【秦安點評】網絡空間風乍起,于無聲處聽驚雷。網絡安全既是國家安全問題,也是重大民生問題,秦安戰略頭條號邀請專業人士,專門推出《網空閑話》專題,深度剖析網絡空間蘊含的新質生產力、文化力、國防力,把新領域的熱點、焦點、難點問題,與大家的生活、工作、學習聯系起來,有助于做好網絡安全知識普及和網絡強國意識提升,讓大家在網絡空間新時代有更多獲得感、幸福感、安全感。
威脅情報平臺供應商HackNotice分析了過去三年里超過6萬份入侵事件報告,并發現了一些令人不安卻意料之中的結果——入侵事件增長的高速度和官方報告入侵事件數量的相對下降。其一,當黑客們變得越來越老練的時候,防御者們可能花費了太多的時間和精力在閃亮的新工具上,而不是在網絡安全的最最基礎的措施上。其二,企業把防御力量集中在了錯誤的領域。黑客屢屢得手的重要原因,即他們的目標不是基礎設施,而是背后的人。龐大的預算,時髦的最新概念,最先進的防御系統,抵擋不住一次精心設計的釣魚郵件和一個弱口令。正所謂基礎不牢,地動山搖。新常態下,人是網絡安全的邊界。人性的弱點怎么解決,網絡安全文化應該是一條路徑!
主要發現
在《安全周刊》獨家分享的分析報告中,該公司調查了從2018年到2020年公開報告的67529起入侵泄露事件。這些報告的來源如下:
黑客披露的包含被攻陷公司數據的泄露報告(41,030起)。
新聞媒體;這是由一個在線新聞服務首先公布的一份入侵報告(15219起)。
由于最先被黑客披露的數據泄露量是新聞服務機構的2.7倍,這意味著,為了自己或供應商的利益而監控新聞的公司,最好還是監控一下暗網。
勒索軟件,當受害者拒絕支付贖金時黑客泄露的數據(988起)。
這并不能說明成功地勒索軟件攻擊的數量,而只能說明在日益頻繁的雙重勒索攻擊中,有多少家公司遭到入侵,但拒絕支付贖金。第一起此類入侵事件發生在2020年4月,但到2021年1月1日,數量增至近1000起。這意味著雙重勒索攻擊正在增加,并可能在2021年及以后繼續增加。
網站污損,即網站被攻破,內容被黑客更改作為證據(2243起)。
網站污損一直以來都很受黑客主義者的歡迎,他們希望借此表明自己的觀點——通常是政治上的或者道德上的。十年前,這種攻擊很常見,但近年來似乎不怎么流行。然而,根據HackNotice的數據,從2019年7月又開始增加,令人關注的是從2020年4月開始大幅增加。考慮到近年來地緣政治的動蕩狀態,這或許并不令人意外。
很難預測這種情況是否會持續下去,但它很可能反映出國家和國際地緣政治的狀況。從事政治或道德敏感領域工作的公司應該格外小心,保護自己的網站免受毀損攻擊。
官方披露,指將入侵或數據泄露情況報告給官方來源并予以披露——如州一級的司法部網站和美國衛生與公眾服務部被入侵(9131起)。
這里有趣的一點是,通過官方渠道報告的入侵數量相對較少,約占總數的13.5%。這一比例已逐漸下降,最初分析開始時為25%。
關于發生在2018年至2020年的入侵事件的最新分析中,有兩個元素特別有趣:黑客成功次數的穩步增長,以及通過官方渠道披露的入侵事件的百分比下降。
2018年,HackNotice發現了29562處報告的入侵事件。截至2019年12月,發現的總數已上升至44863起,同比增長51.7%。到2020年12月,總數已經上升到67529起,比2019年上升了50.5%。從絕對數字來看,2019年相比2018年增加了15301起,2020年比2019年增加了22666起。
一個顯而易見的問題是,當我們增加了安全預算,推出了更多據稱更優秀的安全產品時,為什么黑客會屢屢得手,攻擊成功?
