制造业已成为网络安全漏洞第三大受害者

消息来源: 环球网         消息类型: 行业新闻         发布日期:2018-08-13

2014年,一款智能冰箱在遭受僵尸网络攻击后,被当场抓到发送了超过75万封垃圾邮件。这是全世界首次记录在案的黑客攻击物联网事件。在美国,最近的一个案例涉及一个水族馆的联网恒温器,黑客成功控制了恒温器,访问赌场中豪赌者信息的数据库。

 

在大洋彼岸和中东地区,一个名为“Triton”的恶意软件渗透了一家装有安全关闭系统的工厂,该软件利用了一个以前从未被发现的漏洞,迫使工厂陷入停产。

在另一个案例中,黑客利用3名员工的信息凭据和电子邮件账户进入了一家在线商店的公司网络,由此窃取了该公司1.45亿用户的个人信息和加密密码。在近230天的时间里,这个漏洞一直没有被检测出来。

今年2月,美国联邦调查局(FBI)特工逮捕了一家美国制造工厂内一名心怀不满的前雇员,此人曾通过雇主网络的开放式VPN后门潜入公司网络,造成110万美元的巨大损失。

鉴于媒体对安全漏洞的曝光频繁见诸报端,人们对于安全问题的心态已从“我没遇到过”转变为“不是可能会发生,而是何时会发生”。然而尽管媒体高度关注、网络攻击持续上升,但是各企业在主动实施安全战略方面的表现却不尽如人意。事实上,制造业已明显成为第三大易受攻击的行业,仅次于银行业和零售业。电子、半导体和高科技制造业更加容易受到威胁,尤其是在“工业4.0”大潮促使这些行业将工厂生产与信息技术网络相连接的情况下。而这些工厂很可能正在使用老旧的机器和已经停止支持的SQL服务器,为其安全架构留下了巨大漏洞。

那么,为什么我们会在近期频繁看到媒体大肆宣传制造业发生的网络安全事件?又是什么促使这些黑客将目标和目标受害者从其他备受关注的行业转移到制造业?

让我们更深入地研究这些威胁案例,了解这些安全事件如何发生、为什么发生,以及制造商应怎样避免成为下一个网络安全受害者。

威胁案例1:安全性滞后于物联网发展

大多数终端用户物联网设备都设计得很轻薄,它们的处理能力有限,安全性几乎为零。就像智能冰箱和水族馆联网恒温器的例子一样,黑客们轻易就能利用这些物联网设备渗透进工厂网络内部。他们可以轻易地接管或控制支持IP的设备,提取数据或植入恶意代码,这些代码可以悄无声息地打开系统后门。

值得警惕的是,菜鸟水平的攻击者只要花25美元就能购买到委托网络黑客的服务。最近的研究报告表明,到2020年,家庭或商业用途连接设备的数量将从目前的84亿上升至500亿,连接设备或物联网激增意味着这一“预警”正在变成“警铃大作”。

不幸的是,发现安全问题后,任何公司都几乎不可能从市场完全召回产品,也不可能通过事后固件升级或软件补丁彻底解决安全问题。解决安全性问题需要物联网用户与制造商的共同努力。下次再收到更新提示时,物联网消费者在按“提醒我”(Remind me later)或“强制退出”(Force quit)按钮前应该三思。同样地,制造商需要对安全问题采取积极的态度。例如,制造商可以使用云网络作为防御层,在终端用户设备和它的源服务器之间创建一个安全且经认证的连接,在不影响用户体验的情况下,阻止后门漏洞,同时确保完成补丁。

威胁案例2:工厂自动化成为勒索漏洞

对于制造业企业而言,最大的威胁是失去知识产权和工厂停产。虽然科技使制造商能够转型为智能工厂,但它也能成为致命弱点。例如,一个竞争对手或一位高水平雇员就可以轻松地扫描你的网络,找到下一个弱点,窃取你的新产品源代码。

