2017年网络安全大事记
|
√ “犯罪即服务”的商业模式是勒索软件、恶意软件传播以及DDoS等大规模恶意行为泛滥的关键原因。“犯罪即服务”极大的降低了攻击成本和攻击难度,即使是初级罪犯也可随时发动网络攻击,再借助“零日漏洞”,极易给全球互联网带来重大破坏。借助“永恒之蓝”漏洞的WannaCry勒索软件,其快速传播并造成巨大损失,就是非常典型的例证。 √ 网络武器已被全世界采用。网络攻击背后的国家力量日趋明显,无论是对关键设施的长期渗透,各个国家竞选系统的入侵,还是对社交舆论的风向控制,以及对“零日漏洞”的交易、利用,甚至是对加密货币的攫取,背后都闪现着国家支持的黑客的影子。网络攻击,已经横跨政治、外交、商业、军事、关键基础设施和社交媒体等各个领域。网络安全,可以在技术上打破或超越传统资源与能力和规则限制,弱小的国家可以借此挑战大国。数字化时代必定导致数字化国防,网络成战场,代码即武器。 3. 邮件安全问题突出 电子邮件成网络安全重灾区,不管是鱼叉式邮件还是商业欺诈,都有着惊人的破坏力。前者是发动APT攻击和大范围传播恶意软件的典型入口,后者据FBI的统计,2013至2016年商业欺诈邮件(BEC)已造成53亿美元的损失。 2017年较大的电子邮件安全事件 1月: 由于葡萄牙“首席环球”公司的邮件服务器被拖库,著名足球明星贝克汉姆过去几年的邮件被下载并曝光。 2月: 360互联网安全中心发布预警,与邮件安全相关的商业欺诈将给国内企业带来50亿元以上的经济损失; 东欧网络犯罪分子通过钓鱼邮件入侵了全美快餐连锁Chipotle的POS机系统,盗走数以百万的消费者信用卡数据。 3月: 一名48岁的立陶宛人,被控通过钓鲸邮件骗取谷歌和FaceBook两家公司各1亿美元; 一种鱼叉式钓鱼邮件借美国税季大肆传播,100家机构中的12万人中招。 5月: WannaCry勒索病毒肆虐全球180个国家,虽然并未确认初始攻击载体为钓鱼邮件,但至少钓鱼邮件是其重要的传播手段之一。 6月: 美国南俄勒冈大学承认,今年4月受到邮件诈骗,把190万美元转到骗子的账户; 乌克兰一家金融科技公司的系统被钓鱼邮件入侵,通过微软漏洞在全球传播Petya,俄罗斯、欧洲、印度和美国数百家机构受到影响。 8月: 加拿大麦科文大学声明,落入商业邮件欺诈圈套,汇出1140万美元。 12月: 腾讯安全通报一起大范围钓鱼邮件攻击事件,52个国家的网站被利用,近3万家中国企业受影响。 邮件安全带来的启示: √ 电子邮件内容事关重大。由于电子邮件办公已经在各行各业充分普及,从个人敏感信息到重要商业机密,再到核心知识产权,电子邮件都是最为主要的传输通道,一旦泄露后患无穷。 √ 电子邮件的安全地位不容忽视。不管是大规模的恶意软件传播,还是针对性的APT攻击,无论是广撒网式的个人骗局,还是精心设计的商业欺诈,邮件都是第一入口和最大入口。 √ 警惕网络钓鱼和商业欺诈邮件的激增。据美国联邦调查局今年5月的统计,BEC(有时也称钓鲸邮件)在两年时间里,达到了2370%的惊人增长率,而钓鱼邮件的增长率已经超过了恶意软件。虽然邮件安全网关和机器学习等技术手段可以在一定程度上进行防范,但建立起良好的网络安全意识教育机制,才是应对社会工程手段攻击最为有效的方法。 二、漏洞篇 1. 漏洞数量增长史无前例 2017年各大漏洞库公布的漏洞数量较以往呈明显激增态势。 # 国家信息安全漏洞库(CNNVD): CNNVD公布的漏洞数量为14,748个,2016年全年的漏洞总数为8,753个,预期年增长率至少上升70%。而CNNVD自正式统计漏洞数量以来,从2010年至2016年,增长率最高才为20%。 # 美国国家漏洞库(NVD): NVD公布的漏洞数量为14,277个,2016年全年的漏洞总数为6,515个,预期年增长率至少上升170%。 # 公共漏洞披露平台(CVE): CVE公布的漏洞数量为17,760个,2016年全年的漏洞总数为10,703个,预期年增长率约为70%。 (注:以上2017年的漏洞数量均为截止到12月19日的统计数字) 漏洞激增的部分原因,是因为各大漏洞公告平台在各自的数据库中开始囊括更多的漏洞。另一个重要原因则是云计算、移动互联网、物联网设备的普及,各种网络应用的爆发,以及更多的人员进入安全领域并开始关注漏洞。 