本节书摘来自华章计算机《防患未然:实施情报先导的信息安全方法与实践》一书中的第1章,第1.3节,作者:[美] 艾伦利斯卡(Allan Liska) 更多章节内容可以访问云栖社区“华章计算机”公众号查看。
1.3 理解当前的威胁
前一节概述的威胁仍然存在,且随着时间的推移而继续演化。不幸的是,网络安全并没有与威胁同步发展。实际上,在许多组织中,网络安全的职责被移交或者分摊给多个不一定相互沟通的小组。
在典型的大规模网络中,通常有一个团队专门管理桌面环境,该团队管理防病毒软件并收集桌面和服务器日志。而另一个团队管理邮件服务器和垃圾邮件过滤器,往往还管理Web代理。最后,安全团队通常负责IDS,可能还有防火墙(但是,这些职责也可能属于网络团队)。
这种安排造成这样一种情况:安全数据存在于多个控制面板,由不同的小组观察,控制面板的数据之间没有关联性,这些小组之间通常也是如此。每个事故都发生在“真空”中,没有背景信息可供确定威胁的程度,或者确定采取的补救措施是否有效。
例如,如果Alice负责维护防病毒系统,她发现Bob的系统上有一个蠕虫病毒被标记且隔离,她可能认为已经避免了一次安全事故,但是如果这个蠕虫病毒只是初始加载程序的两个载荷之一,Bob可能仍然会受到感染。当Carol发现防火墙阻止了Bob的机器通过端口6667(IRC)向某台主机发起的连接时,她可能认为问题已经解决,而没有意识到Dave已发现向同一台主机端口80(HTTP)发起的连接成功穿越代理,该连接同样从Bob的机器上发起。
因为攻击者越来越聪明,分割和隔绝组织中的不同安全任务会导致识别和成功补救攻击更加困难。实际上,情况并不一定如此。有些攻击者更加聪明,大部分攻击者得益于所使用的工具远比以前更高级、更易于使用。
1.3.1 恶意软件行业
网络犯罪是一件大生意。根据某些估计,与网络犯罪活动相关联的行业价值1140亿美元。这个行业有着很完善的组织,也是具有许多不同运营部门的层次化经济体。只要知道在哪里寻找提供帮助的人和拥有合适参考资料的人,就可以在几个小时之内发动攻击。
根据兰德公司(RAND)2014年的报告(Ablon等,2014),网络安全地下市场有多种角色。RAND将地下用户大致分为以下7组:
" 管理员
" 主题专家
" 中介/代理商
" 供应商
" 知情的携带者
" 一般成员
" 不知情的携带者
市场上的这7种用户组成了一个层次结构,管理员和主题专家处于结构的顶端。这些地下成员研究和发现零日漏洞,然后领会出如何将这些漏洞转化成武器(例如改造为易用的攻击手段)或者出售它们。他们还开发和持续改进恶意软件家族,销售或者租赁给层次较低的用户。有时候(但不总是),这些用户也积极地参与攻击活动。
RAND提出的层次结构的中间层是中介/代理商和供应商。这实际上是商业层次,这些组织负责发生在地下的许多交易,它们往往代表更上级的层次成员销售恶意软件,还帮助销售从成功攻击中收集到的数据。
这就是网络犯罪地下市场与传统市场的一个共同点:销售渠道很重要。如果较低层次中的人获得大型网络的访问权,可以泄露大量个人数据—不管这些数据是信用卡号、用户名及密码,还是社会保险号码—这个人需要销售数据的某种手段。黑市中较低层次的人无法接触或者取得大量买家的信任。在这种情况下,低层用户会将数据提供给代理商,由其销售数据,并获得总销售额一定比例的回报。
