[[399028]]

安全事件

近日國內(nèi)外各大安全廠商或媒體都在爭相報(bào)道Colonial Pipeline被勒索事件以及美國宣布進(jìn)入國家緊急狀態(tài)等，此次網(wǎng)絡(luò)攻擊事件最早爆光在5月8號，筆者先給大家梳理一下這次攻擊事件的一些相關(guān)信息。

5月8號(上周五)，美國最大的燃油料管道-殖民地管道公司(Colonial Pipeline)受到網(wǎng)絡(luò)攻擊，該公司主動采取一定的系統(tǒng)隔離措施，同時(shí)暫停了所有流水線作業(yè)，公司被迫關(guān)閉運(yùn)營，Colonial Pipeline位于墨西哥灣沿岸的煉油廠與美國南部和東部市場之間運(yùn)輸精煉石油產(chǎn)品。

該公司每天通過其5500英里的管道輸送250萬桶石油，占東海岸所有燃料消耗的45%，該管道系統(tǒng)橫跨得克薩斯州休斯敦和新澤西州林登之間的5500多英里。

5月9號，在其官網(wǎng)上發(fā)布了相關(guān)的通告，如下所示：

在通告中Colonial Pipeline證實(shí)了此次網(wǎng)絡(luò)攻擊事件涉及勒索軟件，同時(shí)該公司聘請了一家領(lǐng)先的第三方網(wǎng)絡(luò)安全公司(疑似FireEye)參與事件的應(yīng)急響應(yīng)和調(diào)查處理，目前該攻擊事件仍在進(jìn)一步的調(diào)查和取證階段，不過目前已經(jīng)對該事件的性質(zhì)和范圍進(jìn)行了一些初步的確認(rèn)。

同時(shí)在5月9號，美國國家網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)得知了Colonial Pipeline被勒索軟件攻擊事件，并發(fā)布了相關(guān)的防御措施建議等，如下所示：

勒索軟件指導(dǎo)和相關(guān)資源：https://www.cisa.gov/ransomware

5月9日早上，美國總統(tǒng)拜登也聽取了關(guān)于這一攻擊事件的簡報(bào)，聯(lián)邦政府正在積極評估這一事件的影響，避免供應(yīng)中斷，并幫助該公司盡快恢復(fù)管道運(yùn)營。

黑客針對國家級的關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行攻擊，并不是今天才發(fā)生的，早在2012年，美國國土安全部(DHS)，就已經(jīng)發(fā)現(xiàn)警告，黑客組組將天然氣行業(yè)作為攻擊目標(biāo)，同時(shí)在2014年，美國幾家天然氣管道運(yùn)營商受到網(wǎng)絡(luò)攻擊，2020年美國國家安全局(NSA)與網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了聯(lián)合警報(bào)，敦促關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營商立即采取措施，減少受到網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

其實(shí)早在幾個(gè)月以前，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了旨在加強(qiáng)管道運(yùn)營商防御能力的網(wǎng)絡(luò)安全評估工具，相關(guān)工具的網(wǎng)站：https://www.cisa.gov/pipeline-cybersecurity-initiative，因?yàn)槊绹墓艿阑A(chǔ)設(shè)施由數(shù)千家公司和超過270萬英里的管道組成，負(fù)責(zé)運(yùn)輸石油，天然氣和其他商品，是美國經(jīng)濟(jì)和國家安全的關(guān)鍵推動力。然后也就在CISA發(fā)布了評估工具后幾個(gè)月，Colonial Pipeline就受到了這次重大的網(wǎng)絡(luò)安全攻擊......

