企業風險正成為民族國家網絡戰爭中的“附帶損害”
責編:gltian |2019-08-26 10:19:23朝鮮正利用 “廣泛且日益復雜的” 網絡攻擊來竊取資金的消息凸顯了民族國家網絡攻擊所造成的 “附帶損害” 風險——一位安全專家警告稱,如今,企業之間的聯系日益密切,如果他們沒能與合作伙伴和其他利益相關者協調網絡安全防御方案,那么他們就有可能淪為民族國家網絡攻擊活動的受害者。
2016 年,聯合國應美國的要求就朝鮮的核項目和導彈計劃對該國實施了一系列經濟制裁,該國也受到了這些制裁的影響。例如,貿易禁令削弱了朝鮮的煤炭出口,而煤炭出口正是朝鮮外匯收入的主要來源。但是最近,在聯合國安理會的會議中,有專家小組指出,朝鮮正通過網絡攻擊和區塊鏈技術來規避經濟制裁以及獲取外幣。據會議統計,截至目前,朝鮮已經設法通過 “廣泛且日益復雜的” 網絡攻擊竊取了 20 億美元,以資助其軍事發展項目。
這些針對 17 個國家超過 35 家銀行和加密貨幣交易所的攻擊活動,凸顯了民族國家網絡攻擊日益動蕩的狀態——而這種狀態也導致企業(相互聯系但不相關)風險日益加劇。
前 FBI 特工 Shawn Henry 表示:沒人愿意在針對其他人的攻擊活動中受到波及。但是由于如今所有的網絡都是連通的,所以發生這種情況下的可能性實際上又很大。
而且這種風險還會持續走高,因為 “更加厚顏無恥的” 對手要么壓根不害怕被發現,要么不認為自己會被發現。即便是他們被發現了,他們也不認為會受到任何形式的報復或問責。
這種態度也加劇了目前來自民族國家網絡攻擊的風險,這種不引人注意的黑客攻擊行為正在不斷增長,同時也對政府機構和充斥著各類個人或商業敏感信息的企業造成了潛在的災難性新威脅。
目前,世界各地的政府機構都在加緊研究和關注各類惡意黑客組織,2019 年 2 月 19 日,美國網絡安全技術公司 CrowdStrike 發布了《2019年全球網絡安全威脅報告》,其中重點提到了一個關鍵概念——突破時間 (Breakout Time),是指入侵者發起攻擊到成功獲得系統權限的時間。該報告顯示,俄羅斯政府支持黑客組織的平均突破時間僅為 19 分鐘,也就是說,在漏洞被曝出之后,黑客最快在不到 20 分鐘的時間里就能夠實施行動。
從初始妥協到在目標網絡中橫向移動僅需要 19 分鐘!這無疑給首席安全官們施加了額外的壓力,以敦促他們實施有效的檢測和應對措施。
鑒于網絡攻擊者正在不斷調整其攻擊技術,以適應不同目標地區的相對脆弱性特征,這種壓力還會進一步加劇。
例如,惡意軟件、注冊表運行密鑰和命令行界面攻擊是印度太平洋地區最常見的攻擊媒介。相比之下,在針對拉丁美洲目標的攻擊活動中,惡意軟件的使用率超過了 75%;而在針對 EMEA(歐洲、中東、非洲三地區的合稱)組織的攻擊活動中,超過一半都使用了腳本。
這種多樣性意味著根本不存在一種通用的解決方案,可以用來檢測和管理此類攻擊——如果謹慎的攻擊者選擇 “靠山吃山”,通過依賴內置的系統工具 (PowerShell和JavaScript) 來發動攻擊,那么就會進一步加劇檢測難度。而一旦目標受到攻擊,人類攻擊者就可以采取控制措施來探索和定位需要獲取的數據等信息。
從我們過去兩年觀察到的情況來看,對手的能力已經從惡意軟件轉移到了無簽名攻擊,他們會利用操作系統中的現有功能在未被檢測到的環境中移動。除非有一些震懾力——前提是受害者有能力檢測到這些攻擊行為,否則針對企業組織的攻擊只會繼續有增無減。然而,可惜的是,許多組織都錯失了良機。不可否認,現在很多企業的董事會和首席執行官都非常關注且迫切想要了解業務風險——但仍然有一些組織選擇對網絡安全采取放任自流的態度,并且盲目自信地認為自己能夠在事情發生時妥善地進行處理。無疑,這種態度是堅決不可取的!
一旦遭受民族國家攻擊者的公開侵犯,持有這種態度的人將需負上特殊責任。面對這種對網絡安全放任自流的企業組織,攻擊者一般會迅速調整他們的戰術和強度,不費吹灰之力就能 “探囊取物”。
攻擊者這種針對不同情況不斷調整攻擊戰略的做法 “確實對整個生態系統造成了一些重大變化”,組織需要采取一種前所未有的方式才能得到保護。
最后,需要注意的是,這種風險很有可能會超出預期——如果我們想要削減這種被許多專家定義為 “毀滅性及可能存在的武器部署” 的使用率,就必須現在便開始對其進行更深入、廣泛地討論和研究。