地下市场和传统市场的另一个共同点是遵循供求法则。在2014年的《互联网威胁报告》(ISTR)(Symantec,2014)中,Symantec将2013年称作“大沦陷”(Mega Breach)年。2013年,Symantec发现了253次数据泄漏,其中8次泄漏的身份信息超过了1000万个。2013年,有超过5.5亿个身份信息遭到泄漏。这个数字本身令人不安,但同时也降低了地下市场上身份盗窃的价值。在那里,根据销售信息内容的不同(例如CVV、Pin码等),信用卡信息的价格曾经达到5~20美元/记录,而在2013年,信用卡信息的价格往往低于1美元/记录。换言之,攻击活动频繁发生,以至于市场充斥着个人可识别信息,从而使这些数据变得几乎毫无价值。
1.3.2 恶意软件商品化
数据泄漏现象的增长大部分直接归因于恶意软件的商品化。过去,如果有人打算闯入网络并保持长期的访问权,必须拥有相当的技能和经验。
现在,情况不再是这样了。利用Metasploit、PhishPoll和SpearPhisher等工具,没有经验的攻击者可以比以前更轻松地对特定目标发动攻击,或者四处尝试,偶然地进入多个网络。
当然,这并不足以获得网络的控制权;攻击者必须留下某种东西,以便继续浏览网络,偷出数据。同样,地下市场销售许多恶意软件,支援此类行动,如图1-2所示。
由于有了地下市场,成功制作恶意软件的开发者可以将产品销售给其他用户。原谅我在此使用企业用语,但是这确实是一个对双方都有利的举措。对于开发者而言,销售恶意软件往往比销售泄漏的数据更有利可图;对于买家来说,恶意软件是一个经过证明的程序,已经排除了许多缺陷。正如传统的软件销售那样,购买恶意软件的服务通常包含在正常上班时间的电子邮件和电话支持,往往在其生命期(直到被防病毒供应商辨别出来)内有一个服务水平协议(SLA)。有些销售的恶意软件甚至有“先试后买”的选项,用户可以试用一个精简版本,如果喜欢再购买完整版本。
地下经济模仿传统经济的另一个例子:2010年底,两个最流行的恶意软件工具包ZeuS和SpyEye将要合并的消息引起了热议。ZeuS恶意软件工具包的原创者认为,当局正在步步逼近,所以打算将代码移交给SpyEye的幕后团队。对于这一合并是否发生有一些推测,有些ZeuS源代码确实出现在SpyEye工具包中,但是直到ZeuS源代码在网上流出,明显降低ZeuS恶意软件工具包购买成本的附加好处才会显现。
当然,正如许多企业将软件转移到云中一样,恶意软件用户和开发者也这么做。许多新的攻击者并不需要耗费精力去学习恶意软件的工作原理,并确保其正确地更新,而是在需要的时候简单地租赁他们所需要的基础设施即可。
地下市场中的供应商将构建恶意软件基础设施,获得必要的重定向结构,确保最新版本恶意软件的可用和测试。准确地说,想要成为攻击者的人只需要提供目标电子邮件列表,以及作为网络诈骗诱饵的邮件模板即可。
如果网络钓鱼不是目标,其他供应商会出租他们的僵尸网络,用于DDoS攻击或者其他邪恶目的。有些攻击者已经积累了数万甚至数十万台机器组成的僵尸网络,可以从一个控制面板上控制。如果有合适的价格,他们就会激活僵尸网络,将攻击指向任何组织。这些巨型僵尸网络往往能够使这些组织在几天甚至几周内无法访问,目的是为了复仇或者掩盖真正的攻击。
拥有对组织发动攻击的技术技能以及开发和部署这些技能的时间,已经不再是进入门槛。现在,进入的门槛只是有足够的钱(开始时并不需要很多),从全职的恶意软件开发者那里租赁或者购买工具。
2014年7月,iSIGHT Partners观察到,在俄罗斯的论坛上,地下网络服务中的网络犯罪分子在被侵入主机上安装恶意软件的平均价格为200美元/1000台主机,而在中国的论坛上,价格为16~32美元/1000台主机,这进一步说明了地下市场的情况。在同一份报告中,iSIGHT还说明,在中国的论坛上还以低至32美元/小时的价格提供DDoS攻击能力(iSIGHT Partners,2014)。
1.3.3 攻击之王—网络钓鱼
