2011回顧:新環境下網絡安全令人堪憂
2011年逐漸接近尾聲了,又到了我們總結過去、展望未來的時候。今年,安全業界依然是不平凡的一年,隨著云計算、移動互聯網等新技術的落地與廣泛的應用,新的安全風險以及出現的更多的未知安全威脅讓整個安全業界有些措手不及。屬于今年的熱門關鍵字:ATP攻擊、云安全、移動安全,這些關鍵字讓所有的主流安全廠商開始轉變戰略,試看明年的安全業界,云安全、虛擬化安全、移動安全將成為業界的主流旋律!
2011年發生的主要安全事件:
高級可持續攻擊(APT)
當RSA執行主席ArtCoviello在三月中旬宣布,RSA受到攻擊,SecurID令牌身份驗證有關的信息被盜時,這僅僅只是一切麻煩的開始。這個事故被認為是年度最大數據泄露事故,很明顯攻擊者的目標是RSA客戶信息。這個事故也使“高級可持續攻擊(APT)”這個詞開始被大家所熟知。
高級可持續攻擊在2011年“遍地開花”。舉一個例子,挪威國家安全局透露石油、天然氣和國防企業受到高級可持續攻擊,工業機密和關于保密合同談判的信息被盜。挪威有10家公司表示,收到包含病毒的定制電子郵件,但沒有觸發反惡意軟件監測系統。但挪威安全機構并沒有說明這些攻擊的任何可能來源。
漏洞修復
YGN道德黑客組織(該組織聲稱只進行“道德”黑客行為以暴露軟件漏洞)發現了McAfee網站的漏洞并悄悄地聯系該公司告知漏洞信息。但是McAfee并沒有修復網站漏洞,YGN三月份將漏洞信息公布于眾,這給該安全供應商處于尷尬的境地,但他們聲稱其客戶沒有受到威脅。YGN組織對面向公眾的網站進行未經授權漏洞測試有點藐視美國法律的意思,他們還發現了蘋果公司的漏洞,蘋果公司對于修復其開發人員網站一直有點松懈。
開源受到攻擊
這些開源堡壘也開始受到攻擊:MySQL.com、Linux.com和Linuc.org、Kernel.org,加上開源操作系統商業軟件都受到惡意軟件攻擊。一名俄羅斯黑客聲稱以3000美元出售My.SQL域名的根訪問。
服務中斷問題
Verizon的4GLTE網絡于2010年12月推出,4月28日,4GLTE無線網絡遭遇了連續24小時的大面積中斷。這并不是2011年唯一出現中斷的服務。黑莓數據服務在10月份也出現了四天的全球中斷,雖然RIM公司(黑莓手機制造商)一直掙扎著與蘋果iPhone抗衡,但他們并不希望以這種新聞提高知名度。當RIM的“其雙冗余、雙容量的核心交換機”出現故障,并且其備份無法激活時,導致世界各地的黑莓用戶根本接受不到服務,RIM公司聯合首席執行官MikeLazaridis被迫發出公開道歉,承認這是該公司歷史上最嚴重的宕機事故。
11月,北美和歐洲遭受的互聯網中斷很顯然與Juniper路由器的漏洞有關,影響著很多運營商,例如Level3。
云端安全
微軟BPOS云托管通信和協作套件在6月遭遇宕機,而Amazon的EC2服務在4月遭受可用性問題,8月份出現短暫中斷。Vmware的CloudFoundry服務在其測試中遭遇宕機。而且不要忘了NorthropGrumman,在其提供的數據中心服務出現宕機故障后,它同意向26家機構支付500萬美元損失。
俄羅斯對美國伊利諾伊州水力設施發動網絡攻擊
11月時,一個俄羅斯IP地址攻擊了伊利諾伊州公共用水的內部SCADA系統,造成一臺水泵被遠程打開和關閉,發生故障,這是一次外國網絡攻擊嗎?伊利諾伊州恐怖主義和情報中心(STIC)對此發出了一份機密報告,能源行業分析師兼作家JoeWeiss向華盛頓郵報記者透露了這份報告。但是在隨后的報告中,FBI和美國國土安全局表示,他們調查了STIC,沒有找到任何證據可以證明他們的報告。有消息稱,當時是在俄羅斯出差的承包商遠程訪問了內部系統。但是國土安全局稱“事件正在調查中”。
2011年數據泄露事故一覽
No.1:四月,所謂的“Sonyhack”可以讓攻擊者獲取索尼在線playstation網絡7700萬用戶的信息,包括信用卡號碼等,這導致索尼不得不關閉其服務。在五月,索尼稱這次攻擊損失達到1.7億美元。
