CrowdStrike、Change Healthcare、日益猖獗的勒索軟件威脅以及網絡監管——這些是今年占據頭條新聞的主題，也是CISO和網絡專業人士正在適應的內容。

今年，網絡安全頭條新聞層出不窮，多起數據泄露、攻擊和事故引發了全球關注。

其中幾起事件影響深遠，有可能重塑行業保護措施，顛覆供應商保障客戶系統安全的方式，或促使安全領導者重新評估其戰略。

長期趨勢，如網絡安全監管的加強和AI對行業的影響，在2024年及以后也對IT安全運營產生了并將繼續產生重大影響。

以下是對今年網絡安全事件的回顧，以及這些事件如何重塑CISO在保護企業方面的戰略和戰術的見解。

Change Healthcare遭受勒索軟件攻擊

2月，聯合健康集團(UnitedHealth Group)旗下的Change Healthcare遭受勒索軟件攻擊，導致大規模中斷。

與ALPHV/BlackCat勒索軟件團伙有關的網絡犯罪分子利用泄露的憑據闖入Change Healthcare的系統，訪問了未受多因素身份驗證訪問控制的Citrix門戶賬戶，他們在部署勒索軟件之前，竊取了敏感數據——包括姓名、社會保險號、診斷信息、治療方案和財務數據，后來估計影響了多達1.12億人。

美國衛生與公共服務部(HHS)正在調查是否發生了受保護健康信息的泄露，以評估聯合健康集團或Change Healthcare是否違反了嚴格的醫療保健行業隱私規定。

Change Healthcare——美國最大的醫療保險索賠清算機構——在遭到攻擊后，其系統被迫下線，導致美國醫療系統的大部分癱瘓數周。數千家藥店和醫療保健提供商因電子支付和醫療索賠無法處理而受到影響。

患者被迫自費支付許多藥物費用，而無法依靠共付額或優惠券，此次數據泄露使許多醫療提供商面臨破產威脅，聯合健康集團為受此次攻擊影響的醫療保健提供商提供了20億美元的援助。

向數千家受影響的提供商加速付款以及提供無息無費貸款、事件應對工作和Change Healthcare系統的全面重建，再加上收入損失，意味著此次數據泄露的總成本預計將超過10億美元。

后來有消息稱，Change Healthcare在攻擊發生后向與ALPHV相關的加密貨幣錢包支付了相當于2200萬美元的比特幣，但這并沒有阻止RansomHub團伙試圖利用在數據泄露期間竊取的敏感信息對聯合健康集團進行勒索。

此次攻擊在4月的國會聽證會上引發了要求為醫療保健提供商制定基線安全標準的呼聲，也有人質疑整合是如何使醫療保健行業更容易受到網絡攻擊的。

總體而言，此次事件讓全世界關注到醫療保健行業遭受的網絡攻擊不斷增加，勒索軟件被視為該行業的核心威脅，此次慘敗給醫療保健行業和其他行業的CISO留下了幾個關鍵教訓。

CrowdStrike崩潰事件

7月，CrowdStrike的Falcon Sensor安全軟件的一個錯誤配置更新導致運行該軟件的Windows系統崩潰。對Channel File 291的內容更新導致Windows傳感器客戶端出現越界內存讀取，使受影響的Windows個人電腦和服務器崩潰，并陷入啟動循環。

估計有850萬個Microsoft Windows系統受到影響。

盡管錯誤更新很快被撤回，但由此造成的中斷影響了全球多個行業的組織，包括航空公司、銀行、廣播公司和醫院。

在此次中斷之后，CrowdStrike加強了其發布前的測試流程并改進了質量控制，此次事件凸顯了安全軟件進行嚴格測試和故障安全機制的關鍵重要性。

為應對此次中斷，微軟開始評估安全供應商是否需要內核級訪問才能有效工作。在內核中運行的安全軟件包可以獲得更大的可見性，并有機會阻止低級惡意軟件，但這種方法的缺點是，一旦出現問題，整個系統就會崩潰，出現著名的藍屏死機。

除了讓全世界關注到內核級和軟件測試問題外，此次事件還向CISO和CIO們揭示了IT對管理軟件的過度依賴、需要重新評估云集中風險以及擁有健壯的業務連續性計劃等關鍵戰略問題。

與MFA缺陷相關的Snowflake廣泛數據泄露

基于云的數據倉儲公司Snowflake發生的賬戶黑客攻擊導致多起高調的數據泄露事件，影響包括AT&T、Ticketmaster、Neiman Marcus Group和Advance Auto Parts在內的多家組織。

網絡犯罪團伙UNC5537利用竊取的客戶憑據系統地破壞了Snowflake客戶實例，然后竊取敏感數據。根據谷歌威脅情報部門Mandiant的調查，這些被盜數據被用于企圖向許多受害者勒索錢財，或通過網絡犯罪論壇出售。

