從美某管道運營商被勒索事件淺談安全行業
安全事件
近日國內外各大安全廠商或媒體都在爭相報道Colonial Pipeline被勒索事件以及美國宣布進入國家緊急狀態等,此次網絡攻擊事件最早爆光在5月8號,筆者先給大家梳理一下這次攻擊事件的一些相關信息。
5月8號(上周五),美國最大的燃油料管道-殖民地管道公司(Colonial Pipeline)受到網絡攻擊,該公司主動采取一定的系統隔離措施,同時暫停了所有流水線作業,公司被迫關閉運營,Colonial Pipeline位于墨西哥灣沿岸的煉油廠與美國南部和東部市場之間運輸精煉石油產品。
該公司每天通過其5500英里的管道輸送250萬桶石油,占東海岸所有燃料消耗的45%,該管道系統橫跨得克薩斯州休斯敦和新澤西州林登之間的5500多英里。
5月9號,在其官網上發布了相關的通告,如下所示:
在通告中Colonial Pipeline證實了此次網絡攻擊事件涉及勒索軟件,同時該公司聘請了一家領先的第三方網絡安全公司(疑似FireEye)參與事件的應急響應和調查處理,目前該攻擊事件仍在進一步的調查和取證階段,不過目前已經對該事件的性質和范圍進行了一些初步的確認。
同時在5月9號,美國國家網絡安全和基礎設施安全局(CISA)得知了Colonial Pipeline被勒索軟件攻擊事件,并發布了相關的防御措施建議等,如下所示:
勒索軟件指導和相關資源:https://www.cisa.gov/ransomware
5月9日早上,美國總統拜登也聽取了關于這一攻擊事件的簡報,聯邦政府正在積極評估這一事件的影響,避免供應中斷,并幫助該公司盡快恢復管道運營。
黑客針對國家級的關鍵基礎設施進行攻擊,并不是今天才發生的,早在2012年,美國國土安全部(DHS),就已經發現警告,黑客組組將天然氣行業作為攻擊目標,同時在2014年,美國幾家天然氣管道運營商受到網絡攻擊,2020年美國國家安全局(NSA)與網絡安全和基礎設施安全局(CISA)發布了聯合警報,敦促關鍵基礎設施運營商立即采取措施,減少受到網絡攻擊的風險。
其實早在幾個月以前,美國網絡安全和基礎設施安全局(CISA)發布了旨在加強管道運營商防御能力的網絡安全評估工具,相關工具的網站:https://www.cisa.gov/pipeline-cybersecurity-initiative,因為美國的管道基礎設施由數千家公司和超過270萬英里的管道組成,負責運輸石油,天然氣和其他商品,是美國經濟和國家安全的關鍵推動力。然后也就在CISA發布了評估工具后幾個月,Colonial Pipeline就受到了這次重大的網絡安全攻擊......