No.2:營銷公司Epsilon公司在四月份透露,攻擊者竊取了其2%的客戶名稱和地址,直接影響著Walgreens、百思買、花旗銀行、摩根大通、Kroger連鎖超市等。
No.3:一些SSL證書提供商(包括Comodo、DigiNotar和GlobalSign)遭受了數據泄露事故,據稱是由一名21歲伊朗學生(自稱Comodohacker)發起的攻擊,攻擊者制造了假的google證書來獲取個人Gmail賬戶的登錄信息,且受害者的瀏覽器沒有發出任何警告。DigiNotar因為這次攻擊宣布破產,而且荷蘭政府禁止使用DigiNotar證書。
No.4:美國政府研究實驗室一直是攻擊者的目標,最終也難逃一劫。四月份,在約573名實驗室員工收到釣魚電子郵件攻擊后,橡樹嶺國家實驗室被迫關閉其電子郵件和互聯網服務。
No.5:6月份,花旗銀行承認攻擊者攻入其系統,并設法竊取約36萬名感染客戶的信用卡號碼。花旗銀行損失達到270萬美元。
No.6:在發生無意數據泄露事故,泄露了320萬人的社保號和其他個人信息后,美國德克薩斯州主計長解雇了信息安全和創新技術負責人。
No.7:11月,大量色情圖片進入Facebook,據稱是針對用戶的“clickjacking攻擊”,Facebook隨后將這些圖片清除。
No.8:羅馬尼亞當局逮捕了一名26歲黑客,該黑客被指控攻入多個NASA服務器,對美國航天局系統造成50萬美元的損失。預計將在羅馬尼亞受審。
應用程序商店的安全
在3月,當谷歌發現50個Android應用程序為惡意程序時,被迫從其AndroidMarket中刪除了這些應用程序。這是谷歌AndroidMarket遭受過最糟糕的情況。
2011年是Anonymous豐收的一年
2011年不得不提的就是Anonymous組織,這個秘密黑客組織主要攻擊世界各地的企業和政府組織,用這樣或那樣的攻擊手段來攻入目標網絡來竊取數據并張貼出來,或者發動攻擊讓網站崩潰。除了大家都知道的針對安全公司HBGary的攻擊外,Anonymous被認為還攻擊了KochIndustries,美國銀行和NATO,并對紐約證交所發動了DdoS攻擊。Anonymous還在促進世界各地的占領華爾街活動發揮了作用。
Anonymous的其他行動還包括針對突尼斯、巴西、津巴布韋、土耳其、澳大利亞、馬來西亞政府和佛羅里達州商會的相關網上資源。Anonymous最近的活動主要專注于兒童色情網站和墨西哥的販毒集團等。
Duqu病毒
10月份,當匈牙利研究實驗室CrySyS與世界各大反病毒供應商分享了其對Duqu病毒的研究,自此Duqu病毒進入安全舞臺。
隨后安全供應商卡巴斯基實驗室確認在蘇丹和伊朗(該木馬程序的前身—Stuxnet的主要攻擊目標)出現了新Duqu惡意軟件感染。Duqu病毒被認為與Stuxnet工業破壞病毒密切相關,因為它借用了Stuxnet的代碼和功能,Duqu是一個用于數據滲出的靈活的惡意軟件交付框架。
該木馬程序主要有三個組成部分:內核驅動程序,注入流氓庫(DLL)到系統進程;DLL本身,處理命令控制服務器和其他系統操作的通信例如寫注冊表或執行文件;以及一個配置文件。
CrySyS最終發布了一個工具包來幫助從感染系統檢測和刪除該病毒,微軟也發布了一個修復工具來允許windows用戶手動修復系統,阻止Duqu攻擊。
Duqu被認為是專門針對企業的有針對性攻擊,可能成為2012年的主要惡意軟件。
10天攻擊
三月份,一個多層次僵尸網絡攻擊了韓國計算機達10天之久,被證明是無法抵抗的頑固力量。隨后,僵尸網絡突然停下來了,惡意軟件向僵尸機器發送了自殺命令,摧毀了文件,使機器無法啟動。McAfee的安全專家稱,攻擊源自朝鮮,這種攻擊的復雜程度(40個命令和控制服務器、代碼更新來阻止檢測、多種加密方案)遠遠超出了運行有效DdoS攻擊所需要的工具。McAfee觀點:十天攻擊是一次偵察行動,旨在了解韓國如何應對真正的破壞性攻擊以及應對速度。
【編輯推薦】