任何值得一看的黑客电影或者电视剧都会向观众描绘,胆大包天的黑客在防火墙中找到一个漏洞,进入服务器找到必要的数据并将其取回(通常在屏幕上有一闪而过的一大堆不相干的代码)。本书的任何一位读者当然知道,这并不是现代攻击的方式。大部分攻击从“糖衣炮弹”开始。为什么呢?因为这样的攻击最有效。
安全团队已经非常擅长保护边界。可靠的防火墙规则和快速更新的IDS特征码能够阻止攻击者。尽管偶尔会有攻击者采用SQL注入或者暴露的端口取得成功,但是从外部闯入网络已经成为费时、成本高昂且收效甚微的工作。
相反,网络钓鱼却很容易。正因为它很简单,在2014年的互联网安全威胁报告(ISTR)中,Symantec(Symantec,2014)报告,2013年跟踪到779次不同的钓鱼活动。据报道,这些活动针对特定组织,平均周期为8天。同时向组织里发送少量邮件,使攻击者可以躲过安全系统的监控,成功地感染更多用户。
网络钓鱼(尤其是鱼叉式钓鱼)越来越流行的另一个原因是,跟踪目标电子邮件地址比以往更容易。部分原因是,网络钓鱼的领域从个人转向专业。是的,现在仍然到处充斥着仿冒“美国银行”的电子邮件,在可预见的未来中这种情况还将持续,但是此类邮件的效果已经大不如前。只要有合适的诱饵,针对组织的网络钓鱼活动很容易发动,而且非常有效。
获得组织内部电子邮件列表有多简单?这取决于组织的大小,可能只需要花费几分钟。当然,在地下市场可以购买到企业用户的列表。但是如果攻击者不想花费金钱去购买可能已经过时的目标列表,那么还有其他的选择。几乎所有组织的电子邮件地址都使用相同的模式:firstname_lastname@organization、firstinitialastname@organization、lastname.firstname@organization等。攻击者只需要组织内部一个人的邮件地址,就能够知道邮件的格式。下一步,攻击者可以前往LinkedIn或者Facebook,寻找列出雇主组织的人。现在,攻击者已经有了一个用户及其电子邮件的列表,可以发动鱼叉式钓鱼活动。
因为攻击者了解组织,编写特别能够诱使该组织内部用户点击链接打开附件的邮件十分简单。甚至有一些网站(对于懒于阅读的人还有视频)会提供编写成功的诱饵邮件并能避开垃圾邮件检测规则的建议。
1.3.4 攻击面正在扩大
根据前面提到过的兰德公司报告(Ablon等,2014),组织Twitter账户凭据的价值超过信用卡数据。这一点很有意义,毕竟,在流行的Twitter简讯上发布一个指向被感染网站的链接,明显能够造成更多的用户被感染,而且还有一个额外的好处:可以非常公开地贬损公司的品牌。
所以,安全团队本来已经在跟踪从防火墙、IDS、代理和防病毒系统收集的数据上疲于奔命,现在还需要担心营销团队在社会化媒体账户上是否采取了合适的预防措施。
坏消息还不止于此。基于PC的恶意软件快速增长,而这种速度还不及移动恶意软件的增长速度。2013年,Fortinet识别出1800个新的恶意软件家族(Fortinet,2014),大部分针对普遍采用的Android平台。虽然移动恶意软件不是什么新事物,但是随着智能手机的兴起,移动恶意软件的能力、复杂度和危险性都成为了显著的威胁。
移动恶意软件威胁从多个方面得到体现。向员工提供智能手机的组织对用户在手机上安装个人应用或者检查个人邮件往往很宽容。这些活动越来越成为风险,而且往往没有受到监控。
根据RiskIQ2013年的报告,在Google Play Store上的应用中,有11 000多种包含恶意行为(Miners,2014)。尽管这一数字与应用商店中的总数相比微不足道,但是仍然成为了一个重大的威胁。
