刺的是这个游戏的主题也正与黑客息息相关。
考虑到今年勒索软件的狂欢,受到攻击的游戏公司可能远不止上述几家,但有些无人问津,有些咬碎牙齒咽进肚里,没有成为热点。不过仅此几家的规模和影响已经足以让游戏业重视企业自身安全问题,而不是把重点仅仅放在游戏产品的安全性上。
当然,传统的游戏产品安全性仍不能放松。游戏本身的漏洞,特别是有联网要素的游戏,可能会动摇游戏企业的根基。在今年的3月和12月,漂亮鼠家族族长漂亮鼠就发现了时下热门游戏动物之森和原神的漏洞,而这两个漏洞都极大影响了游戏的平衡。前者甚至在游戏虚拟商品交易市场带动了一条产业链,后者则严重冲击了游戏数值平衡。
游戏行业的安全事件放在大环境中虽然并不算特别多,不过依然凭借事件本身的影响力冲入了安全人员甚至大众的视野。游戏业近些年的发展势头越来越猛,而且也有不少超大型企业如腾讯、微软、索尼等都拥有占比颇高的游戏业务,因此在明年,游戏公司或有游戏业务的公司,特别是安全尚未起步的,便应开始着手打造自己的安全防护体系。
2020作为四年一度的闰年,奥运会和美国大选自然不在话下,成为了黑客关注的焦点。东京奥运会因疫情与社会阻力取消后,黑客便将全部的注意力转向美国大选,而此次的美国大选也的确演变成了群魔乱舞的局面。
在连续指责了四年俄罗斯影响16年大选后,美国这次吸取了上次的教训,在社交媒体,尤其是大选相关主题上加强了监管,但仍无法避免出现安全事件。其中较为典型的,便是多起明星、企业家乃至国家领导人帐号被盗事件。
7月15日,推特上大量知名人士如奥巴马、拜登、比尔盖茨、巴菲特等帐号发布比特币欺诈信息,并且部分帐号还进行了互动交流,行为模拟得相当真实,最终成功将12枚比特币收入囊中。
9月3日,印度总理莫迪连发多条推特,呼吁民众通过比特币为慈善基金捐款,不过很快推特便遭到删除。
10月23日,荷兰安全人员通过社会工程学猜到特朗普推特密码“maga2020!”并成功登录特朗普推特,好在并没有进行任何操作。虽然美国并未对这条消息发过声,但在12月荷兰检方证实了此行为。
第一起事件根据事后调查,为社会工程学所为,第三起事件则暴露了推特对于重要帐号缺乏必要的风控措施。虽然在这一年中,推特制定了黑客信息规范(泄露材料政策)以删除部分内容,也为未证实信息附加了额外描述,但这些功能此次基本沦为了党争的工具,起到的安全作用比较有限。不仅如此,推特还在11月的参议院听证会上惨遭质询,被疑办事不利。如此看来,至少明面上的安全防护措施并没有获得足够的收益。
不过较之推特,美国政府和大选团队也没有好到哪里去。特朗普相关的竞选网站从9月起接连曝出网站被黑后自曝黑料、竞选账户被窃230万美元、选民数据泄露、诉讼证据收集网站数据泄露等多起网络安全事件。美政府也在同一时期经由未知途径泄露了数百万选民信息,被匿名发布在俄罗斯暗网。
至于摆不在明面上的,只能说是,当局者清,旁观者迷了。按照惯例,美国依旧指责了俄罗斯干涉大选,不过特意强调没有成功。有没有呢,美国说有,俄罗斯说没有;成功没有呢,美国说没有,俄罗斯没说话,暂且蒙在鼓里。
参议院听证会质询结束后,推特反应迅速,于11月16日招募代号为“Mudge”的知名黑客加入推特,并担任新设的安全主管一职。未知攻,焉知防,Mudge的加入很可能会成为推特安全的强心剂。
接连两次的美国大选风波及疫情期间社交媒体暴露的种种问题,警示了我们社交媒体安全及舆论战的重要性。不仅仅是网站和系统的安全,内容上的干涉诱导、信息茧房等都将成为社交媒体安全的重点。吃亏后的美国肯定会将这种方式吸纳利用,明年社交媒体很可能也将成为网络战的前线战场。
