1.3 网络安全挑战

要分析当今公司面临的网络安全挑战，有必要获得可触摸到的数据，以及目前市场上正在发生威胁事件的证据。并非所有行业都会面临相同类型的网络安全挑战，因此，我们将列举在不同行业中仍然普遍存在的威胁。对于不擅长某些行业的网络安全分析师来说，这似乎是最合适的方法，但在他们职业生涯的某个阶段，他们可能需要涉及某个不太熟悉的行业。

1.3.1 旧技术和更广泛的结果

根据Verizon2020年数据泄露事件的调查报告，2020年显示出一个有趣的趋势——COVID-19是攻击者的主要主题。虽然攻击者采用了一些新技术，但主要使用的还是一些旧技术：

●网络钓鱼邮件

●勒索软件

●使用窃取的凭据

●错误配置

这些旧技术与缺乏安全卫生相关的方面一起使用。虽然这个列表中的第一个是一个老“嫌疑人”，并且是网络安全社区中非常有名的攻击，但它仍然成功有效，因此它仍然是当前网络安全挑战的一部分。真正的问题是，它通常与人为错误相关。如前所述，一切都可能从使用社会工程手段引导员工点击下载具有病毒、恶意软件或特洛伊木马的链接的网络钓鱼电子邮件开始。这可能会导致凭据泄露，大多数情况下，这可以通过采取更强的安全态势来避免。正如美国网络安全和基础设施安全局发布的分析报告（AR21-013A）中所述：“威胁行为者正在使用网络钓鱼和其他媒介来利用受害者云服务配置中糟糕的网络卫生习惯。”糟糕的网络卫生基本上意味着客户没有做足功课来纠正安全建议，包括薄弱的设置甚至错误的配置。

对于某些人来说，术语“定向攻击”（或高级持续威胁）有时并不清晰，但有一些关键属性可以帮助你识别此类攻击发生的时间。第一个也是最重要的属性是，当攻击者（有时是受赞助的组织）开始创建攻击计划时，他们在脑海中有一个特定的目标。在此初始阶段，攻击者将花费大量时间和资源进行公开侦察，以获取实施攻击所需的信息。这种攻击背后的动机通常是数据外泄（data exfiltration），换句话说，就是窃取数据。此类攻击的另一个属性是持续访问目标网络的时间长短。其目的是继续在整个网络中横向移动，损害不同的系统，直到达到目标。

这一领域最大的挑战之一是，在攻击者已经进入网络时如何识别他们。传统的检测系统，如入侵检测系统（Intrusion Detection System，IDS），可能不足以对发生的可疑活动发出告警，特别是在流量被加密的情况下。许多研究人员已经指出，从渗透到检测的时间可能需要229天。缩小这一差距是网络安全专业人员面临的最大挑战之一。

加密和勒索软件是新兴且不断增长的威胁，为组织和网络安全专业人员带来了全新的挑战。2017年5月，史上最大规模的勒索软件攻击WannaCry震惊全球。此勒索软件利用了已知的Windows SMBv1漏洞，该漏洞在2017年3月（攻击发生前59天）通过MS17-010公告发布了补丁。攻击者使用了一个名为EternalBlue的漏洞，该漏洞由一个名为影子经纪人（Shadow Brokers）的黑客组织于2017年4月发布。根据MalwareTech的报告，该勒索软件感染了全球40多万台机器，其数量之巨大，在这种类型的攻击中前所未见。人们从这次攻击中吸取的一个教训是，世界各地的公司仍然未能实施有效的漏洞管理计划，我们将在第16章更详细地讨论这一点。

非常重要的一点是，钓鱼邮件仍然是勒索软件的头号投递工具，这意味着我们又回到了同样的循环中；要为用户提供指导，以降低通过社会工程手段成功利用人为因素的可能性，并实施严格的技术安全控制措施进行保护和检测。威胁行为者仍在使用旧方法，但采用了更具创造性的方式，这导致了威胁形势的转变和扩张，这将在下一小节进行更详细的解释。

1.3.2 威胁形势的转变

正如本章前面提到的，正是因为威胁形势的变化，供应链攻击为组织的整体网络安全战略带来了一系列新的考虑因素。话虽如此，重要的是要了解这种转变是如何在过去的五到十年中发生的，以了解导致这种转变的一些根源以及它是如何演变的。

2016年，新一波攻击获得了主流关注，当时CrowdStrike报告称，它已经确定了美国民主党全国委员会（Democratic National Committee，DNC）网络中存在的两个独立的俄罗斯情报机构的对手。

根据其报告，他们发现了两个俄罗斯黑客组织在DNC网络活动的证据：舒适熊（Cozy Bear，也被归类为APT29）和奇幻熊（Fancy Bear，APT28）。舒适熊并不是这种类型攻击的新参与者，因为有证据表明，在2015年，他们是通过鱼叉式网络钓鱼方式攻击五角大楼电子邮件系统的幕后黑手。这种情况被称为政府支持的网络攻击。

私营部门不应忽视这些迹象。根据卡内基国际和平基金会发布的一份报告，金融机构正在成为国家支持的攻击的主要目标。2019年2月，美国多个信用机构成为鱼叉式网络钓鱼活动的目标，附有PDF文档（当时用VirusTotal执行病毒检查，结果是干净的）的电子邮件被发送给这些信用机构的合规官员，但电子邮件的正文中包含一个指向恶意网站的链接。

尽管威胁行为者是谁尚不清楚，但有人猜测，这只是另一起国家支持的网络攻击案件。值得一提的是，美国不是这次攻击的唯一目标，全球金融行业都面临风险。2019年3月，Ursnif恶意软件攻击了日本的银行。Palo Alto发布了对日本Ursnif感染媒介的详细分析，可以概括为两大阶段：

1）受害者收到一封带有附件的网络钓鱼电子邮件。一旦用户打开电子邮件，系统就会感染Shiotob（也称为Bebloh或URLZone）。

2）一旦Shiotob进入系统，它就开始使用HTTPS与指挥控制（Command and Control，C2）进行通信。从那时起，它将不断接收新的命令。

我们一直强调安全卫生的重要性，这是有原因的。在2021年，我们看到了Colonial管道攻击，威胁行为者摧毁了美国最大的燃料管道，导致整个东海岸的燃料短缺。猜猜这一切是怎么发生的？只是泄露了一个密码。该账户的密码实际上是在暗网上找到的。虽然最终结果是勒索软件攻击，但整个行动只有在这个密码泄露的情况下才有可能继续。

因此，通过增强安全态势，确保你拥有更好的安全卫生，并持续监控工作负载非常重要。该安全监控平台必须至少能够利用图1.8所示的三种方法。

这只是企业开始在威胁情报、机器学习和分析方面投入更多资金以保护其资产的基础性原因之一。我们将在第13章详细介绍这一点。话虽如此，我们也意识到检测只是拼图的一部分，你需要不断努力，确保组织在默认情况下是安全的，换句话说，你已经做了功课，保护了你的资产，培训了你的员工，并不断增强你的安全态势。 6xKLCFrRDykz+TJMcm37Tl/sKNZ9puAkiCnw1xxudPKnUMfhL3ixKpr0rOIoNXNb