2019年4月6日,纽约关键基础设施的“时间同步”失效,致使该市交通信号灯系统发生故障,而这种情况持续了近两周时间,造成了严重的社会秩序失调。

一次意外便能掀起轩然大波,那么,刻意为止的攻击活动又将如何?

2021欧洲黑帽大会上,著名硬件安全专家Adam Laurie强调称,人们将时间同步视为理所当然的事情,但却忽略了这样一个事实:“时间”同样运行在脆弱的生态系统上,存在被黑的可能性。为了证实自己的说法,他还为我们展示了一种改变时钟时间的简单方法。

为了验证是否能够欺骗时间同步信号,Laurie使用名为“txtempus”的开源工具构建了自己的模拟时间信号系统。这种设备能够模拟信号以同步时钟和手表的时间,并在配备射频识别 (RFID)天线的树莓派(Raspberry Pi)上运行。

Laurie的装置覆盖了英国地区官方的低频、基于无线电广播的时钟同步信号。他选择了红、白两种颜色的时钟进行演示,其中,白色时钟被设置为正常运行,与网络时间协议(NTP)通信,将本地原子钟广播传输到计时设备。红色时钟也被设置为与英国国家物理实验室(英国原子钟发源地)通信,通过网络时间协议馈送数据,但在此过程中,Laurie劫持了该链接的馈送,忽略了信号并强迫它显示错误的时间。

结果,他最终重置了红色时钟的指针:被黑的红色时钟将时间纂改为4:18,而未被黑的时钟显示为9:48(正确的时间)。如下所示:

 图片1.png

可能是考虑到存在模仿攻击的可能性,Laurie并未透露过多技术细节。但可以肯定的是,此次黑客攻击不仅再次强调了RFID的脆弱性,也为我们展示了一种新的可能性:攻击者完全有可能在更广泛的范围内改变时间来造成严重破坏。

而且,与其他安全问题不同,这种时间攻击的风险并非源于软件或硬件漏洞:它更多地与老化的技术和流程有关。因为从本地原子钟接收信号并自动设置时间的技术和流程太过老旧。

时间被黑之后

如今,准确、统一的时间不仅影响我们生活的方方面面,还会影响社会的诸多领域:从依赖准确支付时间的金融交易到工业系统、取证和互联网上带时间戳的网络数据包,无所不包。物联网(IoT)设备同样依赖于原子钟。根据2017年英国政府公布的一份报告显示,时间同步失败的成本预计高达每天10亿英镑。

Laurie指出,互联网上负责分发时间更新的网络时间协议(NTP)和精确时间协议(PTP)可能会被欺骗以传输欺骗性信息。它们并非时间源,而是依赖外部来源(即原子钟,通过RF和GPS进行广播)馈送它们时间数据。

这种情况下,极有可能催生勒索软件攻击。而如果攻击者通过对原子钟馈送发动拒绝服务(DOS)攻击,后果同样不堪设想。

长期以来,Laurie及其他研究人员已经阐明了RF的安全风险。他表示,“无线电频率以纯文本形式传输数据,并且缺乏身份验证过程。即便现在有验证信号的技术,大多数现有的RF基础设施仍然不安全。而现在,很多庞大的、已部署的基础设施都依赖于这些不安全的技术。这次的时间危机只是隐藏其中的‘冰山一角’。”

事实上,近年来,英国政府和各行业组织也为加强时间同步安全做出了诸多努力,甚至诞生了一个名为“弹性导航和授时基金会”(The Resilient Navigation and Timing Foundation)的组织。作为国际性非盈利组织,该基金会提议加强GPS和全球导航卫星系统(GNSS)系统以防御欺骗和干扰信号,并增加法律手段来强制执行。

结语

我们认为理所当然的时间同步问题,一旦遭到黑客利用,将为我们的工作和生活甚至社会的稳定带来巨大的麻烦。因此,是时候重新审视那些被我们视为理所当然的技术的安全性了!

2019年4月6日,纽约关键基础设施的“时间同步”失效,致使该市交通信号灯系统发生故障,而这种情况持续了近两周时间,造成了严重的社会秩序失调。

一次意外便能掀起轩然大波,那么,刻意为止的攻击活动又将如何?

