安全動態(tài)

企業(yè)端安全如何防護?面對Coinbase交易所被攻破,值得所有安全廠商沉思

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2019-11-18    瀏覽次數(shù):
 

信息來源:4hou

前段時間,數(shù)字貨幣交易中心Coinbase爆出被黑事件。攻擊者以釣魚郵件方式向Coinbase員工私人郵箱發(fā)送電子郵件,完成前期潛伏、滲透工作后;在某個時機,攻擊者以兩個 Firefox 0day 漏洞發(fā)動“猛攻”。雖然,Coinbase Security 很快檢測到并阻止了該攻擊。但值得注意的是,這場針對交易所企業(yè)“精心蓄謀”的攻擊,卻是從員工個人入口“破門而入”,完全繞過了基于企業(yè)數(shù)據(jù)搭建起來的封閉防御系統(tǒng)。而這,不僅引發(fā)了諸多安全廠商的反思,它也引發(fā)了一個新的命題:個人端的完整數(shù)據(jù)對未來企業(yè)端安全的重要性。

擁有近乎固若金湯的安全數(shù)據(jù)與防御系統(tǒng),Coinbase為何仍難逃被攻擊厄運?

今年8月,數(shù)字貨幣交易中心Coinbase表露:其遭遇了一場使用網(wǎng)絡(luò)釣魚、社會工程學(xué)策略的復(fù)雜攻擊。攻擊目標(biāo)為侵入該交易中心的系統(tǒng)軟件,一旦攻擊者達成目的,他們將竊走價值數(shù)十億美元的數(shù)字貨幣??v觀整個事件過程,頗具“戰(zhàn)術(shù)性”。

攻擊起源于2019年5月30日(星期四),十幾位 Coinbase員工的私人郵箱收到了一封電子郵件。郵件稱其是來自劍橋大學(xué)研究資助管理員 Gregory Harris。因為該電子郵件來自合法的劍橋域名,又不包含惡意內(nèi)容,同時還通過了反垃圾郵件的檢測以及可引用收件人的背景,因而并沒有引發(fā)Coinbase員工的懷疑。

接下來幾周,Coinbase的員工又陸續(xù)收到了類似的電子郵件。依然沒有任何可疑之處。此時,員工還與攻擊者展開了郵件往來。

然而,就在6月17日上午6:31,Gregory Harris 發(fā)送了一封新電子郵件,與以往不同:這一次它包含一個 URL,當(dāng)在 Firefox 中打開時,會自動安裝能夠接管點擊人電腦的惡意軟件。精心策劃、蓄謀已久的網(wǎng)絡(luò)攻擊正式開始。

雖然在攻擊正式開始后,Coinbase Security 很快發(fā)現(xiàn)并進行了及時阻止。但這場有驚無險的“襲擊風(fēng)波”,卻引發(fā)了很多廠商的關(guān)注與反思:作為數(shù)字貨幣交易中心,Coinbase擁有可謂是固若金湯的安全大數(shù)據(jù)和防御系統(tǒng),但為什么依然遭遇了網(wǎng)絡(luò)攻擊呢?企業(yè)端的安全又該如何保障?

狡猾黑客早已改變攻擊路數(shù),迂回作戰(zhàn),個人成為突破口

上述的事件中,攻擊者達成目的的一個關(guān)鍵點在于:他成功繞過了基于B端企業(yè)數(shù)據(jù)搭建起來的封閉防御系統(tǒng),而是通過釣魚郵件方式攻擊員工私人郵箱進而一步步接近目標(biāo)的。

也就是說,黑客們似乎變的愈發(fā)聰明,他們的攻擊方式也在逐步“升級”,他知道企業(yè)擁有B端安全數(shù)據(jù)與防御系統(tǒng),所以他不正面迎敵,而是采取迂回作戰(zhàn)方式,先攻擊對于企業(yè)組織來講最為重要的“員工”——以“C端”個人為突破口,并橫向移動攻擊C1、C2、C3……由點及面(這樣做保證了即使沒有攻破C1、C2,還會有C3、C4等等,再眾多的個體中總會有容易“淪陷的員工”存在),待一切都鋪墊好、時機成熟時,再“由面到體”給予核心目標(biāo)致命一擊。

試問,面臨黑客如此縝密的、鋪面連環(huán)式的針對“個人攻擊的戰(zhàn)術(shù)”,面對茫茫如海的用戶“端口”,如果僅依靠傳統(tǒng)的防護思維,僅依靠企業(yè)端封閉的防御系統(tǒng),哪家企業(yè)、哪家網(wǎng)絡(luò)安全公司敢說,能確保企業(yè)安全萬無一失、不被攻陷?

