合作机构:阿里云 / 腾讯云 / 亚马逊云 / DreamHost / NameSilo / INWX / GODADDY / 百度统计
译者 | 晶颜
审校 | 重楼
对于首席信息安全官和其他经验丰富的安全领导者来说,了解过去的事件对于防范未来的网络威胁至关重要。通过深入研究近年来一些最具影响力的网络攻击事件,可以有力地提醒我们,网络威胁的多样性以及采取强有力的安全措施的必要性。
在这篇文章中,我们探讨了七起关键的网络安全事件及其影响,以及它们为安全领导者和组织加强网络防御提供的宝贵经验。
2021年5月的Colonial Pipeline勒索软件攻击是一个严峻的时刻,表明网络威胁对关键基础设施产生了非常切实的影响。这一事件不仅扰乱了数字业务,而且对燃料供应产生了深远的影响,影响了美国东海岸的大部分地区,并在各个受影响的城市造成了大规模的恐慌性抢购。
2021年5月,负责运输美国东海岸近一半燃料供应的“殖民管道”(Colonial Pipeline)沦为勒索软件攻击的受害者,导致其运营能力中断。勒索软件将该公司锁定在其系统之外,对数据进行了加密,并要求其支付赎金来解密数据。
攻击的直接后果是大范围的燃料短缺和燃料价格飙升。这种情况凸显了关键基础设施面对网络威胁的脆弱性,以及这种攻击可能对社会功能产生的“多米诺骨牌”效应。
出于紧急考虑,该公司答应了网络犯罪分子的要求,支付了440万美元的赎金。
勒索软件攻击凸显了为国家基础设施服务的部门迫切需要强有力的网络安全措施,强调了主动防御勒索软件战略的重要性。
随着各国努力应对日益复杂的网络对手,Colonial Pipeline事件提醒我们,有必要在威胁情报方面进行合作,并投资于网络弹性战略,以减轻针对关键基础设施的攻击可能带来的破坏性后果。
攻击发生后,各行业对关键基础设施易受网络威胁的认识有所提高。这一事件促进了加强网络安全协议的举措,强调了面对勒索软件威胁时主动防御措施和应急响应计划的重要性。
SolarWinds事件突出了许多组织忽视的攻击媒介:通过受信任的软件供应商进行攻击。这是一起复杂的攻击事件,影响了全球软件供应链,进而危及了全球组织,包括多个美国政府机构。
2020年12月,国家支持的黑客组织渗透了SolarWinds的Orion IT监控和管理软件的构建环境。这使得他们可以将恶意代码“SUNBURST”嵌入到合法的软件更新中,从而可以秘密地传播到广泛的用户网络中。
SUNBURST恶意软件在部署后12天内保持休眠状态,表现出了操作上的狡猾属性。这种延迟策略对于逃避即时检测至关重要,同时也强调了扩展数据保留以识别潜在威胁的必要性。一旦激活,SUNBURST就会对特定的进程、服务和驱动程序进行细致的扫描。如果它检测到监控工具或安全进程,它将被程序终止其操作,这是一种自我保护机制,确保其在目标环境中的持久性。
该恶意软件的设计非常复杂,其网络通信与正常的SolarWinds通信无缝地融合在一起。渗透完成后,攻击者会专注于侦察,而非立即窃取或破坏数据。他们还会在网络上横向移动,识别和收集高价值目标的信息,并为更大范围的访问提升权限。
SolarWinds攻击事件提高了人们保护数字供应链的意识。它的重要性在于,威胁行为者通过破坏受信任的供应商,可以获得对众多组织的广泛访问权限。供应链攻击的后果正在波及并引发对第三方关系的重新评估,强调供应链安全,并认识到防御此类攻击需要集体和协调的努力。
该事件凸显了重新评估网络安全实践的重要性,特别是在软件开发和供应链安全方面。同时,它还强调了更好地监控网络行为的必要性,以及严格的代码审计和验证过程的重要性。
为了应对这次攻击,网络安全行业加强了对先进威胁检测机制的关注。它强调了行为检测的必要性,无论进程是否名义上“受信任”或携带已知的数字证书,都可以识别恶意行为。这一行业的集体努力不仅旨在寻求技术解决方案,还旨在重新构想供应链安全和情报共享的方法。
2017年,世界各地的组织都受到了NotPetya的影响,这是一种最初伪装成勒索软件的恶意软件。然而,它的真实设计要比勒索软件险恶得多。它的目的是造成广泛的破坏,而非经济利益。NotPetya的全球影响无疑是深远的,从银行到航运公司的各种组织,甚至连美国切尔诺贝利核电站的辐射监测系统无一幸免。
NotPetya作为勒索软件的欺骗性外表掩盖了它的实际目的——造成前所未有的大规模破坏。典型的勒索软件会锁定数据以获取赎金,而NotPetya不同,它的编程目的是破坏数据。它利用常用软件的漏洞迅速在全球传播。