2021欧洲黑帽大会上,著名硬件安全专家Adam Laurie强调称,人们将时间同步视为理所当然的事情,但却忽略了这样一个事实:“时间”同样运行在脆弱的生态系统上,存在被黑的可能性。为了证实自己的说法,他还为我们展示了一种改变时钟时间的简单方法。

为了验证是否能够欺骗时间同步信号,Laurie使用名为“txtempus”的开源工具构建了自己的模拟时间信号系统。这种设备能够模拟信号以同步时钟和手表的时间,并在配备射频识别 (RFID)天线的树莓派(Raspberry Pi)上运行。

Laurie的装置覆盖了英国地区官方的低频、基于无线电广播的时钟同步信号。他选择了红、白两种颜色的时钟进行演示,其中,白色时钟被设置为正常运行,与网络时间协议(NTP)通信,将本地原子钟广播传输到计时设备。红色时钟也被设置为与英国国家物理实验室(英国原子钟发源地)通信,通过网络时间协议馈送数据,但在此过程中,Laurie劫持了该链接的馈送,忽略了信号并强迫它显示错误的时间。

结果,他最终重置了红色时钟的指针:被黑的红色时钟将时间纂改为4:18,而未被黑的时钟显示为9:48(正确的时间)。如下所示:

 图片1.png

可能是考虑到存在模仿攻击的可能性,Laurie并未透露过多技术细节。但可以肯定的是,此次黑客攻击不仅再次强调了RFID的脆弱性,也为我们展示了一种新的可能性:攻击者完全有可能在更广泛的范围内改变时间来造成严重破坏。

而且,与其他安全问题不同,这种时间攻击的风险并非源于软件或硬件漏洞:它更多地与老化的技术和流程有关。因为从本地原子钟接收信号并自动设置时间的技术和流程太过老旧。

时间被黑之后

如今,准确、统一的时间不仅影响我们生活的方方面面,还会影响社会的诸多领域:从依赖准确支付时间的金融交易到工业系统、取证和互联网上带时间戳的网络数据包,无所不包。物联网(IoT)设备同样依赖于原子钟。根据2017年英国政府公布的一份报告显示,时间同步失败的成本预计高达每天10亿英镑。

Laurie指出,互联网上负责分发时间更新的网络时间协议(NTP)和精确时间协议(PTP)可能会被欺骗以传输欺骗性信息。它们并非时间源,而是依赖外部来源(即原子钟,通过RF和GPS进行广播)馈送它们时间数据。

这种情况下,极有可能催生勒索软件攻击。而如果攻击者通过对原子钟馈送发动拒绝服务(DOS)攻击,后果同样不堪设想。

长期以来,Laurie及其他研究人员已经阐明了RF的安全风险。他表示,“无线电频率以纯文本形式传输数据,并且缺乏身份验证过程。即便现在有验证信号的技术,大多数现有的RF基础设施仍然不安全。而现在,很多庞大的、已部署的基础设施都依赖于这些不安全的技术。这次的时间危机只是隐藏其中的‘冰山一角’。”

事实上,近年来,英国政府和各行业组织也为加强时间同步安全做出了诸多努力,甚至诞生了一个名为“弹性导航和授时基金会”(The Resilient Navigation and Timing Foundation)的组织。作为国际性非盈利组织,该基金会提议加强GPS和全球导航卫星系统(GNSS)系统以防御欺骗和干扰信号,并增加法律手段来强制执行。

结语

我们认为理所当然的时间同步问题,一旦遭到黑客利用,将为我们的工作和生活甚至社会的稳定带来巨大的麻烦。因此,是时候重新审视那些被我们视为理所当然的技术的安全性了!

microsoft_windows_security_binary_lock_by_gerd_altmann_cc0_via_pixabay_1800x1200-100817345-large.jpg

到目前为止,事实证明,2021年对科技巨头微软来说算得上“安全重灾年”,许多漏洞影响了其多项领先服务,包括Active Directory、Exchange和Azure。微软经常沦为试图利用已知漏洞和零日漏洞攻击者的目标,但自今年3月初以来,它所面临的事件发生率和规模已经让这家科技巨头乱了阵脚。

以下是2021年困扰微软的重大安全事件时间表:

3月2日:Microsoft Exchange Server漏洞

第一个值得关注的安全事件发生在3月,当时微软宣布其Exchange Server中存在漏洞CVE-2021-26855。该漏洞可在一个或多个路由器的协议级别远程执行和利用。虽然该攻击复杂性被归类为“低”,但微软表示CVE-2021-26855正在被积极利用。

更重要的是,该漏洞可以在没有任何用户交互的情况下被利用,并导致设备完全丧失机密性和保护。根据微软的说法,拒绝对443端口上Exchange服务器的不可信访问,或者限制来自公司网络外部的连接,以阻止攻击的初始阶段。但是,如果攻击者已经在基础架构中,或者如果攻击者获得具有管理员权限的用户来运行恶意文件,这将无济于事。