從全球網絡安全的發展來看,未來國家的關鍵基礎設施及系統會成為黑客組織攻擊的一個重點目標,各個國家都要重視相關基礎設施的保護,以防止被惡意軟件進行攻擊,前幾天美國阿拉斯加法院系統也因受到惡意軟件的感染,而被迫下線,全球各地每天都有各不同的網絡安全攻擊事件發生,網絡安全形勢非常嚴峻。
勒索病毒家族
筆者追蹤過多個全球主流的勒索病毒家族,根據一名美國官員向相關媒體透露,涉及此次攻擊事件的勒索軟件可能是DarkSide家族。
DarSide勒索軟件首次出現于2020年8月,這款勒索軟件出現不久,就已經在全球范圍內賺足了眼球,背后的黑客組織會通過獲取相關信息,評估企業的財力,然后再決定勒索的金額,同時這個勒索病毒黑客組織聲稱不會攻擊醫療、教育、非營利及政府等機構。
從這款勒索病毒黑客組織的攻擊特點可以猜測,此次的網絡攻擊事件是一次具有針對性和目標性的網絡攻擊事件,前期應該是收集了Colonial Pipeline的很多基礎信息,然后再發起網絡攻擊活動,到目前為止,Colonial Pipeline并未向外界透露自己是否交納了贖金。
此前筆者在國外某論壇上發現過這款勒索病毒的一個解密工具以及測試樣本,通過測試發現這款解密工具可以解密,不過DarkSide后面又出了幾個新的版本進行更新,此次攻擊事件中的DarkSide勒索軟件不知是否可以解密,估計FireEye的那些安全專家正在緊急分析和處理吧,呵呵。。。
勒索病毒發展
從2017年5月,WannaCry勒索病毒在全球范圍內大爆發,到2021年5月,美最大的燃油料管道公司被勒索軟件攻擊,這幾年勒索軟件層出不窮,新的勒索病毒家族不斷涌現,勒索病毒背后的黑客組織也不斷壯大。
更多的黑客組織開始使用勒索病毒發起攻擊,同時勒索病毒黑客組織的攻擊和傳播方式也在不斷更新,從最初通過RDP等方式為主導傳播勒索病毒,到后面通過各種漏洞傳播勒索病毒,發展到現在通過各種其他流行惡意軟件來傳播勒索病毒。
從最近報道的幾起重大勒索病毒攻擊案例發現,在這幾次重大的勒索病毒事件中都發現有其他惡意軟件家族的身影,甚至還有一些技術成熟的APT組織也加入到了勒索病毒攻擊當中,通過APT攻擊的一些手法來傳播勒索病毒。
全球主流的勒索病毒黑客組織從最開始簡單的勒索贖金的方式,發展到勒索+竊密的方式,再到后面通過建立各種暗網網站,通過公布受害者的企業數據來逼迫企來交納贖金,根據國外某平臺監控已經有二十多個勒索病毒家族背后的黑客組織建立了專門的暗網網站,用來發布受害者數據。
可以說不管是從勒索病毒的開發,還是勒索病毒的攻擊手法,還是勒索病毒運營,黑客組織都在不斷的運營,開發新的勒索病毒軟件,使用不同的攻擊手法,更新勒索病毒的運營方式,迫使受害者交納更多的贖金,同時保證勒索的成功率。
更多關于勒索病毒以及黑客組織攻擊的信息,可以參考筆者之前寫的一些文章。
淺談安全行業
此次事件的分析,就到這里,筆者再談一下自己對安全行業的理解,僅代表個人的觀點與看法,相關言論與任何組織、團隊、公司均無關。
安全行業在未來的5-10年時間將是一個全新的發展和黃金時期,未來安全行業將會成為一個以服務為主的行業,安全即服務。
事實上也正在朝這個方向發展,通過單一或多個安全產品去檢測和防御未來的高級威脅已經基本不可能了,未來的網絡攻擊活動都是具有強針對性和高目標性的,黑客組織會使用各種不同的攻擊手法,攻擊鏈的時間線也會越來越長,前期會通過各種手段獲取到目標的更多信息,然后再一步一步深入的滲透,發起網絡攻擊。
面對這種攻擊,任何安全產品都是無法滿足客戶的實際需求的,因為每次的攻擊使用的攻擊手法和攻擊過程都可能是不一樣的,這種多樣的攻擊性和極高的隱蔽性的特點,導致安全產品無法及時有效的更新,就像現在很多勒索病毒的攻擊活動一樣,會通過其他各種不同的惡意軟件家族進行傳播。