從全球網(wǎng)絡(luò)安全的發(fā)展來看，未來國家的關(guān)鍵基礎(chǔ)設(shè)施及系統(tǒng)會成為黑客組織攻擊的一個(gè)重點(diǎn)目標(biāo)，各個(gè)國家都要重視相關(guān)基礎(chǔ)設(shè)施的保護(hù)，以防止被惡意軟件進(jìn)行攻擊，前幾天美國阿拉斯加法院系統(tǒng)也因受到惡意軟件的感染，而被迫下線，全球各地每天都有各不同的網(wǎng)絡(luò)安全攻擊事件發(fā)生，網(wǎng)絡(luò)安全形勢非常嚴(yán)峻。

勒索病毒家族

筆者追蹤過多個(gè)全球主流的勒索病毒家族，根據(jù)一名美國官員向相關(guān)媒體透露，涉及此次攻擊事件的勒索軟件可能是DarkSide家族。

DarSide勒索軟件首次出現(xiàn)于2020年8月，這款勒索軟件出現(xiàn)不久，就已經(jīng)在全球范圍內(nèi)賺足了眼球，背后的黑客組織會通過獲取相關(guān)信息，評估企業(yè)的財(cái)力，然后再決定勒索的金額，同時(shí)這個(gè)勒索病毒黑客組織聲稱不會攻擊醫(yī)療、教育、非營利及政府等機(jī)構(gòu)。

從這款勒索病毒黑客組織的攻擊特點(diǎn)可以猜測，此次的網(wǎng)絡(luò)攻擊事件是一次具有針對性和目標(biāo)性的網(wǎng)絡(luò)攻擊事件，前期應(yīng)該是收集了Colonial Pipeline的很多基礎(chǔ)信息，然后再發(fā)起網(wǎng)絡(luò)攻擊活動，到目前為止，Colonial Pipeline并未向外界透露自己是否交納了贖金。

此前筆者在國外某論壇上發(fā)現(xiàn)過這款勒索病毒的一個(gè)解密工具以及測試樣本，通過測試發(fā)現(xiàn)這款解密工具可以解密，不過DarkSide后面又出了幾個(gè)新的版本進(jìn)行更新，此次攻擊事件中的DarkSide勒索軟件不知是否可以解密，估計(jì)FireEye的那些安全專家正在緊急分析和處理吧，呵呵。。。

勒索病毒發(fā)展

從2017年5月，WannaCry勒索病毒在全球范圍內(nèi)大爆發(fā)，到2021年5月，美最大的燃油料管道公司被勒索軟件攻擊，這幾年勒索軟件層出不窮，新的勒索病毒家族不斷涌現(xiàn)，勒索病毒背后的黑客組織也不斷壯大。

更多的黑客組織開始使用勒索病毒發(fā)起攻擊，同時(shí)勒索病毒黑客組織的攻擊和傳播方式也在不斷更新，從最初通過RDP等方式為主導(dǎo)傳播勒索病毒，到后面通過各種漏洞傳播勒索病毒，發(fā)展到現(xiàn)在通過各種其他流行惡意軟件來傳播勒索病毒。

從最近報(bào)道的幾起重大勒索病毒攻擊案例發(fā)現(xiàn)，在這幾次重大的勒索病毒事件中都發(fā)現(xiàn)有其他惡意軟件家族的身影，甚至還有一些技術(shù)成熟的APT組織也加入到了勒索病毒攻擊當(dāng)中，通過APT攻擊的一些手法來傳播勒索病毒。

全球主流的勒索病毒黑客組織從最開始簡單的勒索贖金的方式，發(fā)展到勒索+竊密的方式，再到后面通過建立各種暗網(wǎng)網(wǎng)站，通過公布受害者的企業(yè)數(shù)據(jù)來逼迫企來交納贖金，根據(jù)國外某平臺監(jiān)控已經(jīng)有二十多個(gè)勒索病毒家族背后的黑客組織建立了專門的暗網(wǎng)網(wǎng)站，用來發(fā)布受害者數(shù)據(jù)。

可以說不管是從勒索病毒的開發(fā)，還是勒索病毒的攻擊手法，還是勒索病毒運(yùn)營，黑客組織都在不斷的運(yùn)營，開發(fā)新的勒索病毒軟件，使用不同的攻擊手法，更新勒索病毒的運(yùn)營方式，迫使受害者交納更多的贖金，同時(shí)保證勒索的成功率。