网络安全法律法规与政策支撑着网络空间监管,在今年,国内外相继出台了各种网络安全法律法规和网络安全政策。
国内方面,去年的《网络安全审查办法》征求意见稿已于今年4月底正式公布,且于6月1日起实施。这项举措对于防范采购产品和服务对关键基础设施带来的风险有较重大的意义。而在隐私保护方面,今年的立法工作成绩斐然。《信息安全技术个人信息安全规范》在今年年初进行了更新并于10月1日起正式实施;《个人信息保护法(草案)》则在人大常委会上进行了审议并公开征求意见,尤其是后者对隐私等概念给出了相对明确的定义和管理措施,对于目前国内的网络安全法律体系是比较重要的补全。
国际上则主要关注一些网络安全发展战略,在2020年1月1日,爱尔兰发布了《2019-2024国家网络安全战略》,阐明了政府对安全网络空间的愿景以及将要采取的行动。欧盟在12月16日发布了《欧盟数字十年的网络安全战略》,并提出了在法律法规、投资及政策工具方面的建议。美国白宫在9月4日颁布《第五号太空政策令》,乍听下和网络安全没什么联系,但实际上其中多次提到网络安全,并认为网络安全会成为太空战略的桎梏。
各个国家的网络安全发展和法律法规建设程度各有不同,战略和新发布的法律法规落脚处也不同,但相同的是,网络安全的重要性越来越高,与其他行业的融合越来越深,网络安全行业的分割越来越细,这些发展路径对于起步稍晚的我国来说还是值得借鉴学习。
最后值得一提的是,国际上利用法律法规和行政手段打击网络犯罪的手法越来越娴熟,先锋队微软仅在近期就分别利用商标法及联合Godaddy缓解了Trickbot和Solarwinds攻击的影响;美国司法部则直接扣押了涉嫌钓鱼攻击的两个新冠相关域名。明年肯定会有更多的企业和政府部门利用这种手段,直接破坏黑客的网络资产。
其实本来这里的关键词选择为工控安全,但考虑到一是工控安全与网络战息息相关,二是今年国际关系风云突变,便将工控安全调整为与其重合度较高的网络战。
在之前的关键词社交媒体和供应链中其实已有了网络战的影子。当前环境下,内有新基建大潮,物联网和工控设备激增,国计民生更多维系在云上;外有军事大国探索网络战新形势,纳卡冲突双方网络情报作战与社交媒体舆论战双管齐下,网络战军备竞赛俨然开始。
美俄作为网络战大国强国自不必说,在舆论操纵、信息窃取等多种作战方式上已交手多个来回。特朗普也在年中时正式承认曾授权对俄罗斯发起网络攻击并在2020年国防授权法案中对网络作战部队做出发展规划。美俄以外的国家,不论是发达国家还是战事多发的国家,都选择在今年成立或扩充网络战部队及提升网络攻击与防护能力。例如英国首相近期宣布已成立网络部队并向北约提供网络进攻能力,以色列选择加强以水行业为首的工业安全防护并已在较大区域实现安全措施落地,伊朗也被美国指责今年首度利用网络部队尝试干涉美国大选。
在今年国际政治背景下,网络战尤为突出的一个特点便是去除了和平时期的种种限制枷锁,没有掩饰,也没有底线。纳卡地区,刀光剑影的战场之下,网络战暗流涌动,尤其是舆论战在双方正面战场势均力敌的情况下被当作敌后打击武器大肆使用。伊朗以色列之间的网络战也纷争不断,伊朗首都设施不明爆炸、港口IT系统服务中断,以色列供水系统被入侵等等,尤其是攻击供水系统已经切实对普通民众造成了极为严重的伤害,更增强了网络战的战争属性。
即使是没有直接军事冲突的地区,网络战也不容小觑。年末的Solarwinds便影响到了美国的核设施,日本核设施也在上个月遭到未授权访问,大大小小因网络攻击造成的停电停工在全球遍地开花。虽然国际法在网络攻击归因、干涉等方面有适用条例,然而一旦攻击成为现实便难以挽回,政府和军事单位应时刻保持网络战的战备态势。