也就是說某個企業只要中了一款流行的惡意軟件,就極有可能最后會成為勒索病毒的受害者,而且你也不知道企業是否被安裝了惡意軟件,也許只有當你被勒索的那一刻你才會發現自己其實早就被入侵了,黑客早就安裝了惡意軟件在自己的企業環境當中獲取重要的數據。
就像筆者之前說的,現在還有多少惡意軟件隱藏在企業當中沒有被發現,其實是未知的,這也就是為啥現在很多安全廠商推出了一項服務:威脅獵捕。通過安全專家和企業積累的一些安全數據,幫助企業快速發現潛在的風險,以及隱藏在企業當中的惡意軟件,這種威脅獵捕服務,其實主要就是依靠經驗豐富的安全人員。
未來安全行業,甲方買設備,乙方賣設備的時代已經過去了,未來各種盒子和安全產品都會淪為一個工具。這些工具用于幫助安全專家發展潛在的危險或給安全專業提供輔助分析使用,安全需要專業的安全團隊去運營,同時需要有更多經驗豐富專業的安全人員去給客戶提供更專業的服務,才能滿足客戶的真實需求,未來安全行業就兩樣東西有價值:1.人 2.數據,只要把安全人員的專業能力培養起來,把安全數據積累起來,你就能把安全做好。
人的價值,我就不多說了,安全就是人與人的斗爭,筆者之前多篇文章里也提到了,專業的安全人才永遠是安全的核心,未來不管是國家、政府,企業都需要更多專業的安全人才,如果不明白的可以去學習筆者之前寫的一些文章。
數據的價值 ,可能大多數人還不明白,很多人一開口總是會說某某XX技術感覺很牛逼,XX平臺感覺很牛逼,XX框架感覺很牛逼,國外啥啥很牛逼之類的,其實只是還沒明白,牛逼的并不是這些東西,而且數據,沒有數據,一切都是空談,沒啥價值,只有有了數據,這些東西才會變得有價值,威脅情報的核心其實也是數據。
之前有人在群里問我,能不能寫一篇關于如何溯源的文章?我當時在群里就回答了,當你掌握了扎實的基礎安全技能之后,溯源往往更多的時候是靠運氣的。如果還需要靠什么,其實就是時間和精力以及成本、代價所決定的,溯源這個東西你處理的案例多了就會明白,沒處理過實際的案例也沒辦法理解。
現在很多人想學習怎么進行威脅獵捕和安全分析,其實這一方面是由自己的安全分析能力和安全經驗決定的,另一方面是由你掌握的安全數據決定的,你的安全分析能力和安全經驗越強,你分析的速度就會越快,你能掌握多少安全數據,你就能溯源到什么層次。
國外一些安全廠商動不動就喜歡在網站上公布一些APT組織的個人信息啥的,其實很多時候,并不是國外的安全廠商技術有多牛逼,只是他們掌握的數據可能更多而已,必竟很多數據還是掌握在他們手上,這也是我們的短板所在,有些方面會受制于人。
安全經驗這個是由人來決定的,你處理的安全事件越多,你積累的安全經驗就會越豐富,這個沒辦法一天練成,需要長時間的積累,當你分析和研究過很多家族樣本或安全漏洞,你在應急的時候能更快的定位到問題,也能更快的分析和響應,這個靠實戰和積累。
未來的網絡安全攻擊行為更多的是以定向針對性和有目地的高級威脅為主,這種高級威脅行為有一個特點就是攻擊的周期會比較長,誰能在這個周期內更快的幫助企業發現防御這種攻擊,可能誰就能更好的贏得客戶的信任。
其實很多東西都是需要自己去實踐和積累才會明白,有些東西也許你現在還不明白,被一些浮燥的現象所蒙蔽,過幾年可能你就會明白了,也許過幾年你已經轉行了。
安全確實并不適合所有人,需要你真的熱愛這個行業,愿意花更多的時間去研究和經營它,很多事情只有經歷過的人才會明白,安全的核心永遠是人,安全產品的關鍵一定是靠運營,并不是什么平臺,框架,技術等,安全產品做的好的企業,一定是有很多專業的安全人員花了很多時間和精力去持續運營的,而不是靠吹使用了某個很牛逼的技術之類的。
