行業(yè)動態(tài)

聊聊網(wǎng)絡(luò)安全行業(yè)這十年(2010-2019)

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2019-12-31    瀏覽次數(shù):
 

信息來源:FreeBuf

網(wǎng)絡(luò)安全成為主流的十年

在2010年之前(其實應(yīng)該是從2011年算起,不過2010年更順口),網(wǎng)絡(luò)安全還是一個孤立的領(lǐng)域。直到自己所使用的東西無法運轉(zhuǎn)之前,沒有人真正關(guān)心這一行業(yè)。惡意軟件或廣告軟件導(dǎo)致設(shè)備崩潰,用戶因為設(shè)備無法使用而不得不由 IT 人員重新加載時感到懊惱,但這一切問題結(jié)束后,憂慮也隨之消散。

當(dāng)我們邁入2010年時,多數(shù)企業(yè)的做法仍然毫無改觀,但到2018年至2019年時,網(wǎng)絡(luò)安全專家和安全及風(fēng)險專業(yè)人員成為董事會及新聞中的常客。關(guān)于“網(wǎng)絡(luò)”的斗爭激化了,抵抗力量消散了,而這就是所謂的整個歷程。我們不如把優(yōu)雅接受失敗的做法視作臣服吧。我們來盤點一下十年來最值得注意的趨勢和事件。

這句話最流行:我們認真保護您的隱私和安全

每個人或聽過或讀到過這句話,它往往出現(xiàn)在公司開始解釋造成侵犯隱私和安全的事件的原因之前。而多數(shù)安全和風(fēng)險專業(yè)人士認為這句話中缺少一個關(guān)鍵詞:“現(xiàn)在”——“現(xiàn)在,我們認真保護您的隱私和安全?!边@句話如此流行,F(xiàn)orrester 公司的分析師甚至為其創(chuàng)建了一個新指標(biāo):MTBCA(“距離首席執(zhí)行官道歉的平均用時”)。

采用率最高的借口:“精明的攻擊者繞過安全控制……等等”

塵埃落定后,我們幾乎總會發(fā)現(xiàn)攻擊者實際上并沒有那么“精明”?;蛘撸词顾麄兒芫?,但實際上并未耗費九牛二虎之力就侵入環(huán)境。結(jié)合唾手可得的目標(biāo)和 Living off the land(LotL) 技術(shù)讓攻擊者游刃有余地入侵公司。

并購幻滅:Intel 和 McAfee

Intel 和 McAfee 的并購掀起了網(wǎng)絡(luò)安全市場長達十年的并購活動和資本涌入盛況。多數(shù)并購活動確實帶來積極影響,但本案例除外。

McAfee 被收編至 Intel 麾下的七年毫無建樹。Intel 兼并 McAfee 好像是發(fā)生在多年以前的事,或者看起來似乎如此,但事實果真如此嗎?實際上它發(fā)生在2010年中期。在落筆前,我本來要說這件事發(fā)生在上個十年,但實際上并非如此,它確實拉開了這個十年的序幕,它到底象征著什么呢?Intel 的愿景本來是利用 McAfee 將安全性嵌入硬件中,為Intel 帶來獨立的硬件和安全廠商無可比擬的獨特的競爭優(yōu)勢。遺憾的是,這一愿景并未結(jié)出碩果,Intel 最后不得不將 McAfee 剝離出去。Forrester 公司曾預(yù)測到這一點,七年后它成為了現(xiàn)實。

分水嶺:殺死鏈和APT報告

Mandiant旗下火眼公司發(fā)布多份關(guān)于國家黑客參與網(wǎng)絡(luò)糾紛的案例報告,用間諜小說的手法說明網(wǎng)絡(luò)安全,改變了該行業(yè)的市場營銷方式。在這十年行將結(jié)束之前,一個接一個的企業(yè)使用威脅情報報告作為內(nèi)容營銷手段招徠客戶。