这次攻击的全球范围很广,不同行业的组织都受到了影响。同时,攻击造成的经济损失是惊人的,总损失预计超过100亿美元。这一数字不仅反映了直接造成的破坏,还反映了受影响实体面临的长期运营和声誉损害。
NotPetya利用复杂的方法进行渗透并在网络间广泛传播。它利用了已知的漏洞,尤其是微软Windows的漏洞,并使用类似勒索软件的技术来锁定系统。然而,它的有效载荷主要是破坏性的,会导致受影响的系统无法操作,数据无法恢复。
这一事件促使了对网络安全实践的重新评估,并强调了改善全球合作以防止和应对未来类似活动的迫切需要。
NotPetya恶意软件的爆发展示了国家支持的网络攻击的破坏性潜力。NotPetya被认为是俄罗斯军事黑客所为,攻击的目标是乌克兰的基础设施,但后来演变成了全球威胁。它的意义在于认识到网络武器可能会产生意想不到的后果。NotPetya展示了网络工具不受地理边界的影响超越国界并影响组织的潜力。
这次攻击提醒了网络安全和信息安全专业人士,网络武器可能会造成现实世界的破坏。作为回应,网络安全模式发生了重大转变,越来越重视防范此类破坏性恶意软件。这一事件强调了严格的漏洞管理和实施强大的、多层次的网络安全防御的必要性。
对于2017年从事信息安全工作的人来说,WannaCry勒索软件攻击可能是他们永远不会忘记的一天。这次攻击引发了一场全球危机,暴露了未打补丁的系统的脆弱性,以及迅速、广泛中断的可能性。该勒索软件利用了微软Windows系统的一个关键漏洞,感染了150个国家的20多万台电脑,从医疗机构到政府机构和企业的系统均受到影响。
WannaCry的作案手法既激进又有效。它利用了微软服务器消息块(SMB)协议实现中的一个漏洞。该漏洞(CVE-2017-0144)允许攻击者在目标系统上执行任意代码。这种能力使得WannaCry能够在网络上快速传播,感染计算机并加密文件。
事实上,微软在2017年3月就发布了该漏洞的补丁,也就是WannaCry开始传播的两个月前。然而,WannaCry的快速传播很大程度上归因于许多组织并未安装补丁,导致大量系统易受攻击。
这次攻击不分青红皂白地针对了一系列行业,导致医疗系统和制造工厂严重中断。医院的数字系统被锁定,阻碍了访问患者记录和提供基本服务。制造业的生产线被迫停工,导致运营延误和财务损失。
WannaCry攻击促使全球网络安全专业人士和组织迅速做出一致反应。遏制病毒传播的措施包括部署安全补丁、隔离受感染的系统和加强网络防御。该事件还加速了先进威胁检测和响应能力的开发和采用,强调了及时补丁管理和主动网络安全措施的重要性。
WannaCry攻击给企业敲响了警钟,提醒他们要优先考虑网络安全威胁和及时更新软件。它的影响不仅限于经济损失,还提高了人们对保护数字基础设施重要性的认识。这次攻击还促使政府和私营部门加强合作,以强化网络安全措施。
WannaCry事件凸显了全球网络威胁的相互关联性,强调了采取集体、主动的方式应对网络安全的必要性。作为一个警示故事,WannaCry提醒人们,网络安全是一项共同的责任,敦促组织和个人都加强对不断发展的勒索软件威胁的防御。
当知名消费者信用报告机构Equifax披露数据泄露案时,世界见证了最大的个人数据泄露事件之一。时至今日,Equifax数据泄露事件仍是数据安全措施松懈造成的惊人规模和潜在后果的一个突出案例。
攻击者利用了Apache Struts Web应用程序框架中的漏洞CVE-2017-5638,该漏洞允许未经授权访问Equifax的系统。攻击者能够浏览网络并访问包含超过1.47亿人个人信息的文件,从而造就了历史上最严重的数据泄露案之一。此次泄露事件不仅涉及受影响个人的数量,而且涉及泄露数据的敏感性,其中包括社会安全号码、姓名、地址和出生日期。此外,大约20.9万名消费者的信用卡号码也被窃取。
高度敏感的个人数据泄露打开了潜在身份盗窃和金融欺诈的闸门,对数百万人的影响不只是暂时的,而且可能会持续数年。这一漏洞对大公司处理敏感个人数据时采用的安全措施敲响了警钟。
它还揭示了与集中数据收集和存储做法相关的风险。此次数据泄露的后果引起了公众的广泛关注,人们对Equifax失去了信任,并对现有数据保护法律法规的充分性提出了质疑。
除了受影响的个人面临的直接经济损失和身份盗窃风险外,此次数据泄露还促使人们重新评估数据保护标准。它强调了组织需要优先考虑强大的网络安全措施,保护敏感信息,并及时向受影响方披露违规行为。Equifax数据泄露引发了围绕消费者隐私的讨论,促使立法机构努力加强数据安全监管。