随后,Microsoft发布了安全补丁并建议紧急在面向外部的Exchange服务器上安装更新。

6月8日:微软修补了六个零日安全漏洞

微软针对影响各种Windows服务的安全问题发布了补丁,其中六个严重漏洞已经成为攻击者的积极目标。这6个零日漏洞是:

CVE-2021-33742:Windows HTML组件中的远程代码执行漏洞;

CVE-2021-31955:Windows内核中的信息泄露漏洞;

CVE-2021-31956:Windows NTFS中的提权漏洞;

CVE-2021-33739:Microsoft桌面窗口管理器中的特权提升漏洞;

CVE-2021-31201:Microsoft Enhanced Cryptographic Provider中的特权提升漏洞;

CVE-2021-31199:Microsoft Enhanced Cryptographic Provider中的特权提升漏洞;

7月1日:Windows Print Spooler漏洞

安全研究人员在GitHub上公开了一个Windows Print Spooler远程代码执行0day漏洞(CVE-2021-34527)。需要注意的是,该漏洞与Microsoft 6月8日星期二补丁日中修复并于6月21日更新的一个EoP升级到RCE的漏洞(CVE-2021-1675)不是同一个漏洞。这两个漏洞相似但不同,攻击向量也不同。

微软警告称,该漏洞已出现在野利用。当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码、安装程序、查看并更改或删除数据、或创建具有完全用户权限的新帐户,但攻击必须涉及调用 RpcAddPrinterDriverEx() 的经过身份验证的用户。

专家建议的缓解措施包括立即安装安全更新,同时确保以下注册表设置设置为“0”(零)或未定义:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

NoWarningNoElevationOnInstall = 0 (DWORD) or not defined (default setting)

UpdatePromptSettings = 0 (DWORD) or not defined (default setting)

8月:研究人员披露Microsoft Exchange Autodiscover漏洞

Autodiscover是Microsoft Exchange用来自动配置outlook这类Exchange客户端应用的工具。8月份,安全供应商Guardicore的研究人员发现,Microsoft Exchange Autodiscover存在一个设计缺陷,导致该协议将Web请求“泄漏”到用户域外的Autodiscover域,但仍在同一顶级域(TLD)中,例如 Autodiscover.com。

事实上,Autodiscover漏洞并不是一个新问题。早在2017年,Shape Security就首次披露了该核心漏洞,并在当年的Black Hat Asia上展示了调查结果。当时,CVE-2016-9940 和 CVE-2017-2414 漏洞被发现仅影响移动设备上的电子邮件客户端。不过,Shape Security披露的漏洞已得到修补,而在2021年更多第三方应用程序再次面临相同的问题。

与此同时,微软开始调查并采取措施减轻威胁以保护客户。微软高级主管Jeff Jones表示,“我们致力于协调漏洞披露,这是一种行业标准的协作方法,可在问题公开之前降低客户面临不必要的风险。不幸的是,这个问题在研究人员向媒体披露之前并没有报告给我们,所以我们今天才知道这些说法。而且,我的报告也清楚地引用了2017 年提出这个问题的研究。这不是零日漏洞,它已经存在了至少1460天。微软不可能不知道这个漏洞。”

8月26日:研究人员访问了数千名Microsoft Azure客户的数据

8 月 26 日,云安全供应商Wiz宣布,在Microsoft Azure的托管数据库服务Cosmos DB中发现了一个漏洞, Wiz将其命名为“Chaos DB”,攻击者可以利用该漏洞获得该服务上每个数据库的读/写访问权限。尽管Wiz在两周前才发现了该漏洞,但该公司表示,该漏洞已经在系统中存在“至少几个月,甚至几年”。

被告知存在漏洞后,微软安全团队禁用了易受攻击的Notebook功能,并通知超过30%的Cosmos DB客户需要手动轮换访问密钥以减少风险,这些是在Wiz探索漏洞一周左右内启用了Jupyter Notebook功能的客户。此外,微软还向Wiz支付了40,000美元的赏金。目前,微软安全团队已经修复了该漏洞。

9月7日:Microsoft MSHTML漏洞

9月7日,微软发布安全通告披露了Microsoft MSHTML远程代码执行漏洞(CVE-2021-40444),攻击者可通过制作恶意的ActiveX控件供托管浏览器呈现引擎的Microsoft Office文档使用,成功诱导用户打开恶意文档后,可在目标系统上以该用户权限执行任意代码。微软在通告中指出已检测到该漏洞被在野利用,请相关用户采取措施进行防护。

