聊聊網絡安全行業這十年(2010-2019)
網絡安全成為主流的十年
在2010年之前(其實應該是從2011年算起,不過2010年更順口),網絡安全還是一個孤立的領域。直到自己所使用的東西無法運轉之前,沒有人真正關心這一行業。惡意軟件或廣告軟件導致設備崩潰,用戶因為設備無法使用而不得不由 IT 人員重新加載時感到懊惱,但這一切問題結束后,憂慮也隨之消散。
當我們邁入2010年時,多數企業的做法仍然毫無改觀,但到2018年至2019年時,網絡安全專家和安全及風險專業人員成為董事會及新聞中的常客。關于“網絡”的斗爭激化了,抵抗力量消散了,而這就是所謂的整個歷程。我們不如把優雅接受失敗的做法視作臣服吧。我們來盤點一下十年來最值得注意的趨勢和事件。
這句話很流行:我們認真保護您的隱私和安全。
每個人或聽過或讀到過這句話,它往往出現在公司開始解釋造成侵犯隱私和安全的事件的原因之前。而多數安全和風險專業人士認為這句話中缺少一個關鍵詞:“現在”——“現在,我們認真保護您的隱私和安全。”這句話如此流行,Forrester 公司的分析師甚至為其創建了一個新指標:MTBCA(“距離首席執行官道歉的平均用時”)。
采用率很高的借口:“精明的攻擊者繞過安全控制……等等”
塵埃落定后,我們幾乎總會發現攻擊者實際上并沒有那么“精明”。或者,即使他們很精明,但實際上并未耗費九牛二虎之力就侵入環境。結合唾手可得的目標和 Living off the land(LotL) 技術讓攻擊者游刃有余地入侵公司。
并購幻滅:Intel 和 McAfee
Intel 和 McAfee 的并購掀起了網絡安全市場長達十年的并購活動和資本涌入盛況。多數并購活動確實帶來積極影響,但本案例除外。
McAfee 被收編至 Intel 麾下的七年毫無建樹。Intel 兼并 McAfee 好像是發生在多年以前的事,或者看起來似乎如此,但事實果真如此嗎?實際上它發生在2010年中期。在落筆前,我本來要說這件事發生在上個十年,但實際上并非如此,它確實拉開了這個十年的序幕,它到底象征著什么呢?Intel 的愿景本來是利用 McAfee 將安全性嵌入硬件中,為Intel 帶來獨立的硬件和安全廠商無可比擬的獨特的競爭優勢。遺憾的是,這一愿景并未結出碩果,Intel 最后不得不將 McAfee 剝離出去。Forrester 公司曾預測到這一點,七年后它成為了現實。
榮譽提名:火眼公司和 Mandiant
分水嶺:殺死鏈和APT報告
Mandiant旗下火眼公司發布多份關于國家黑客參與網絡糾紛的案例報告,用間諜小說的手法說明網絡安全,改變了該行業的市場營銷方式。在這十年行將結束之前,一個接一個的企業使用威脅情報報告作為內容營銷手段招徠客戶。
每個行業都有自己的術語,網絡安全行業也不例外。火眼公司發布關于 Lockheed Martin KillChain(“殺死鏈”)報告創建了以術語來解釋發生了什么、為何會發生、如何分類以及更重要的是如何應對未來的各個攻擊階段。它并未解決技術和非技術觀眾之間的溝通鴻溝,但確實解決了在構造攻擊方面網絡安全行業內的溝通問題。
優秀(或最糟糕)惡意軟件
備選者雖眾,但這這兩款惡意軟件因定義了這十年來的攻擊工具而鶴立雞群。
“震網 (Stuxnet)”具備一切:復雜性、地緣政治和工控系統。Stuxnet 不乏專門的書籍和紀錄片介紹,而且一名美國陸軍將軍因揭露 Stuxnet 實際上是代號為 “Olympics Games” 的一項美國計劃而受到紀律處分。輸出 Stuxnet 要求結合技術能力、HUMINT 和足夠的時間以便通過外交渠道解決問題。
WannaCry 和 NotPetya 問鼎勒索軟件冠軍。這十年的后半段應該是勒索軟件的天下,它使電信、物流、公共事業、市政等機構癱瘓。其它惡意軟件和這兩款勒索軟件相比均黯然失色,尤其是從非網絡安全從業人員的角度來看更是如此。盡管造成了破壞,但 WannaCry 和 NotPetya 也讓網絡安全對于互聯企業的重要性得到宣傳。
榮譽提名:PoisonIvy、Magecart、Anthem、Community Health Systems 和每種銀行木馬。
最重要的數據泄露事件
我們不可能提到所有的大型或超大型數據泄露事件,而且它們也無法被稱之為“最佳”。因此,我們來回顧一下在這十年來造成重大變化的數據泄露事件。