AT&T在7月的一份監管文件中承認，網絡犯罪分子竊取了1.1億人的電話和短信元數據。被泄露的信息包括通話或短信記錄，但不包括任何短信的內容或客戶的個人身份信息。據報道，這家美國電信運營商向犯罪分子支付了37.7萬美元，要求其丟棄這些被盜的電話記錄。

這一問題最初是在4月發現的，當時Mandiant追蹤到一起數據泄露事件，該事件涉及一個使用先前通過信息竊取惡意軟件盜取的憑據而被破壞的Snowflake實例。隨后的工作發現，這種模式在多個案例中重復出現，其中許多案例可以追溯到2020年的歷史惡意軟件感染。

Mandiant和谷歌通知了165家可能受影響的組織。此次黑客攻擊潮被歸咎于在Snowflake客戶賬戶中未啟用多因素身份驗證(MFA)的情況下憑據被盜，而非Snowflake環境本身遭到破壞。

對此，Snowflake向客戶提供了檢測和加固指導。

10月，美國檢察官起訴了兩名嫌疑人——來自安大略省基奇納的康納·萊利·穆卡(Connor Riley Moucka)和居住在土耳其的美國人約翰·賓斯(John Binns)，指控他們涉嫌參與Snowflake數據泄露事件。

這些廣泛的攻擊凸顯了為什么云安全已成為CISO的首要任務，并強調在當今企業中，MFA的使用顯著落后于應有的水平，微軟和AWS等供應商現在即將推出新的MFA規定。

LockBit打擊未能遏制勒索軟件威脅

在其他與網絡犯罪相關的新聞中，2月，在一項名為“Cronos行動”的重大國際警方行動中，LockBit勒索軟件團伙遭到打擊。與該團伙相關的服務器和網頁域名被查封，違規賬戶被關閉，嫌疑人在波蘭和烏克蘭被捕。

盡管該團伙遭到打擊，但后來仍報告發生了使用LockBit勒索軟件或其變種的攻擊，并且有報道稱該團伙的部分成員打算恢復其運營活動。與以往一樣，這些詐騙通常涉及威脅發布被盜數據以勒索受害者，并要求支付解密密鑰的費用。

LockBit——一個主要的勒索軟件即服務(RaaS)運營——據估計，僅在2020年1月至2023年6月期間，通過攻擊美國受害者就獲利9000萬美元。

盡管執法機構展開了大量行動，但勒索軟件仍然變得更快、更智能、更兇猛，新的團伙在打擊行動后不斷涌現，企業不得不為其勒索軟件談判手冊增添新篇章，并就是否支付勒索費用展開辯論。

深度偽造成為更大威脅

今年，AI的使用在有益和惡意目的方面都呈加速趨勢。

攻擊者可以利用AI來擴大和完善其技術，使勒索軟件和釣魚攻擊更有效。例如，AI技術可以被濫用生成虛假的音頻和視頻，即所謂的深度偽造。

總部位于倫敦的跨國設計和工程公司Arup就遭遇了一起深度偽造騙局，損失達2億港元(2560萬美元)，其香港辦公室的一名財務工作人員在參加視頻會議時，被騙子使用深度偽造技術冒充其位于英國的首席財務官，從而被騙授權進行交易。

深度偽造也開始成為朝鮮假冒IT工作人員騙局的一個要素。朝鮮特工冒充合法的IT專業人員，試圖在西方公司獲得雇傭。一旦被聘用，這些“遠程工作人員”就會利用其內部訪問權限竊取敏感或專有信息，同時領取工資，這些工資最終被轉回朝鮮政權。

據信已有300多家企業淪為假冒IT工作人員騙局的受害者，該騙局估計為朝鮮政府帶來了數百萬美元的收入，使其能夠規避國際制裁，同時為武器計劃提供資金。

NPD數據泄露余波

美國背景調查公司National Public Data發生數據泄露，暴露了29億條記錄，使數億人的數據面臨風險。此次黑客攻擊發生在2023年12月，但直到2024年7月一個4TB的被盜數據被泄露到網絡犯罪論壇上，此事才廣為人知。

此次泄露暴露了美國、英國和加拿大估計約1.7億人的社會保險號、姓名、郵寄地址、電子郵件和電話號碼。

2024年10月，在數據泄露事件后面臨多起訴訟的National Public Data申請了破產。

監管壓力上升

歸咎于中國的針對電信運營商的Salt Typhoon網絡間諜攻擊事件，促使人們計劃要求電信運營商加強其安全措施。

歐洲也在加強網絡安全監管，擴大了歐盟的網絡和信息安全指令(NIS2)。NIS2涵蓋了更多行業和部門，引入了更強的網絡安全風險管理措施和事件報告制度。

美國證券交易委員會(SEC)修訂后的數據泄露披露規則增加了CISO的責任，尤其是那些在上市公司任職的CISO。安全領導者需對網絡安全故障或誤導性披露承擔個人責任。

監管復雜性的增加和個人責任的加重，只是CISO在權衡各方面因素時面臨的挑戰之一——這也導致了CISO對工作的不滿和離職傾向的增加——當他們在回顧2024年的關鍵收獲并展望新的一年時，這些挑戰尤為凸顯。