IT行业因未能预见网络攻击演变而“缺乏想象力”

调查记者Kim Zetter于8月11日告诉美国黑帽会议的代表,信息技术行业仍然落后于攻击者让企业遭受一波又一波的可预测攻击。Zetter在发表主题演讲时指出,自2010年Stuxnet恶意软件使伊朗核离心机陷入困境以来,已经取得了许多成就。Stuxnet——被认为是世界上第一个网络武器——突出了工业控制技术中很少有人注意到的漏洞。Zetter表示,这次攻击将网络安全提升为国家安全问题,但攻击机制“不应该让任何人感到意外”。位资深的infosec beat记者表示,同样的模式也出现在了Aurora攻击中,该攻击袭击了谷歌、RSA和其他数十家公司,这是一场范围广泛的攻击,预示着2010年“大规模间谍活动和供应链黑客的新时代”的到来。

Zetter告诉美国黑帽公司:“[极光行动]是中国开展的一场广泛的间谍活动,袭击了34家公司,并针对谷歌、Adobe和瞻博网络的源代码存储库,其中包括针对RSA种子存储库的首批重要供应链行动之一,其多因素身份验证系统的引擎。”

Zetter继续说道:“Aurora向公众介绍了APT[高级持续性威胁]和民族国家黑客不断增长的能力。

“在此之前,主要关注网络犯罪分子的安全社区开始更多地关注民族国家行为者和使网络犯罪分子的行为感觉有点古怪的复杂技术,[而]黑客行动变得更具侵略性和更重要。”

随之而来的是越来越复杂的网络攻击,包括针对美国人事管理办公室、DNC漏洞、NotPetya和SolarWinds的定向攻击。

根据Zetter的说法,攻击者的日益复杂也不应该让人感到意外。

自2010年以来的12年中,网络安全发生了很大变化和改善,但尽管政府越来越关注威胁和巨额支出,但当“威胁行为者转向新的但通常完全可预测的方向”时,世界仍然感到惊讶,她说。

“有一些事情真的让我们措手不及,”Zetter说。

“这是去年黑客在构建过程中将后门注入SolarWinds软件后有人告诉我的。软件制造商拥有所有这些安全机制来检测源代码存储库中的源代码更改,但没有人保护构建环境,因为没有人将恶意软件注入软件构建过程。”

Zetter继续说道:“你发现这种模式了吗?对黑客的下一步行动缺乏想象力或缺乏预期。”

她补充说:“我们习惯于在威胁发生后对其做出反应,而不是为它们做好准备,或者忽视警告即将发生的问题的理性声音,只是在它们发生时争先恐后地采取行动。”

同样,勒索软件日益增长的威胁以及向更高知名度目标的转移以及需求规模(例如去年对Colonial Pipeline的攻击)也是可以预见的。

Zetter说:“Colonial Pipeline是一个分水岭,但如果有人对这次攻击感到惊讶,他们不应该感到惊讶,因为当Stuxnet在2010年被发现时它是完全可以预测的——它揭示了漏洞和关键基础设施......在那之前,安全社区主要关注IT网络。”

几个月后,Colonial Pipeline的首席执行官在国会山告诉立法者,尽管它确实有一个应急响应计划,但该响应计划不包括勒索软件——尽管勒索软件攻击者自2015年以来一直以关键基础设施为目标。

因此,如果Colonial Pipeline看起来,迹象就在那里,Zetter说,并补充说她不想打败该组织——尤其是因为许多关键部门组织仍然同样脆弱。

“如今,黑客经营他们的犯罪企业的方式并没有太大的不同。他们仍然在地下论坛中组织,他们仍然以等级结构经营,他们仍然赚钱——很多钱。

“主要区别在于他们已经有十多年的时间来完善他们的运营并变得更加专业,”Zetter总结道。

“现在他们为员工提供带薪工作,甚至提供带薪假期。但他们还是会吵架。

“他们仍然互相交叉,他们仍然认为执法部门不会抓住他们。有时他们是对的。因此,在阳光下几乎没有什么新鲜事,”美国网络安全记者总结道。

Zetter的主题演讲题为“震网前,震网后:一切都变了,一切都没有变”。

发表评论

评论已关闭。

相关文章