信息來(lái)源:4hou
前段時(shí)間,數(shù)字貨幣交易中心Coinbase爆出被黑事件。攻擊者以釣魚(yú)郵件方式向Coinbase員工私人郵箱發(fā)送電子郵件,完成前期潛伏、滲透工作后;在某個(gè)時(shí)機(jī),攻擊者以?xún)蓚€(gè) Firefox 0day 漏洞發(fā)動(dòng)“猛攻”。雖然,Coinbase Security 很快檢測(cè)到并阻止了該攻擊。但值得注意的是,這場(chǎng)針對(duì)交易所企業(yè)“精心蓄謀”的攻擊,卻是從員工個(gè)人入口“破門(mén)而入”,完全繞過(guò)了基于企業(yè)數(shù)據(jù)搭建起來(lái)的封閉防御系統(tǒng)。而這,不僅引發(fā)了諸多安全廠商的反思,它也引發(fā)了一個(gè)新的命題:個(gè)人端的完整數(shù)據(jù)對(duì)未來(lái)企業(yè)端安全的重要性。
擁有近乎固若金湯的安全數(shù)據(jù)與防御系統(tǒng),Coinbase為何仍難逃被攻擊厄運(yùn)?
今年8月,數(shù)字貨幣交易中心Coinbase表露:其遭遇了一場(chǎng)使用網(wǎng)絡(luò)釣魚(yú)、社會(huì)工程學(xué)策略的復(fù)雜攻擊。攻擊目標(biāo)為侵入該交易中心的系統(tǒng)軟件,一旦攻擊者達(dá)成目的,他們將竊走價(jià)值數(shù)十億美元的數(shù)字貨幣??v觀整個(gè)事件過(guò)程,頗具“戰(zhàn)術(shù)性”。
攻擊起源于2019年5月30日(星期四),十幾位 Coinbase員工的私人郵箱收到了一封電子郵件。郵件稱(chēng)其是來(lái)自劍橋大學(xué)研究資助管理員 Gregory Harris。因?yàn)樵撾娮余]件來(lái)自合法的劍橋域名,又不包含惡意內(nèi)容,同時(shí)還通過(guò)了反垃圾郵件的檢測(cè)以及可引用收件人的背景,因而并沒(méi)有引發(fā)Coinbase員工的懷疑。
接下來(lái)幾周,Coinbase的員工又陸續(xù)收到了類(lèi)似的電子郵件。依然沒(méi)有任何可疑之處。此時(shí),員工還與攻擊者展開(kāi)了郵件往來(lái)。
然而,就在6月17日上午6:31,Gregory Harris 發(fā)送了一封新電子郵件,與以往不同:這一次它包含一個(gè) URL,當(dāng)在 Firefox 中打開(kāi)時(shí),會(huì)自動(dòng)安裝能夠接管點(diǎn)擊人電腦的惡意軟件。精心策劃、蓄謀已久的網(wǎng)絡(luò)攻擊正式開(kāi)始。
雖然在攻擊正式開(kāi)始后,Coinbase Security 很快發(fā)現(xiàn)并進(jìn)行了及時(shí)阻止。但這場(chǎng)有驚無(wú)險(xiǎn)的“襲擊風(fēng)波”,卻引發(fā)了很多廠商的關(guān)注與反思:作為數(shù)字貨幣交易中心,Coinbase擁有可謂是固若金湯的安全大數(shù)據(jù)和防御系統(tǒng),但為什么依然遭遇了網(wǎng)絡(luò)攻擊呢?企業(yè)端的安全又該如何保障?
狡猾黑客早已改變攻擊路數(shù),迂回作戰(zhàn),個(gè)人成為突破口
上述的事件中,攻擊者達(dá)成目的的一個(gè)關(guān)鍵點(diǎn)在于:他成功繞過(guò)了基于B端企業(yè)數(shù)據(jù)搭建起來(lái)的封閉防御系統(tǒng),而是通過(guò)釣魚(yú)郵件方式攻擊員工私人郵箱進(jìn)而一步步接近目標(biāo)的。
也就是說(shuō),黑客們似乎變的愈發(fā)聰明,他們的攻擊方式也在逐步“升級(jí)”,他知道企業(yè)擁有B端安全數(shù)據(jù)與防御系統(tǒng),所以他不正面迎敵,而是采取迂回作戰(zhàn)方式,先攻擊對(duì)于企業(yè)組織來(lái)講最為重要的“員工”——以“C端”個(gè)人為突破口,并橫向移動(dòng)攻擊C1、C2、C3……由點(diǎn)及面(這樣做保證了即使沒(méi)有攻破C1、C2,還會(huì)有C3、C4等等,再眾多的個(gè)體中總會(huì)有容易“淪陷的員工”存在),待一切都鋪墊好、時(shí)機(jī)成熟時(shí),再“由面到體”給予核心目標(biāo)致命一擊。
試問(wèn),面臨黑客如此縝密的、鋪面連環(huán)式的針對(duì)“個(gè)人攻擊的戰(zhàn)術(shù)”,面對(duì)茫茫如海的用戶(hù)“端口”,如果僅依靠傳統(tǒng)的防護(hù)思維,僅依靠企業(yè)端封閉的防御系統(tǒng),哪家企業(yè)、哪家網(wǎng)絡(luò)安全公司敢說(shuō),能確保企業(yè)安全萬(wàn)無(wú)一失、不被攻陷?