此外值得注意的是,美国的国家漏洞数据库(NVD),漏洞报告从提交到收录进数据库的平均时间是33天,而我国的国家漏洞数据库(CNNVD)是13天。也就是说,在漏洞细节提交后,订阅了NVD的用户要平均等33天才能收到警告,而在中国订阅了CNNVD的用户,平均13天内即可收到警报,2倍于NVD的速度。 2. 漏洞可能出现在各个层面 从硬件到软件,再到虚拟化、云计算,从疏忽大意形成漏洞,到主动防护反而被黑,从终极破解方法到原始遗留问题,漏洞可能在各个环节,因各种原因,以及各种面目出现。 2017年较为特殊的漏洞事件 1月: 卡巴斯基杀毒软件证书密钥出现漏洞,攻击者可通过碰撞轻易伪造证书,实现中间人劫持。 2月: “地址空间布局随机化”(ASLR)技术被破解,包括英特尔、AMD、三星、Nvidia、微软、苹果、谷歌和Mozilla等芯片制造商和软件公司均受影响。 3月: Cisco IOS&IOS XE Software CMP 出现远程代码执行漏洞(CVE-2017-3881),允许未授权访问,远程攻击者可以重启设备、执行代码,提升权限。 4月: 苹果设备WiFi芯片出现任意代码执行缓冲区溢出漏洞,该漏洞影响 iPhone 5 及以上版本,iPad 4代及更新机型,还有 iPod touch 6代及更新版本。 5月: 西班牙电信德国子公司证实,黑客利用SS7漏洞窃取验证码,然后将客户账户上的资金洗劫一空。这是第一起SS7漏洞公开证实的攻击; 英特尔AMT、ISM、SBT固件6到11.6版出现漏洞(CVE-2017-5689),攻击者可获得控制权限。 7月: 博通WiFi芯片固件出现“堆溢出”漏洞(Broadpwn),约10亿台苹果和安卓受此影响。 8月: 车载信息控制单元中的英飞凌2G基带芯片出现漏洞,福特、英菲尼迪、日产聆风、宝马等车型均受影响; 英特尔CPU安全控制机制ME上运行的固件出现漏洞,可被利用成为后门。 9月: 蓝牙通信协议出现8个漏洞(Blueborne),理论上可影响全球所有使用蓝牙的设备。 10月: 奥地利、美国和澳大利亚三国研究人员研究出Rowhammer终极攻击方法,可攻破目前所有可用防御措施,且可以远程进行,包括云端主机; 无线安全协议WPA2出现漏洞KRACK(密钥重装攻击),理论上可以对任何支持Wi-Fi的设备产生影响; 德国半导体制造商英飞凌的某些芯片,可信平台模块出现漏洞(CVE-2017-15361),该漏洞允许知晓RSA公钥的攻击者获取私钥; 国际海事卫星公司的 AmosConnect 8 网络平台被曝两个漏洞,攻击者可以获得远程访问特权,接管整个平台。该平台用于监视轮船IT和导航系统,以及收发消息、邮件,浏览网页等。 11月: 研究人员揭示微软Office公式编辑器漏洞(CVE-2017-11882),攻击者可完全控制系统,该漏洞已存在17年; 苹果macOS 10.13出现高危漏洞,物理接触设备无需口令便可获取管理员权限(以root用户登录)。 12月: 包括汇丰银行、英国西敏寺银行、Co-op银行、美国银行等移动应用,出现由于“证书锁定”安全机制带来的严重缺陷,数百万用户面临中间人攻击的风险; 传输层安全协议(TLS)19年前的ROBOT漏洞再现,攻击成功后,攻击者可被动监视并记录流量,发动中间人攻击。 漏洞发现带来的几点启示: √ 安全产品不一定安全。无论是杀毒软件还是防火墙,抑或是安全机制,用于安全防御的事物本身也能成为漏洞的藏身之处。 √ 底层漏洞防不胜防。芯片或固件一旦出现漏洞,卸载软件、打补丁、重装操作系统均无法彻底解决问题,而更新固件或是更换芯片意味着巨大的困难。 √ 通信协议或标准漏洞影响面巨大。动辄影响上亿的设备,而协议的更新换代则需要度过漫长的时间周期。 √ 数字化应用的爆发带来漏洞的爆发。无论是移动设备还是物联网设备,无论是虚拟化还是云计算与开源社区,在今年都呈飞速上升与扩展的趋势,因此漏洞的爆发应在意料之中。 √ 长老级漏洞与难打的补丁现象固疾难除。出于各种原因,许多补丁事隔很长时间才能得到修复,甚至是永远不会修复。而只有修复之后,才谈得上更新。最后,对老旧系统的更新可能才是真正的挑战。 (编辑:核心网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