根据被窃取的宝贵信息的类型,该公司很可能需要支付巨额赎金,然后保持沉默,或在上头条时蒙受重大声誉损失。事实是,制造商很少公开披露此类事件,这一趋势值得我们警醒——因为黑客投机分子会针对这些行业继续采用已经证明成功的攻击手法已经证明成功的攻击手法。截止2016年,仅在中国,中国国家漏洞数据库(CNVD)就记录了1036个工业控制系统漏洞 。行业调查还发现,高达40%的制造商没有正规的安全政策,而60%的受访者承认,他们没有适当的人员专门负责安全监控 。

威胁案例3:在“撞库”泛滥的当下,不要轻信任何人

我们一再听闻黑客侵入公司网络窃取客户数据库、定价单或直接拦截销售订单,甚至利用客户的合法凭据进行未经授权的电汇这样的事件发生。例如,在中间人攻击(man-in-the-middle attacks)中,攻击者主动窃听受害者之间的通信,然后模拟其中一方输入新信息。更令人担忧的是,30%的黑客攻击尚未被检测到 ,在美国,检测到网络攻击的平均时间长达206天 ,而在一些亚洲国家,这一数字更是令人吃惊地多达1.6年!

“撞库”(credential abuse)导致的漏洞很少被发现的原因在于这种攻击的设计方式。不同于对相同账户进行多次登录尝试的“暴力破解”(brute force)攻击,“撞库”一般会利用已泄露的用户名和密码,因此只使用一个账户登录一次。更糟糕的是,普通用户往往在不同的网站和设备上使用相同的登录凭据,包括公司应用程序和社交媒体网站。

随着“撞库”攻击增多、攻击者受到财务利益驱动,制造商不应只装置单一硬件式的安全解决方案或执行基本安全检查,他们应该寻找一种多层次的安全方法,主动监测和阻止潜在威胁。

威胁案例4:间谍不仅来自外部,也存在于内部

近期,我们还发现了什么?你知道内部员工可能是第二大黑客吗?无论雇员是出于有意还是无意,包括心怀不满的前雇员,都可能是安全事故的源头(26%)。专业黑客和竞争对手(43%)通常是首要犯罪嫌疑人,而另一种不太受到怀疑的攻击者实际上是第三方用户,例如,供应链生态系统中的合作伙伴(19%) 。

为什么会存在这种情况?最主要的是,超过半数的员工承认自己曾使用公司的笔记本电脑进行个人活动,包括网上购物、下载电影或进行网上银行服务 。他们几乎没有意识到,黑客可能在偷偷监视他们,向他们的公司网络注入恶意代码。其次,认证和加密功能薄弱,对承包商和供应商的远程访问控制和密码管理不善,在公司防火墙和VPN中打开后门,导致数百万的经济损失。

随着制造商将云技术作为“工业4.0”的一部分,各企业应考虑采用一种结构性安全方法。实施健全的访问管理,保护你的数据,获得所有设备和用户的可见性,随时积极地评估风险。更重要的是,积极避免攻击!

不是可能会发生,而是何时会发生

以下是一个简短的问题清单,想要率先制定主动安全策略的制造商可以从这些正确的方向着手:

你最近何时曾对你的网络进行正式的安全评价和评估?

你如何、以及在何处处理、存储和分发知识产权和研发数据?

你如何管理生态系统中的承包商、远程员工和供应商的访问控制和密码?

请记住,当成为下一个网络安全攻击的目标时,制造业公司与其他行业的公司没有任何区别。

最后提醒:不是可能会发生,而是何时会发生。

威胁追捕有3种技术风格

消息来源: 安全牛         消息类型: 行业新闻         发布日期:2017-10-19

有两种可能的结果:如果实验结果符合假设,这就是测量;如果不符合假设,这就是发现。

——恩里科·费米(原子能之父)

威胁追捕,就是主动识别并抑制已在企业环境中建立了桥头堡的对手。这与威胁检测不同,威胁检测主要是靠特征码检测或系统事件关联等手段,发现入侵指标(IOC),识别出威胁。此类上下文中的威胁,就是具备做坏事的意图、能力和机会的对手。威胁追捕是对威胁检测的补充。威胁检测有其局限,且依赖4个先决条件(或者假设):