更多關(guān)于勒索病毒以及黑客組織攻擊的信息，可以參考筆者之前寫的一些文章。

淺談安全行業(yè)

此次事件的分析，就到這里，筆者再談一下自己對安全行業(yè)的理解，僅代表個(gè)人的觀點(diǎn)與看法，相關(guān)言論與任何組織、團(tuán)隊(duì)、公司均無關(guān)。

安全行業(yè)在未來的5-10年時(shí)間將是一個(gè)全新的發(fā)展和黃金時(shí)期，未來安全行業(yè)將會成為一個(gè)以服務(wù)為主的行業(yè)，安全即服務(wù)。

事實(shí)上也正在朝這個(gè)方向發(fā)展，通過單一或多個(gè)安全產(chǎn)品去檢測和防御未來的高級威脅已經(jīng)基本不可能了，未來的網(wǎng)絡(luò)攻擊活動都是具有強(qiáng)針對性和高目標(biāo)性的，黑客組織會使用各種不同的攻擊手法，攻擊鏈的時(shí)間線也會越來越長，前期會通過各種手段獲取到目標(biāo)的更多信息，然后再一步一步深入的滲透，發(fā)起網(wǎng)絡(luò)攻擊。

面對這種攻擊，任何安全產(chǎn)品都是無法滿足客戶的實(shí)際需求的，因?yàn)槊看蔚墓羰褂玫墓羰址ê凸暨^程都可能是不一樣的，這種多樣的攻擊性和極高的隱蔽性的特點(diǎn)，導(dǎo)致安全產(chǎn)品無法及時(shí)有效的更新，就像現(xiàn)在很多勒索病毒的攻擊活動一樣，會通過其他各種不同的惡意軟件家族進(jìn)行傳播。

也就是說某個(gè)企業(yè)只要中了一款流行的惡意軟件，就極有可能最后會成為勒索病毒的受害者，而且你也不知道企業(yè)是否被安裝了惡意軟件，也許只有當(dāng)你被勒索的那一刻你才會發(fā)現(xiàn)自己其實(shí)早就被入侵了，黑客早就安裝了惡意軟件在自己的企業(yè)環(huán)境當(dāng)中獲取重要的數(shù)據(jù)。

就像筆者之前說的，現(xiàn)在還有多少惡意軟件隱藏在企業(yè)當(dāng)中沒有被發(fā)現(xiàn)，其實(shí)是未知的，這也就是為啥現(xiàn)在很多安全廠商推出了一項(xiàng)服務(wù)：威脅獵捕。通過安全專家和企業(yè)積累的一些安全數(shù)據(jù)，幫助企業(yè)快速發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)，以及隱藏在企業(yè)當(dāng)中的惡意軟件，這種威脅獵捕服務(wù)，其實(shí)主要就是依靠經(jīng)驗(yàn)豐富的安全人員。

未來安全行業(yè)，甲方買設(shè)備，乙方賣設(shè)備的時(shí)代已經(jīng)過去了，未來各種盒子和安全產(chǎn)品都會淪為一個(gè)工具。這些工具用于幫助安全專家發(fā)展?jié)撛诘奈ｋU(xiǎn)或給安全專業(yè)提供輔助分析使用，安全需要專業(yè)的安全團(tuán)隊(duì)去運(yùn)營，同時(shí)需要有更多經(jīng)驗(yàn)豐富專業(yè)的安全人員去給客戶提供更專業(yè)的服務(wù)，才能滿足客戶的真實(shí)需求，未來安全行業(yè)就兩樣?xùn)|西有價(jià)值：1.人 2.數(shù)據(jù)，只要把安全人員的專業(yè)能力培養(yǎng)起來，把安全數(shù)據(jù)積累起來，你就能把安全做好。

人的價(jià)值，我就不多說了，安全就是人與人的斗爭，筆者之前多篇文章里也提到了，專業(yè)的安全人才永遠(yuǎn)是安全的核心，未來不管是國家、政府，企業(yè)都需要更多專業(yè)的安全人才，如果不明白的可以去學(xué)習(xí)筆者之前寫的一些文章。