史蒂夫·托馬斯認為,這是因為企業把防御力量集中在了錯誤的領域。“黑客正在贏得網絡戰爭,”他說,“主要是因為他們的目標不是基礎設施,而是人。”“網絡釣魚、偽造證書、盜取個人賬戶以進入企業賬戶……所有主要的攻擊載體都依賴于這樣一個事實:普通員工不知道自己暴露在多大的風險之下,他們對安全的重視程度遠低于安全團隊。”
網絡安全專家解讀
Josh Angell,弗吉尼亞州nVisium的應用程序安全顧問,他認為這一統計數據表明,“人為錯誤仍然是這些事件的主要原因,如果這些網絡和系統維護的人,使用過時的工具和安全編碼實踐,還有那些訪問公司電子郵件和敏感的客戶數據的人,不遵守行業最佳實踐,結果可想而知。”
總部位于加州圣何塞的Netenrich公司首席信息官布蘭登·霍夫曼(Brandon Hoffman)解釋說:“有幾個因素導致了入侵事件的增加。”他說:“其中一些確實與對手的聰明才智有關,但大部分似乎與未落實基本安全控制有關。安全工具已經有了很大的進步,但是安全作為一門學科的重點似乎更多地放在高級工具的使用上。這帶來的挑戰是時間和資源。”
總部位于舊金山的Digital Shadows公司的威脅情報團隊負責人Alec Alvarado總結了這個觀點:“黑客/壞人之所以能贏得網絡對抗,僅僅是因為他們堅持了行之有效的方法。即使是最強大的安全團隊、最廣泛的網絡安全實踐和數百萬美元的網絡安全預算,也會因為一封精心設計的釣魚郵件或一個弱口令的一次點擊而失敗。”
言外之意很清楚。當黑客們變得越來越老練的時候,防御者們可能花費了太多的時間和精力在閃亮的新玩具上,而不是在安全的最最基礎的措施上。
官方通報機制失效
HackNotice研究的第二個值得注意的發現是,通過官方渠道披露的入侵泄露數量有所下降。考慮到目前存在的越來越多的國家和國際入侵事件披露法律,這似乎令人驚訝。HackNotice的首席執行官托馬斯將這種明顯的反常現象歸結為,美國有很多州違反了法律,相關規定要求必須提前30天或更早的時間內通知客戶。
他告訴《安全周刊》說:“美國沒有聯邦安全攻擊事件通報法,所以你必須根據各州的情況行事。”然而,各州的法律規定各不相同,法律允許被入侵的公司在必須披露信息前30天甚至更早時間內披露信息。新聞媒體、勒索軟件和破壞團伙最終在官方通知之前披露信息,所以我們看到官方披露信息的占比正在減少。”
把泄露事件的通報拖延到最后一刻,幾乎像是在玩弄系統。Netenrich的Hoffman同意這一點。他說:“我們安全行業也懷疑,實際上有人違反了通報法規,或者有人濫用通知期限,為投資者和公眾提供一個更美好的前景。”“換句話說,如果一個組織受到了攻擊,根據法律法規,他們的通報窗口期是90天,他們在用了89天進行最大限度的分類和清理工作后才會宣布,這樣當他們宣布時,他們就可以聲稱一切都得到了解決。”
Angell補充道:“入侵事件通報法規并不能保證公司愿意犧牲投資者的信心或冒著被起訴的風險來披露每次出現的入侵情況。”
Digital Shadows的Alverado對此有一個有趣的補充。他承認,目前的通報法規給公司提供了回旋的余地,以避免股票價值和品牌形象受到損害,但他補充說,“我們經常聽到一家公司宣布‘發生了網絡安全事故,但沒有跡象表明數據被竊取’。”這應該會讓大多數人感到驚訝,因為這不符合典型的威脅行為者的動機,坐在一個網絡上,而不提取數據或找到方法來賺錢。“當我們聽到‘事件’的時候,我們可能會自動懷疑‘可能的攻擊入侵’。
結論
對過去三年6萬起入侵泄露事件的分析提供了大量數據,揭示了哪些地方出現了問題,并突出了未來可能出現的趨勢。重要的是,這表明網絡犯罪分子正在取勝。對于公司來說,可能至少有一個部分的解決方案,那就是在基本安全方面做得更好,而不是把錢砸在最新、最閃亮的產品上。
這個研究還表明,如果了解正在發生的事情很重要,那么通過威脅情報監控暗網,而不是監控新聞源,可以獲得更準確的態勢。它還表明,目前的安全事件通報法規并不真正適合于掌握安全事件態勢的目的。
關于HackNotice
HackNotice是一家總部位于德克薩斯州奧斯汀的初創公司,成立于2018年。關于此次調查,首席執行官兼聯合創始人史蒂夫·托馬斯告訴《安全周刊》,該公司從數百個來源收集黑客通知(數據泄露、破壞、勒索軟件等),全天搜集官方數據泄露網站、勒索軟件泄露網站、API、twitter賬戶和標簽。所有這些事件都進入一個隊列,每個事件都由安全研究人員檢查。首先刪除所有的重復和擾亂數據,識別被入侵的公司,并將這些事件添加到公司的專門系統中。最后使用機器學習來分析每個事件的披露聲明,以確定哪些數據被披露。