  • IOC可预测
  • IOC有逻辑且可量化
  • IOC静态且不可交换
  • IOC可见且可发现
  • 这4个先决条件未必总能满足,某些情况下,一个都不能满足。即便前3个都满足了,最大的挑战在于最后一个往往满足不了。监测每个可能的系统、网络或用户,是非常难的。更重要的是,时间和金钱的消耗都太大了。产出的大量警报、事件和误报,也引发了其自身的一系列问题。而且,即使威胁检测成功,相关警报也有可能被漏过,或者事发后很久才被注意到。威胁驻留时间的统计数据,已一次又一次地证实了这一点。

    如果信禅,或许会问:“如果网络上出现了一个IOC,而没人正在监视,那还算是威胁吗?”鉴于高调数据泄露发生的频率,该问题的答案无疑是:算!

    黑客同样注意到了这些因素,并据此对自身战术、技术和流程(TTP)做出调整,尽可能地消除这些先决条件。这是网络安全中自然选择的基础,也是黑客与网络安全人士间持续武器竞赛的根源。

    威胁追捕旨在矫正威胁检测中的固有弱点。很明显,如果黑客已经出现在内部网络中,威胁检测就已失败,或者说,至少是在初始漏洞利用前没能做出响应。若是前者,发现自己是否被黑的唯一方法,就是从等待检测技术指出威胁,转向人工调查是否有检测技术漏掉的指标。若是后者,威胁追捕将专注评估入侵的范围,旨在肃清攻击者建立的任何立足点。

    威胁追捕

    一、威胁追捕的3种风格

    1. IOC驱动威胁追捕

    检测已知IOC,并用于识别相关IOC和TTP,以驱动对环境中存在威胁的搜索与分析。

    2. 分析驱动威胁追捕

    高级分析、机器学习和行为分析技术识别出异常或可疑活动,驱动进一步调查。一定程度上,行为分析技术已自动化了传统威胁追捕的某些方面,但承袭了与威胁检测类似的局限,且产生了一些自身的弱点。

    3. 假设驱动威胁追捕

    特定威胁可能已成功侵入环境的初始假说或假设。可推断出与该威胁相关的TTP和IOC,驱动对威胁的搜索与分析。

    聪明的读者可能已经发现,前两种风格都依赖对至少一个IOC的成功检测及发现。因此,这两种方式主要用于验证入侵是否发生,并评估威胁的散布范围。

    二、假设威胁

    假设驱动威胁追捕不依赖前置检测。这种方法会假设有尚未检测到的威胁可能已经针对公司下手了。这其中比较没那么明显的一点,是假设驱动威胁追捕、威胁评估和威胁模拟之间的关系。

    1. 威胁评估

    威胁评估中,可能针对公司的潜在相关威胁,往往通过利用威胁情报的方式,被识别出来。然后纳入风险管理过程,用以确定需要部署哪些安全预警措施,来抵御潜在威胁。

    2. 威胁模拟

    威胁模拟中,威胁TTP与现有安全技术、人员和过程相抗衡,借以评估攻击情况下能否撑住。若能实际测试,效果会更好。真正的渗透测试或道德黑客活动,或者成熟企业所谓的红队测试,就是该方法的一个样例。

    三、假设驱动威胁防御

    假设的一个定义,是“基于有限证据做出的假设或提案,用作进一步调查的起点。”对网络安全人员来说,“有限证据”是其中关键词。

    威胁检测技术提供有限证据——或许会发现一些IOC,但可能提供不了对高级/大范围入侵的清晰评估。这些技术可能根本无法成功检测威胁。威胁情报提供理论上都有些什么的大量证据,但无法确定到底谁会实际攻击你。预防技术防护多种已知攻击类型,但我们没有足够证据证明可以防住下一波攻击。

    假设驱动威胁防御,将这些假设都整合进了单个框架中,用作风险管理项目的基础。威胁假设、威胁模拟和假设驱动威胁追捕,是假设驱动安全的三大基石,也是成功威胁缓解的三驾马车。综合起来,它们考虑的是:谁可能针对你,他们有没有可能成功,以及他们是否已经成功了。

    威胁快速进化,技术不断涌现,再加上可执行证据和确定性的缺乏,这么一种态势下想要成功,假设,已经是我们最逼近预测的做法了。

    服务热线
    025-8660 3700

    微信公众号