數(shù)據(jù)的價(jià)值 ，可能大多數(shù)人還不明白，很多人一開口總是會說某某XX技術(shù)感覺很牛逼，XX平臺感覺很牛逼，XX框架感覺很牛逼，國外啥啥很牛逼之類的，其實(shí)只是還沒明白，牛逼的并不是這些東西，而且數(shù)據(jù)，沒有數(shù)據(jù)，一切都是空談，沒啥價(jià)值，只有有了數(shù)據(jù)，這些東西才會變得有價(jià)值，威脅情報(bào)的核心其實(shí)也是數(shù)據(jù)。

之前有人在群里問我，能不能寫一篇關(guān)于如何溯源的文章?我當(dāng)時(shí)在群里就回答了，當(dāng)你掌握了扎實(shí)的基礎(chǔ)安全技能之后，溯源往往更多的時(shí)候是靠運(yùn)氣的。如果還需要靠什么，其實(shí)就是時(shí)間和精力以及成本、代價(jià)所決定的，溯源這個(gè)東西你處理的案例多了就會明白，沒處理過實(shí)際的案例也沒辦法理解。

現(xiàn)在很多人想學(xué)習(xí)怎么進(jìn)行威脅獵捕和安全分析，其實(shí)這一方面是由自己的安全分析能力和安全經(jīng)驗(yàn)決定的，另一方面是由你掌握的安全數(shù)據(jù)決定的，你的安全分析能力和安全經(jīng)驗(yàn)越強(qiáng)，你分析的速度就會越快，你能掌握多少安全數(shù)據(jù)，你就能溯源到什么層次。

國外一些安全廠商動不動就喜歡在網(wǎng)站上公布一些APT組織的個(gè)人信息啥的，其實(shí)很多時(shí)候，并不是國外的安全廠商技術(shù)有多牛逼，只是他們掌握的數(shù)據(jù)可能更多而已，必竟很多數(shù)據(jù)還是掌握在他們手上，這也是我們的短板所在，有些方面會受制于人。

安全經(jīng)驗(yàn)這個(gè)是由人來決定的，你處理的安全事件越多，你積累的安全經(jīng)驗(yàn)就會越豐富，這個(gè)沒辦法一天練成，需要長時(shí)間的積累，當(dāng)你分析和研究過很多家族樣本或安全漏洞，你在應(yīng)急的時(shí)候能更快的定位到問題，也能更快的分析和響應(yīng)，這個(gè)靠實(shí)戰(zhàn)和積累。

未來的網(wǎng)絡(luò)安全攻擊行為更多的是以定向針對性和有目地的高級威脅為主，這種高級威脅行為有一個(gè)特點(diǎn)就是攻擊的周期會比較長，誰能在這個(gè)周期內(nèi)更快的幫助企業(yè)發(fā)現(xiàn)防御這種攻擊，可能誰就能更好的贏得客戶的信任。

其實(shí)很多東西都是需要自己去實(shí)踐和積累才會明白，有些東西也許你現(xiàn)在還不明白，被一些浮燥的現(xiàn)象所蒙蔽，過幾年可能你就會明白了，也許過幾年你已經(jīng)轉(zhuǎn)行了。

安全確實(shí)并不適合所有人，需要你真的熱愛這個(gè)行業(yè)，愿意花更多的時(shí)間去研究和經(jīng)營它，很多事情只有經(jīng)歷過的人才會明白，安全的核心永遠(yuǎn)是人，安全產(chǎn)品的關(guān)鍵一定是靠運(yùn)營，并不是什么平臺，框架，技術(shù)等，安全產(chǎn)品做的好的企業(yè)，一定是有很多專業(yè)的安全人員花了很多時(shí)間和精力去持續(xù)運(yùn)營的，而不是靠吹使用了某個(gè)很牛逼的技術(shù)之類的。