言必稱Target:Target 淪為營銷素材
Target 百貨公司數據遭泄露的后果雖然肯定影響廣泛,但該行業內的所有相關方受影響很大的地方在于,Target 成為每家供應商平臺的默認梗:在第3張和第7張幻燈片之間的某個地方,肯定會聽到關于 Target 的內容。
OPM 挫敗美國的情報能力。2014年3月20日,美國人事管理局獲悉黑客已經提取了用于對安全通關進行背調的敏感的 Standard Form 86 副本。
索尼影業連接演員 Seth Rogen、Aaron Sorkin 和朝鮮。
人們最初對索尼影業遭受攻擊的注意力主要集中在它是朝鮮因電影《訪談》而實施的網絡安全報復上,索尼影業被攻擊之后后背發涼:因為多位名人之間的郵件往來都被暴露在互聯網上。這件事引發了人們對知識產權所有權以及誰能從被提取數據中獲益的大討論。而我們也獲悉了各種爆料,如名人作家和娛樂節目主持人有時會通過寫劇本支付私立學校的學費,以及索尼影業曾考慮聘請律師強迫明星出演但最終以失敗告終的各種故事。
榮譽提名:RSA、Equifax、Yahoo、Marriott 和 SWIFT
最具破壞力的漏洞
在我們說明這些漏洞之前,我們必須先說明由它們所產生的類別,即“十年中讓我們討厭的趨勢”:每個漏洞都有一個 logo 和網站。無需 write-up,它們自證其身。但從2010年到2019年期間,出現了兩個漏洞:一個破壞了互聯網基礎架構,另一個導致勒索軟件爆炸式增長:
OpenSSL 被曝“心臟出血 (Heartbleed)”漏洞,現在仍受影響
我們有一些非常有名的 CVE 漏洞,但很多人撓破頭也不知道 CVE-2014-0160 是什么。但如果你說“心臟出血”,他們馬上就反應過來了。它的名氣超過 MS08-067,確實也實至名歸。這個漏洞命中所有一切:網站、工具設備(包括安全設備)、應用程序……無所不包。它會導致什么后果?一切后果:私鑰、用戶名、密碼、郵件、數據……所有通過受影響的 OpenSSL 版本加密的一切東西均可被攻陷。如果你想找到能夠破壞技術領域中一切東西的漏洞,那它非“心臟出血”漏洞莫屬。
“永恒之藍(EternalBlue)”證實 NSA 真的非常善于開發 exploit
同時它證明網絡武器落入不法之徒之手,真的非常危險。盡管2017年起就發布補丁,但“永恒之藍”仍持續侵害企業。WannaCry、NotPetya和“壞兔子”也在攻陷初期階段使用“永恒之藍”,利用微軟 SMB 協議中的缺陷用于橫向移動。
榮譽提名:Meltdown 和 Spectre 以及 VPN 工具漏洞
網絡安全框架之最
雖然框架很難讓我們激情澎湃,但安全和風險專業人士迫切需要一些共性的東西來塑造程序并為安全程序提供目標。NIST 和 MITRE 提供的正是這些東西:
NIST 網絡安全框架已成為安全程序的溝通語言
2014年2月,NIST CSF 作為一個全面的框架首次亮相,它確實值得贊揚:將識別、保護、檢測、響應和恢復的概念納入我們的共享詞典中。Forrester 公司發現,經過網絡力量的傳播,NIST CSF 已成為討論網絡安全程序的董事會級別的語言。很多董事會成員任職于多個董事會,他們從一位 CISO 那里聽到 NIST CSF 之后開始后詢問其他人相關信息,從而使其在網絡程序相關討論中占據重要地位。
MITRE ATT&CK 已成為網絡安全威脅的溝通語言
ATT&CKruin已成為一種為業內廣泛接受的標準,如 ATT&CK 網站所言,“ATT&CK 是關于網絡對抗行為的知識庫,也是對它們生命周期內網絡對抗動作的分類。”Kill Chain 之于攻擊階段的做法就如同ATT&CK 在深層次之于攻擊者的行為和動作。鑒于最終用戶和投資者在檢測公司投入大量資金,ATT&CK 開發了一種方法,用于理解供應商安全工具在各個類別中的性能。
讓我們繼續前行
這十年不乏亮點,不過也有很多不為人所知之處。但對于在2010年之前開始職業生涯的安全和風險專業人士而言,情況確實是在向好的方向發展,他們得到了高管的更多支持,人們對網絡安全重要性的意識在提高,而且人們關注到技術對社會的影響。安全、風險和隱私挑戰不會消失。盡管如此,我們仍然從這十年的挫折中獲得了很多經驗教訓,也知道了如何處理這些障礙邁出更有意義的步伐。雖然道阻且長,但一切值得做的事情不都如此嗎?