Equifax数据泄露事件突显出,保护个人数据不仅是一项企业责任,也是一项社会责任,这促使企业和政策制定者在数字威胁不断升级的时代提高对网络安全的承诺。
这次数据泄露引发了个人数据管理和保护方式的重大转变。它导致人们更加重视强大的身份网络安全、数据保护策略和法规遵从性。
在数据泄露事件发生后,各行各业共同努力加强对此类漏洞的防御,包括实施高级加密、定期安全审计和全面的数据隐私框架。
对索尼影视娱乐公司的网络攻击将数字脆弱性与国际政治交织在一起。这次攻击导致大量敏感公司数据泄露,包括未发行的电影、机密员工信息和私人高管电子邮件。这次泄密事件不仅对索尼的运营和声誉产生了重大影响,也凸显了网络安全与持续的地缘政治紧张局势之间的交集。
外界普遍认为,这次攻击是朝鲜黑客所为,是对索尼发行电影《the Interview》的报复。这部电影讽刺地描绘了刺杀朝鲜领导人的虚构故事。黑客们成功地渗透进了索尼的网络,窃取了大量的专有数据,随后将其公之于众。
由于未公开内容的暴露,索尼遭受了经济损失,而敏感的内部通信的泄露,又使索尼的声誉雪上加霜。
索尼影业遭到黑客攻击后,该公司迅速做出了全面的回应,包括广泛的取证调查,并加强了网络安全措施。它还引发了一场更广泛的行业讨论,讨论保护敏感数据免受民族国家网络攻击的重要性,以及加强网络防御战略的必要性。
这一事件凸显了出于政治动机将网络攻击武器化的可能性,标志着网络威胁格局的范式转变。除了经济损失和声誉受损外,这次黑客攻击还突显了大型娱乐和媒体实体在受到国家支持的网络攻击面前的脆弱性。
索尼的遭遇促使业界重新评估网络安全战略,强调有必要对高级持续性威胁采取强有力的防御措施。面对国家支持的网络威胁,它还促使人们重新评估网络安全和言论自由之间的关系。
雅虎在2013年和2014年遭遇了两起大规模数据泄露事件。这些破坏的规模是前所未有的,几乎涵盖了当时世界上一半的人口,多达30亿雅虎用户的个人信息(包括电子邮件地址、密码和安全问题)惨遭泄露。
2013年,攻击者使用伪造的Cookie在没有密码的情况下访问了用户的雅虎账户。通过伪造网络Cookie,攻击者可以在没有凭据的情况下验证自己为任意雅虎用户。
在2014年发生的另一起网络入侵事件中,攻击者通过鱼叉式网络钓鱼攻击进入雅虎网络,攻击目标是公司内部的特定个人,诱使他们交出凭据或安装恶意软件,从而进入雅虎内部网络。
重要的是,直到2016年底这些违规行为才得以披露,直到2017年10月公众才完全了解其全部影响。这种拖延不仅加剧了与数据泄露相关的风险,还引发了人们对企业在面对网络安全威胁时的责任和透明度的严重质疑。
这些事件的曝光严重损害了雅虎的声誉,侵蚀了用户的信任,使人们对该公司对数据安全的承诺产生了怀疑,也使该公司受到了美国证券交易委员会的严厉处罚。此外,这些事件严重影响了雅虎的估值和被威瑞森收购的条款,凸显了与网络安全漏洞相关的重大商业风险。
这些违规行为强调了保护用户数据的重要性,以及泄露信息的潜在长期后果。除了法律后果和经济损失等直接后果外,这些事件还促使组织改变了数据保护的方式。它们加速了采用更强大的加密措施,并提高了人们对用户账户容易受到日益复杂的网络攻击的意识。
雅虎数据泄露事件是技术行业的一个关键时刻,突显了网络安全警觉性和及时披露事件的重要性。作为回应,行业出现了一个明显的转变,即加强数据保护措施,加强违规通知协议,并加强用户数据加密。这些事件也在制定数据隐私法规方面发挥了作用,并突显了对网络安全防御进行持续投资的必要性。
上述探讨的网络攻击事件预示着网络威胁的复杂性和不断发展的本质。每一起事件的执行和影响都是独一无二的,它们都强调了一个共同的主题:积极和全面的网络安全战略至关重要。
这些事件给我们感知和处理数字安全的方式带来了重大转变,加强了面对网络对手时保持警惕、协作和持续适应的必要性。
这些历史教训是有价值的指导,不仅提醒我们要继续从以往的违规行为中吸取教训,还提醒我们在我们做出反应和适应的同时,网络犯罪分子也会这样做。安全是一个不断变化的目标,威胁行为者永远不会坐以待毙。我们也不能,要时刻保持警惕!
原文标题:Cybersecurity’s Defining Moments | 7 Lessons from History’s Most Infamous Breaches,作者:SentinelOne
TOP