大環(huán)境已變,企業(yè)邊界正在瓦解,基于邊界的安全防護體系無法支撐企業(yè)防護

更為嚴重的是,企業(yè)安全面臨的是不止于黑客攻擊手法的變化,事實上,企業(yè)所處的環(huán)境也早已發(fā)生改變——企業(yè)邊界正在瓦解,基于邊界的安全防護體系正在失效。 

傳統(tǒng)基于邊界的網(wǎng)絡(luò)安全,在某種程度上是默認了內(nèi)網(wǎng)是安全的,認為只要構(gòu)筑了企業(yè)的數(shù)字護城河,通過防火墻、WAF、IPS等邊界安全產(chǎn)品或方案,就能實現(xiàn)企業(yè)的網(wǎng)絡(luò)安全。然而,在零信任的網(wǎng)絡(luò)安全世界里:網(wǎng)絡(luò)內(nèi)部和外部的任何人、設(shè)備、系統(tǒng)都不能信任。 

而事實上,早在2010年震驚世界的“震網(wǎng)事件”中,就已證明基于邊界的安全防護體系已無法支撐企業(yè)防護。據(jù)報道,震網(wǎng)病毒初始感染就是靠荷蘭情報機構(gòu)雇傭的“間諜工程師”通過一枚小小U盤完成操作的。(智庫在《“震網(wǎng)”十年謎底終浮水面, 伊朗核計劃流產(chǎn)源于內(nèi)鬼“間諜行動”》這篇文章中,有極為詳盡報道,請點擊閱讀)該“間諜”要么自己是直接把U盤插到了離心機網(wǎng)絡(luò),要么是通過“感染”工程師,讓工程師帶入感染后的代碼。總之,他突破了物理界限,突破了傳統(tǒng)的網(wǎng)絡(luò)安全邊界,一舉摧毀了伊朗驕傲的“核計劃”。

人是安全的尺度,最為薄弱的環(huán)節(jié),個人安全數(shù)據(jù)對企業(yè)市場至關(guān)重要

在上述幾段論述中,無論是黑客攻陷“某個個體”還是“內(nèi)鬼”突破安全防護邊界,我們發(fā)現(xiàn):它都離不開人??梢哉f,在網(wǎng)絡(luò)空間世界里: 人,是安全的尺度,是最重要也是最脆弱的操作資源,是網(wǎng)絡(luò)安全組織中最強大也是最薄弱的環(huán)節(jié)。FBI和犯罪現(xiàn)場調(diào)查(CSI)等機構(gòu)聯(lián)合做的一項安全調(diào)查報告顯示,超過85%的網(wǎng)絡(luò)安全威脅來自于內(nèi)部,危害程度遠遠超于黑客攻擊和病毒造成的損失。

然而,國家、企業(yè),乃至我們整個社會正是由人組成的,與此同時,網(wǎng)絡(luò)安全又是一個高度碎片化的行業(yè),所以,每個人、每個點都可能成為敵人攻擊的突破口。即使一家公司有再多技術(shù)人員,有再完整的企業(yè)數(shù)據(jù)以及安全防護系統(tǒng),但忽視個人數(shù)據(jù),或沒有完整的個人數(shù)據(jù)做支撐,那么它將如同缺失了“左膀”或“右臂”般,難以獨臂撐起防護企業(yè)安全的重大職責(zé)。

可以說,面對現(xiàn)在的攻防對抗的網(wǎng)絡(luò)安全環(huán)境下,沒有個人的數(shù)據(jù)作為基礎(chǔ),是無法做好企業(yè)市場,C端個人安全數(shù)據(jù)對B端企業(yè)市場至關(guān)重要。所以,智庫認為:應(yīng)對網(wǎng)絡(luò)攻擊、應(yīng)對網(wǎng)絡(luò)戰(zhàn),我們應(yīng)將企業(yè)數(shù)據(jù)與個人數(shù)據(jù)相結(jié)合,構(gòu)筑真正的網(wǎng)絡(luò)安全大數(shù)據(jù),唯獨如此,我們才能真正實現(xiàn)防護企業(yè)與國家的安全。

 
 

上一篇:中小企業(yè)運維中容易被低估的日志

下一篇:ATT&CK 在大數(shù)據(jù)安全分析中的應(yīng)用思考