无法预测的网络攻击和缺乏想象力

“我们习惯于在威胁发生后做出反应，而不是为它们做准备，”记者Kim Zetter告诉Black Hat。

调查记者Kim Zetter周四（8月11日）告诉美国黑帽代表，信息技术行业仍然落后于攻击者的两步，使企业遭受一波又一波可预测的攻击。

Zetter在发表主题演讲时指出，自2010年Stuxnet恶意软件阻碍伊朗核离心机以来，已经取得了许多成就。

被认为是世界上第一个网络武器的Stuxnet突出了工业控制技术中很少有人注意到的漏洞。Zetter表示，这次攻击将网络安全提升为国家安全问题，但攻击机制“不应该让任何人感到惊讶”。

这位资深的infosec beat记者表示，在谷歌，RSA和其他数十家公司的Aurora活动中也存在同样的模式，这是一次广泛的攻击，预示着2010年“大规模间谍活动和供应链黑客的新时代”。

Zetter告诉Black Hat USA：“[Aurora行动]是XX发起的一场广泛的间谍活动，打击了34家公司，并针对谷歌，Adobe和Juniper的源代码存储库，其中包括针对RSA种子存储库的首批重要供应链业务之一，RSA种子存储库是其多因素身份验证系统的引擎。

Zetter继续说道：“Aurora向公众介绍了APT（高级持续性威胁）和民族国家黑客不断增长的能力。

“安全社区在那之前一直主要关注网络犯罪分子，现在开始更多地关注民族国家行为者和复杂的技术，这些技术使网络犯罪分子的行为感觉有点古怪，而黑客行动变得更加激进，更具影响力。

毁灭之浪

随之而来的是越来越复杂的网络攻击，包括针对美国人事管理办公室，DNC漏洞，NotPetya和SolarWinds的针对性攻击。

Zetter说，再一次，攻击者的日益成熟不应该让人感到惊讶。

她说，自2010年以来的12年中，网络安全发生了很大变化和改善，但尽管政府越来越关注威胁和大规模支出，但当“威胁行为者转向新的，但通常是完全可预测的方向”时，世界仍然感到惊讶。

“有几件事确实让我们眼花缭乱，”Zetter说。

“这是去年黑客在构建过程中向SolarWinds软件注入后门后，有人告诉我的。软件制造商拥有所有这些安全机制来检测源代码存储库中对源代码的更改，但没有一个可以保护构建环境，因为没有人将恶意软件注入软件构建过程。

Zetter继续说道：“你发现了这个模式吗？人们对黑客的下一步行动缺乏想象力或缺乏预期。

她补充说：“我们习惯于在威胁发生后对威胁做出反应，而不是为它们做准备，或者忽视理性的声音，这些声音警告即将发生的问题，只是在它们发生时争先恐后地采取行动。

勒索软件诈骗管道

同样，勒索软件日益增长的威胁以及其中向更引人注目的目标和需求规模的转变，正如去年对Colonial Pipeline的攻击所证明的那样，也是可以预见的。

Zetter说：“Colonial Pipeline是一个分水岭时刻，但如果有人对这次袭击感到惊讶，他们不应该感到惊讶，因为当Stuxnet在2010年被发现时，这是完全可以预测的 - 它揭示了漏洞和关键基础设施......在此之前，安全社区主要关注IT网络。

几个月后，Colonial Pipeline的首席执行官告诉国会山的立法者，尽管它确实有应急响应计划，但该响应计划不包括勒索软件 - 尽管勒索软件攻击者自2015年以来一直瞄准关键基础设施。

因此，Zetter说，如果Colonial Pipeline看起来，迹象就在那里，并补充说她不想殴打该组织 - 尤其是因为许多关键部门组织仍然同样脆弱。

“今天，黑客如何经营他们的犯罪企业没有什么实质性的区别。他们仍然在地下论坛上组织起来，他们仍然在等级结构中作为企业运营，他们仍然赚钱 - 很多。

“主要区别在于他们已经有十多年的时间来完善他们的运营并变得更加业，”Zetter总结道。

“现在他们为工人提供有薪工作，甚至带薪休假。但他们仍然争吵不休。

“他们仍然相互交叉，他们仍然认为执法部门不会抓住他们。有时他们是对的。因此，在阳光下，几乎没有什么新东西，“美国网络安全记者总结道。

Zetter的主题演讲题为“前Stuxnet，后Stuxnet：一切都变了，什么都没有改变”。

原文始发于微信公众号（xiaozhu佩奇学安全）：无法预测的网络攻击和缺乏想象力