前言
年,无论向前追溯十年,还是向后展望十年,很可能都是其中最为特别的一年——新冠疫情、国际局势、天灾人祸等等,都对社会的发展和走向产生了极大的影响。安全行业毫无疑问也遭遇了极大的危机,其中有危险,也有机遇。让我们借着年终的机会,回顾一下年的各种安全“关键词”。
勒索软件
如果不是被Solarwinds抢了风头,勒索软件无疑是年最热的安全关键词。年的Wannacry及年的GandCrab从结果上看并没有对绝大多数企业起到警示的作用,全年的勒索软件及附属的数据泄露事件从未中断过。
勒索软件已经高度产业化的当下,RaaS已不是什么新鲜事,不过黑客还是在勒索软件的勒索模式上实现了新的突破。如今绝大多数成熟勒索软件已经实现了数据回传,并以公开数据作为条件逼迫企业或个人支付赎金。在这种情势下,被勒索软件攻击已经可以和数据泄露直接挂钩。
而除了数据泄露这个最直接的影响外,今年勒索软件还间接造成了其他的影响,有些影响比数据泄露还要更为严重。12月初,富士康在美洲的工厂遭DoppelPaymer勒索软件攻击,出现数天停工导致巨额经济损失;9月中旬,医院遭勒索软件攻击,患者因转院不及时终不治身亡。其中后者值得深入反思,这是第一起经公开报道的勒索软件直接致死事件。在此之前,网络安全致死更多存在于理论研究,即对联网医疗器械的研究中。但这起事件正式表明,勒索软件,乃至于其他网络安全风险,完全有可能造成经济以外的损失甚至危及生命。
与勒索软件的对抗,也从未中止。美国作为勒索软件最大的受灾区之一,出台了多项措施拟对抗勒索软件。在年初,纽约州议员就提出新法案,欲通过立法的方式禁止*府机构向勒索软件支付赎金,10月美国财*部发布咨询建议,警告向勒索软件支付赎金可能会面临处罚。通过这种方式从源头上阻断无利不起早的勒索软件并非不可,但最大的可能无非是剥开勒索软件花里胡哨的外壳,将勒索软件组织转变为窃取数据贩卖机密的组织,孰优孰劣,目前还未可断言。
相比去年GandCrab宣布隐退的轰轰烈烈,今年勒索软件相关新闻更显得“百花齐放”。其中最吸睛的莫过于10月份Darkside勒索软件组织向慈善组织捐款两万美元,慈善组织得知是脏钱后拒绝接受这笔捐赠,但隐藏了发送地址的虚拟货币无法退回,直到现在也没有归处。同时今年也有多个勒索软件组织宣布隐退,比如Maze、Troldesh等组织都宣布停止“运营”,有的公开了全部密钥,有的则销毁了全部密钥,不过,安全人员后续发现部分组织只是换了一个马甲,这就是后话了。
最后,节选下年勒索软件相关部分新闻,有些较为重大,有些比较有趣:
1月:Nemty勒索软件组织建立网站用来公开未付赎金公司数据
2月:DoppelPaymer勒索软件组织开启新服务,售卖未付赎金公司数据
3月:PwndLocker勒索软件根据网络规模自动设定赎金金额、PwndLocker被安全人员成功开发解密工具
4月:Shade(Troldesh)勒索软件组织宣布隐退,公开数十万密钥,并对自己造成的伤害致歉
5月:ProLock(PwndLocker)勒索软件与其他黑客组织合作、ProLock(PwndLocker)勒索软件解密模块存在问题会导致交了钱也解不了文件、REvil勒索软件组织疑似为未付赎金数据找到神秘买家
6月:勒索软件以“某勒索软件解密工具”为诱饵对受害者被加密的文件再加密一次、本田遭勒索软件攻击
7月:英国网安中心提醒英超球队警惕勒索软件攻击(11月英国曼联球队遭勒索软件攻击)、欧洲刑警组织创建的NoMoreRansomProject成立四周年,已帮助数百万受害者恢复文件(好耶.jpg)
8月:佳明遭WastedLocker勒索软件攻击,佳能遭Maze勒索软件攻击,GandCrab相关人士在白俄罗斯被捕
9月:医院遭勒索软件攻击终致患者死亡
10月:Darkside勒索软件组织向慈善组织捐款两万美元
11月:EnelGroup今年第二次遭到勒索软件攻击、据称勒索软件组织大规模招募成员
12月:富士康遭勒索软件攻击致停工、IntelHabana实验室遭Pay2key勒索软件攻击、微软与McAfee牵头成立勒索软件特遣队
勒索软件作为网络安全黑产的“财富密码”,恐怕还要再陪伴我们几年,直到网络安全整体态势转好,部署成本大大增加,可能才会遏制住持续增长的势头。随着勒索平台、勒索内容及勒索方式的多样化,损失也指数级增长,新的一年,勒索软件防范和安全投入仍要继续增加。
供应链
自Xshell供应链攻击事件发生后,供应链攻击逐渐成为大型企业安全防护一个不可忽略的方向,AntD彩蛋事件则暴露出开源库同样无法完全信任,而去年针对华硕的ShadowHammer行动则为供应链定向攻击敲响了警钟。此后,大大小小供应链攻击频发,尤其是在开源软件中,Linux、Node、Python等都出现过此类安全问题。此外,企业的信任也逐渐被打破,瑞士公司CryptoAG在年初被曝实控者为CIA,且一直协助*府实施监控计划。年末的Solarwinds行动则是直接引爆了一颗核弹,相较之下,今年其他的供应链攻击便如繁星见日,消隐无踪。
最初此消息是由顶级APT公司Fireeye公开,称其遭到黑客攻击,紧接着Fireeye便联合微软发布了安全报告,牵扯出一众超大型企业,甚至包括美国*府。直至如今,该行动所影响的企业列表还在不断增加,就连美国核武库也不能幸免,同时微软于前日还发布分析报告称发现第二个后门,后续可能还会有更多的细节。
Solarwinds行动的规模之大,技术之深,影响之广可谓前所未有。各家安全企业与安全研究人员、安全团队对此已有大量的分析,虽然意见多有分歧,但均有可参考的价值,读者可自行查阅。
尽管Solarwinds这种级别的供应链攻击对大部分企业来说就是绝望,但是也不能因此放弃了安全的希望。虽然检测、阻断难度高,但这种攻击的成本、复杂度和普通的网络攻击不可同日而语。对于供应链攻击,减少攻击面、安全框架构建、零信任、安全意识,这些都是目前行之有效的解决方案,可供有余力的企业选择。在Solarwinds带动下,明年供应链攻击很可能会掀起一股热潮,而大型企业更应该着重应对,纵然防护体系完善,但被攻击后的利益也同样诱人,可能需要在实战中探索供应链攻击的应对之道。
游戏
或许是疫情居家隔离大环境下游戏业的逆势涨幅,或许是开年动物之森和最后生还者2发售带来的游戏热潮,亦或是入侵游戏公司带来的