每個行業(yè)都有自己的術(shù)語,網(wǎng)絡(luò)安全行業(yè)也不例外?;鹧酃景l(fā)布關(guān)于 Lockheed Martin KillChain(“殺死鏈”)報告創(chuàng)建了以術(shù)語來解釋發(fā)生了什么、為何會發(fā)生、如何分類以及更重要的是如何應(yīng)對未來的各個攻擊階段。它并未解決技術(shù)和非技術(shù)觀眾之間的溝通鴻溝,但確實解決了在構(gòu)造攻擊方面網(wǎng)絡(luò)安全行業(yè)內(nèi)的溝通問題。

最佳(或最糟糕)惡意軟件

備選者雖眾,但這這兩款惡意軟件因定義了這十年來的攻擊工具而鶴立雞群。

“震網(wǎng) (Stuxnet)”具備一切:復(fù)雜性、地緣政治和工控系統(tǒng)。Stuxnet 不乏專門的書籍和紀(jì)錄片介紹,而且一名美國陸軍將軍因揭露 Stuxnet 實際上是代號為 “Olympics Games” 的一項美國計劃而受到紀(jì)律處分。輸出 Stuxnet 要求結(jié)合技術(shù)能力、HUMINT 和足夠的時間以便通過外交渠道解決問題。

WannaCry 和 NotPetya 問鼎勒索軟件冠軍。這十年的后半段應(yīng)該是勒索軟件的天下,它使電信、物流、公共事業(yè)、市政等機構(gòu)癱瘓。其它惡意軟件和這兩款勒索軟件相比均黯然失色,尤其是從非網(wǎng)絡(luò)安全從業(yè)人員的角度來看更是如此。盡管造成了破壞,但 WannaCry 和 NotPetya 也讓網(wǎng)絡(luò)安全對于互聯(lián)企業(yè)的重要性得到宣傳。

榮譽提名:PoisonIvy、Magecart、Anthem、Community Health Systems 和每種銀行木馬。

最重要的數(shù)據(jù)泄露事件

我們不可能提到所有的大型或超大型數(shù)據(jù)泄露事件,而且它們也無法被稱之為“最佳”。因此,我們來回顧一下在這十年來造成重大變化的數(shù)據(jù)泄露事件。

1、言必稱Target:Target 淪為營銷素材

Target 百貨公司數(shù)據(jù)遭泄露的后果雖然肯定影響廣泛,但該行業(yè)內(nèi)的所有相關(guān)方受影響最大的地方在于,Target 成為每家供應(yīng)商平臺的默認梗:在第3張和第7張幻燈片之間的某個地方,肯定會聽到關(guān)于 Target 的內(nèi)容。

OPM 挫敗美國的情報能力。2014年3月20日,美國人事管理局獲悉黑客已經(jīng)提取了用于對安全通關(guān)進行背調(diào)的敏感的 Standard Form 86 副本。

2、索尼影業(yè)連接演員 Seth Rogen、Aaron Sorkin 和朝鮮。

人們最初對索尼影業(yè)遭受攻擊的注意力主要集中在它是朝鮮因電影《訪談》而實施的網(wǎng)絡(luò)安全報復(fù)上,索尼影業(yè)被攻擊之后后背發(fā)涼:因為多位名人之間的郵件往來都被暴露在互聯(lián)網(wǎng)上。這件事引發(fā)了人們對知識產(chǎn)權(quán)所有權(quán)以及誰能從被提取數(shù)據(jù)中獲益的大討論。而我們也獲悉了各種爆料,如名人作家和娛樂節(jié)目主持人有時會通過寫劇本支付私立學(xué)校的學(xué)費,以及索尼影業(yè)曾考慮聘請律師強迫明星出演但最終以失敗告終的各種故事。

榮譽提名:RSA、Equifax、Yahoo、Marriott 和 SWIFT

最具破壞力的漏洞

在我們說明這些漏洞之前,我們必須先說明由它們所產(chǎn)生的類別,即“十年中讓我們討厭的趨勢”:每個漏洞都有一個 logo 和網(wǎng)站。無需 write-up,它們自證其身。但從2010年到2019年期間,出現(xiàn)了兩個漏洞:一個破壞了互聯(lián)網(wǎng)基礎(chǔ)架構(gòu),另一個導(dǎo)致勒索軟件爆炸式增長:

1、OpenSSL 被曝“心臟出血 (Heartbleed)”漏洞,現(xiàn)在仍受影響

我們有一些非常有名的 CVE 漏洞,但很多人撓破頭也不知道 CVE-2014-0160 是什么。但如果你說“心臟出血”,他們馬上就反應(yīng)過來了。它的名氣超過 MS08-067,確實也實至名歸。這個漏洞命中所有一切:網(wǎng)站、工具設(shè)備(包括安全設(shè)備)、應(yīng)用程序……無所不包。它會導(dǎo)致什么后果?一切后果:私鑰、用戶名、密碼、郵件、數(shù)據(jù)……所有通過受影響的 OpenSSL 版本加密的一切東西均可被攻陷。如果你想找到能夠破壞技術(shù)領(lǐng)域中一切東西的漏洞,那它非“心臟出血”漏洞莫屬。

2、“永恒之藍(EternalBlue)”證實 NSA 真的非常善于開發(fā) exploit

同時它證明網(wǎng)絡(luò)武器落入不法之徒之手,真的非常危險。盡管2017年起就發(fā)布補丁,但“永恒之藍”仍持續(xù)侵害企業(yè)。WannaCry、NotPetya和“壞兔子”也在攻陷初期階段使用“永恒之藍”,利用微軟 SMB 協(xié)議中的缺陷用于橫向移動。

榮譽提名:Meltdown 和 Spectre 以及 VPN 工具漏洞

網(wǎng)絡(luò)安全框架之最

雖然框架很難讓我們激情澎湃,但安全和風(fēng)險專業(yè)人士迫切需要一些共性的東西來塑造程序并為安全程序提供目標(biāo)。NIST 和 MITRE 提供的正是這些東西:

1、NIST 網(wǎng)絡(luò)安全框架已成為安全程序的溝通語言

2014年2月,NIST CSF 作為一個全面的框架首次亮相,它確實值得贊揚:將識別、保護、檢測、響應(yīng)和恢復(fù)的概念納入我們的共享詞典中。Forrester 公司發(fā)現(xiàn),經(jīng)過網(wǎng)絡(luò)力量的傳播,NIST CSF 已成為討論網(wǎng)絡(luò)安全程序的董事會級別的語言。很多董事會成員任職于多個董事會,他們從一位 CISO 那里聽到 NIST CSF 之后開始后詢問其他人相關(guān)信息,從而使其在網(wǎng)絡(luò)程序相關(guān)討論中占據(jù)重要地位。

2、MITRE ATT&CK 已成為網(wǎng)絡(luò)安全威脅的溝通語言

ATT&CKruin已成為一種為業(yè)內(nèi)廣泛接受的標(biāo)準(zhǔn),如 ATT&CK 網(wǎng)站所言,“ATT&CK 是關(guān)于網(wǎng)絡(luò)對抗行為的知識庫,也是對它們生命周期內(nèi)網(wǎng)絡(luò)對抗動作的分類。”Kill Chain 之于攻擊階段的做法就如同ATT&CK 在深層次之于攻擊者的行為和動作。鑒于最終用戶和投資者在檢測公司投入大量資金,ATT&CK 開發(fā)了一種方法,用于理解供應(yīng)商安全工具在各個類別中的性能。

讓我們繼續(xù)前行

這十年不乏亮點,不過也有很多不為人所知之處。但對于在2010年之前開始職業(yè)生涯的安全和風(fēng)險專業(yè)人士而言,情況確實是在向好的方向發(fā)展,他們得到了高管的更多支持,人們對網(wǎng)絡(luò)安全重要性的意識在提高,而且人們關(guān)注到技術(shù)對社會的影響。安全、風(fēng)險和隱私挑戰(zhàn)不會消失。盡管如此,我們?nèi)匀粡倪@十年的挫折中獲得了很多經(jīng)驗教訓(xùn),也知道了如何處理這些障礙邁出更有意義的步伐。雖然道阻且長,但一切值得做的事情不都如此嗎?

 
 

上一篇:警惕偽裝成“Synaptics觸摸板驅(qū)動程序”的新型蠕蟲病毒

下一篇:自主安全服務(wù)與區(qū)塊鏈技術(shù)成網(wǎng)絡(luò)安全有效防御手段