以色列在网络安全行业的发展经验,部分也适用于网络战发展。网络安全政策制定、网络安全法律法规颁布、网络安全产业支持、网络安全教育建设、网络安全研究合作,都可作为明年及之后几年的发展目标,网络安全行业也有望借着这股新风实现大发展。
2020年绕不过去的一个话题就是新冠疫情,从新年伊始端倪初现到年终国际疫情加剧,新冠从未淡出过大众的视野。伴新冠而来的物理上的限制及心理上的不信任感,给安全行业中的一些细分领域造成了比较严重的冲击,比如等保测评、安全服务;与此同时也极大开拓了远程办公安全的市场。
其中比较突出的,当属Zoom。不到一年时间,Zoom市值从最初的200亿暴涨至如今的1200亿美元,但安全问题的增速曲线比市值还要陡峭。在工作秩序初步恢复的三月,安全人员和黑灰产已经向Zoom开了第一枪:暗网市场出售50万Zoom帐号、Zoom 0day漏洞悬赏50万美元以及陆续爆出的高危漏洞如Zoom炸弹等让Zoom的安全问题赤裸裸暴露在公众面前。一连串安全事件发生后,于四月初Zoom执行官宣布开启90天计划,以提高Zoom安全性,美国政府也从旁协助,利用行政和法律武器保护Zoom安全。在三月底,美国司法部就发布公告称利用Zoom漏洞将获法律制裁。Zoom也从产品角度进行了加固,5月正式推出端端加密功能并向付费用户开放,并分别在6月和10月将此功能推广到全体用户试用。9月份则为帐号登录系统增加了双因子认证。
尽管如此,Zoom的安全性仍旧难说有显著的提升。每个月Zoom都会曝出新的高危漏洞,并被利用在各种节日进行钓鱼攻击,而来自用户和政府的压力却与日俱增。早在4月就有安全人员对英国政府使用Zoom表示不满,美国纽约则禁止全市学术机构使用Zoom,Google也同样禁止员工使用桌面版Zoom,其后Zoom在11月更是被迫与FTC(美贸易委员会)达成和解承诺升级安全措施。虽然在远程办公市场Zoom是当红的炸子鸡,但参考到数据泄露和安全问题所面临的高额罚金和沉重惩罚,Zoom的安全性并没有稳固到可以支撑它的地位,宛如空中楼阁。新的一年,远程办公软件的安全属性想必会更重,且看Zoom会如何应对安全挑战。
需要增长的,除了远程办公软件的安全性,还有公众的安全意识。11月份,荷兰媒体一名记者便通过欧盟工作人员推特上的信息,成功“入侵”一场秘密理事会。相比于事件暴露出的网络和权限问题,工作人员的安全意识薄弱显得更为严重。如今国际疫情覆水难收,Google等企业刚刚宣布再次将居家办公时间延长半年之久,企业的网络安全意识培训也将成为安全防护的重中之重。
2020年的历史,很多人都认为会是近些年史书中最厚的章节,对网络安全行业或许也是如此。七是一个有魔力的数字,所以出于私心和视野所限,关键词也选取了七个,难免有所遗漏。欢迎各位读者分享你的2020安全关键词或对内容纠错补充,在此提前祝大家新年快乐!(2020年12月24日)
文末福利
在评论区写下你的2020年网络安全关键词,我们将选出留言点赞量最高的5位用户,送上安全客定制帆布包+神秘礼物一份~
开奖时间:2021年2月22日15:00
- End - 精彩推荐 一文打尽 Linux/Windows 端口复用实战 新型Linux恶意软件竟然可以从超级计算机中窃取SSH数据 App隐私合规简论 惊喜驾到 | 2020年安全客认证作者奖励出炉啦!
戳“阅读原文”查看更多内容
本文始发于微信公众号(安全客):文末福利 | 2020网络安全资讯关键词盘点
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论