大環(huán)境已變,企業(yè)邊界正在瓦解,基于邊界的安全防護(hù)體系無(wú)法支撐企業(yè)防護(hù)
更為嚴(yán)重的是,企業(yè)安全面臨的是不止于黑客攻擊手法的變化,事實(shí)上,企業(yè)所處的環(huán)境也早已發(fā)生改變——企業(yè)邊界正在瓦解,基于邊界的安全防護(hù)體系正在失效。
傳統(tǒng)基于邊界的網(wǎng)絡(luò)安全,在某種程度上是默認(rèn)了內(nèi)網(wǎng)是安全的,認(rèn)為只要構(gòu)筑了企業(yè)的數(shù)字護(hù)城河,通過(guò)防火墻、WAF、IPS等邊界安全產(chǎn)品或方案,就能實(shí)現(xiàn)企業(yè)的網(wǎng)絡(luò)安全。然而,在零信任的網(wǎng)絡(luò)安全世界里:網(wǎng)絡(luò)內(nèi)部和外部的任何人、設(shè)備、系統(tǒng)都不能信任。
而事實(shí)上,早在2010年震驚世界的“震網(wǎng)事件”中,就已證明基于邊界的安全防護(hù)體系已無(wú)法支撐企業(yè)防護(hù)。據(jù)報(bào)道,震網(wǎng)病毒初始感染就是靠荷蘭情報(bào)機(jī)構(gòu)雇傭的“間諜工程師”通過(guò)一枚小小U盤(pán)完成操作的。(智庫(kù)在《“震網(wǎng)”十年謎底終浮水面, 伊朗核計(jì)劃流產(chǎn)源于內(nèi)鬼“間諜行動(dòng)”》這篇文章中,有極為詳盡報(bào)道,請(qǐng)點(diǎn)擊閱讀)該“間諜”要么自己是直接把U盤(pán)插到了離心機(jī)網(wǎng)絡(luò),要么是通過(guò)“感染”工程師,讓工程師帶入感染后的代碼??傊?,他突破了物理界限,突破了傳統(tǒng)的網(wǎng)絡(luò)安全邊界,一舉摧毀了伊朗驕傲的“核計(jì)劃”。
人是安全的尺度,最為薄弱的環(huán)節(jié),個(gè)人安全數(shù)據(jù)對(duì)企業(yè)市場(chǎng)至關(guān)重要
在上述幾段論述中,無(wú)論是黑客攻陷“某個(gè)個(gè)體”還是“內(nèi)鬼”突破安全防護(hù)邊界,我們發(fā)現(xiàn):它都離不開(kāi)人??梢哉f(shuō),在網(wǎng)絡(luò)空間世界里: 人,是安全的尺度,是最重要也是最脆弱的操作資源,是網(wǎng)絡(luò)安全組織中最強(qiáng)大也是最薄弱的環(huán)節(jié)。FBI和犯罪現(xiàn)場(chǎng)調(diào)查(CSI)等機(jī)構(gòu)聯(lián)合做的一項(xiàng)安全調(diào)查報(bào)告顯示,超過(guò)85%的網(wǎng)絡(luò)安全威脅來(lái)自于內(nèi)部,危害程度遠(yuǎn)遠(yuǎn)超于黑客攻擊和病毒造成的損失。
然而,國(guó)家、企業(yè),乃至我們整個(gè)社會(huì)正是由人組成的,與此同時(shí),網(wǎng)絡(luò)安全又是一個(gè)高度碎片化的行業(yè),所以,每個(gè)人、每個(gè)點(diǎn)都可能成為敵人攻擊的突破口。即使一家公司有再多技術(shù)人員,有再完整的企業(yè)數(shù)據(jù)以及安全防護(hù)系統(tǒng),但忽視個(gè)人數(shù)據(jù),或沒(méi)有完整的個(gè)人數(shù)據(jù)做支撐,那么它將如同缺失了“左膀”或“右臂”般,難以獨(dú)臂撐起防護(hù)企業(yè)安全的重大職責(zé)。
可以說(shuō),面對(duì)現(xiàn)在的攻防對(duì)抗的網(wǎng)絡(luò)安全環(huán)境下,沒(méi)有個(gè)人的數(shù)據(jù)作為基礎(chǔ),是無(wú)法做好企業(yè)市場(chǎng),C端個(gè)人安全數(shù)據(jù)對(duì)B端企業(yè)市場(chǎng)至關(guān)重要。所以,智庫(kù)認(rèn)為:應(yīng)對(duì)網(wǎng)絡(luò)攻擊、應(yīng)對(duì)網(wǎng)絡(luò)戰(zhàn),我們應(yīng)將企業(yè)數(shù)據(jù)與個(gè)人數(shù)據(jù)相結(jié)合,構(gòu)筑真正的網(wǎng)絡(luò)安全大數(shù)據(jù),唯獨(dú)如此,我們才能真正實(shí)現(xiàn)防護(hù)企業(yè)與國(guó)家的安全。