这并不是移动恶意软件感染网络的唯一方式,2013年,一个叫作Superclean的应用自称是Android平台的防病毒软件,它成为第一种可以从手机上进入PC的移动恶意软件。现在,携带自己的手机进入工作单位的员工,将其插入办公室的计算机上充电就可能感染整个网络。
2013年,针对特定组织发动的“水坑式攻击”的次数也有了很大的增加。水坑式攻击发生在攻击者侵入目标组织常常访问的网站时。例如,如果攻击者对进入金融行业感兴趣,可以入侵该行业组织常常访问的某个金融新闻网站。水坑式攻击倾向于入侵规模较小的、具有特殊受众群体的专业网站。这些网站通常没有强大的安全措施,往往是较容易得手的目标。攻击目标对水坑网站很信任,所以通常很少注意访问网站时的安全异常情况。
攻击面扩大的另一种方式是“战役”(Campaign)的兴起。战役是一组攻击者决定针对特定行业或者事件发起的行动。“匿名”(Anonymous)组织因其发动的战役而臭名昭著,这类战役通常在Twitter上以#OpUSA、#OpPertrol和#OpWorldCup等主题标签发布广告。但是其他群体使用相同的策略,集中资源发起对金融行业、国防工业基地和其他引人注意目标的攻击。较小规模的组织往往遭到这类战役的附带损害,或者因为成为战役目标而被用于获得行业中更大规模组织的入侵路径。攻击活动中的另一个趋势是,攻击者针对的组织越来越小。
即使到了2010年,攻击者发动的针对性攻击追逐的几乎都是大型或者引人注目的组织。这些组织很快意识到应该加强网络安全,所以变得越来越难以攻击。因此,攻击者知道自己应该追逐较小的、安全性较差的组织,利用这些遭到入侵的组织,不仅可以收集大量数据,还可以作为进入更大组织的跳板。实际上,在2014年的ISTR(Symantec,2014)中,Symantec指出,所有针对性攻击中有39%以大型企业(员工人数为2501人或以上)为目标,而30%的针对性攻击以小企业(员工人数为250人或以下)为目标。
安全团队仅监控网络中发生的情况已经不够了;意识到组织周围的威胁同样重要。知道发生在网络之外的事件以及在垂直方向上对其他组织的影响都十分重要。
1.3.5 云的兴起
云技术的开端很简单;网络团队不熟悉对主机和电子邮件服务的管理,因此将它们外包给第三方托管公司。多年以来,通过云交付给员工的服务数量显著增长。ADP、Workday、SalesForece.com、DocuSign、DropBox和许多其他公司将关键的组织职能转移到云中。以云为中心给组织带来的好处各不相同,包括远程员工访问关键服务更加容易、扩展可向员工提供的服务等。
云服务的缺点是它们成为扩展中的攻击面的一部分,安全团队通常对这些服务的安全态势没有深入的了解。当然,不仅是安全团队,大部分组织对托管在云中的数据安全性也没有任何了解。
我们并不是说云提供商没有认真对待安全问题。大部分提供商都有出色的安全控制,非常认真地保护客户的数据。但是大部分云提供商不向客户提供安全日志和指标,这意味着,对客户数据的攻击(甚至遭到挫败的攻击)往往在客户浑然不知的情况下发生。即使这些提供商提供日志,日志也往往在云中,没有任何简单的方式可以将其收集到组织的网络中,安全团队在自身所有工作之外,还得定期查看云提供商的多个控制面板。
这样,安全团队试图关联扩展的攻击途径中的所有数据时就碰到了问题。例如,攻击者可能试图访问员工的DropBox文件夹以访问有价值的文档,也可能对员工发动鱼叉式网络钓鱼攻击。安全团队可能知道第二种攻击,但是不知道第一种,也就是说,两个事件之间没有任何相关性。这会导致安全团队得出错误的结论:所遭遇的是一次性攻击,已经被阻止。而实际上,这是一次持续性的攻击,攻击者可能正在寻找新的攻击途径。
我们无意指责云服务。云提供商向客户提供有价值、越来越重要的服务,但是也使网络安全工作变得更加困难。