据悉,MSHTML(又称为Trident)是微软旗下的Internet Explorer 浏览器引擎,也用于 Office 应用程序,以在 Word、Excel 或 PowerPoint 文档中呈现 Web 托管的内容。AcitveX控件是微软COM架构下的产物,在Windows的Office套件、IE浏览器中有广泛的应用,利用ActiveX控件即可与MSHTML组件进行交互。

微软于9月14日发布了安全更新以解决该漏洞,并敦促客户及时更新反恶意软件产品。

9月14日:微软披露了几个未被利用的漏洞

在发布安全更新以缓解Trident漏洞的同一天,微软发布了有关其服务中大量未利用(在披露时)漏洞的详细信息。

CVE-2021-36968:Windows DNS中的提权漏洞。攻击者通过本地(例如键盘、控制台)或远程(例如SSH)访问目标系统来利用该漏洞;或者攻击者依赖他人的用户交互来执行利用漏洞所需的操作(例如,诱骗合法用户打开恶意文档)。该漏洞攻击复杂度和所需权限低,无需用户交互即可本地利用。

CVE-2021-38647:影响Azure开放管理基础结构(OMI)的远程代码执行漏洞。该漏洞的攻击复杂性较低,无需用户交互,并且可能导致完全拒绝访问受影响组件中的资源。8月11日在GitHub上发布了修复程序,以允许用户在发布完整的CVE详细信息之前降低风险。

CVE-2021-36965:影响Windows WLAN AutoConfig服务的漏洞。该漏洞绑定到网络堆栈,但攻击仅限于协议级别的逻辑相邻拓扑。这意味着攻击必须从相同的共享物理或逻辑网络发起,或者从安全或其他受限的管理域内发起。该漏洞利用仅限于由同一安全机构管理的资源。

CVE-2021-36952:该远程代码执行Visual Studio可能导致攻击者完全拒绝访问受影响组件中的资源。

CVE-2021-38667:影响Windows Print Spooler的新提权漏洞。攻击者被授权(即需要)提供基本用户功能的特权,这些功能通常只能影响用户拥有的设置和文件。或者,具有低权限的攻击者可能有能力仅对非敏感资源造成影响。CVE-2021-36975和CVE-2021-38639:微软也共享了两个影响Win32k的新特权提升漏洞。两者都有可能被攻击者反复成功利用。

9月16日:攻击者利用ManageEngine ADSelfService Plus中的漏洞

来自FBI、美国海岸警卫队网络司令部(CGCYBER)和CISA的联合咨询警告称,Zoho ManageEngine ADSelfService Plus平台存在严重的身份验证绕过漏洞,该漏洞可导致远程代码执行(RCE),从而为肆无忌惮的攻击者打开公司大门,攻击者可以自由控制用户的Active Directory(AD)和云帐户。

Zoho ManageEngine ADSelfService Plus是一个针对AD和云应用程序的自助式密码管理和单点登录(SSO)平台,这意味着任何能够控制该平台的网络攻击者都会在两个关键任务应用程序(和他们的敏感数据)中拥有多个轴心点。换句话说,它是一个功能强大的、高度特权的应用程序,无论是对用户还是攻击者都可以作为一个进入企业内部各个领域的便捷入口点。

9月27日:APT29以Active Directory联合身份验证服务为目标

安全研究人员标记了一个与俄罗斯政府有联系的网络间谍组织,该组织部署了一个新的后门,旨在利用Active Directory联合服务(AD FS)并窃取配置数据库和安全令牌证书。微软将恶意软件程序FoggyWeb归咎于NOBELIUM(也称为 APT29 或 Cozy Bear)组织——被认为是 SUNBURST后门的幕后黑手。微软表示已通知所有受影响客户,并建议用户:

审核本地和云基础架构,包括配置、每个用户和每个应用程序的设置、转发规则以及参与者可能为维持访问而进行的其他更改;

删除用户和应用程序访问权限,审查每个用户/应用程序的配置,并按照记录在案的行业最佳实践重新颁发新的、强大的凭据;

使用硬件安全模块(HSM)以防止FoggyWeb泄露机密数据;

10月:发布并修复4个零日漏洞

10月12日,微软发布了4个0day漏洞,它们分别为:

CVE-2021-40449:Win32k权限提升漏洞。调查显示,有黑客组织在利用该0day漏洞进行针对IT公司、军事/国防承包商和外交实体的广泛间谍活动。攻击者通过安装远程访问木马,利用该漏洞获取更高的权限。

CVE-2021-40469:Windows DNS服务器远程代码执行漏洞。在域控制器上实现远程代码执行的攻击者获取域管理员权限的后果很严重,不过幸好,该漏洞很难武器化。

CVE-2021-41335:Windows内核权限提升漏洞。该漏洞已公开披露在POC(概念验证)中,成功利用可允许攻击者在内核模式下运行任意代码,这种漏洞通常是攻击链中重要的一部分。

CVE-2021-41338:Windows AppContainer防火墙规则安全功能绕过漏洞。AppContainer能够阻止恶意代码,防止来自第三方应用的渗透。而该漏洞允许攻击者绕过Windows AppContainer防火墙规则,且无需用户交互即可加以利用。

微软仍然是重点攻击目标

正如过去几个月发生的事件所示,Microsoft 服务仍然是攻击和漏洞利用的重要目标,而其中的漏洞更是层出不穷。Forrester研究总监兼首席分析师Merritt Maxim表示,“微软应用程序和系统仍然是黑客眼中的高价值目标,因为它们在全球范围内广泛部署。”

Maxim估计,大约80%的企业都以某种形式在全球范围内使用Microsoft Active Directory。鉴于Active Directory正充当用户身份验证凭据(以及其他功能)的存储库,而身份验证凭据对于黑客来说又是极具价值的数据源,因此黑客将继续针对Microsoft系统实施攻击。

攻击者会根据价值选择自己的目标,系统或程序越流行,它对黑客的价值就越大。此外,由于微软的复杂性和广泛性,其暴露的攻击面也异常大,其中大部分还是可以远程访问的。流行度和大规模远程可访问攻击面的结合创造了一个完美的目标。

微软对安全事件的回应

在反思微软对安全事件的反应和处理时,Netenrich 首席威胁猎手John Bambenek表示,该公司总体上做得很好。如果有需要改进的地方的话,他们可能需要拥有最完善的产品安全流程。

Maxim对此表示赞同。他表示,“考虑到他们的系统无处不在,想要跟踪每个可能的漏洞是一项不可能完成的任务。微软需要继续加大投资其原生产品的安全功能,并通过微软威胁情报中心等机构继续提供对影响其平台的新兴恶意软件的详细分析和调查,以使企业了解情况并受到保护。”

不过,即便微软迅速做出反应并尝试修补漏洞,但由于最近的几个补丁不完整,还是导致了大规模的漏洞利用。Kolodenker解释称,“许多Microsoft高危漏洞都是合法的安全专业人员发现的,只有在最初的补丁发布后,攻击者才开始猖獗利用。而在补丁广泛采用之前发布概念公开证明(PoC)只会进一步加剧这种情况。”

这就是为什么组织不能仅仅依赖服务提供商提供的安全更新和修复,他们自己也必须承担一部分责任,及时应用安全补丁和修复程序来减轻“以漏洞为中心”的漏洞利用和攻击风险。

Jartelius提倡将预防性和反应性方法相结合。他表示,“就像我们反复测试火警系统一样,我们也应该测试这些安全防御机制。使用内部或外部团队来模拟真实攻击,同时,练习观察和响应攻击的公司,通常会在沦为现实世界的目标之前及时发现自身存在的防御缺陷。”

microsoft_windows_security_binary_lock_by_gerd_altmann_cc0_via_pixabay_1800x1200-100817345-large.jpg

到目前为止,事实证明,2021年对科技巨头微软来说算得上“安全重灾年”,许多漏洞影响了其多项领先服务,包括Active Directory、Exchange和Azure。微软经常沦为试图利用已知漏洞和零日漏洞攻击者的目标,但自今年3月初以来,它所面临的事件发生率和规模已经让这家科技巨头乱了阵脚。

以下是2021年困扰微软的重大安全事件时间表:

3月2日:Microsoft Exchange Server漏洞

第一个值得关注的安全事件发生在3月,当时微软宣布其Exchange Server中存在漏洞CVE-2021-26855。该漏洞可在一个或多个路由器的协议级别远程执行和利用。虽然该攻击复杂性被归类为“低”,但微软表示CVE-2021-26855正在被积极利用。

更重要的是,该漏洞可以在没有任何用户交互的情况下被利用,并导致设备完全丧失机密性和保护。根据微软的说法,拒绝对443端口上Exchange服务器的不可信访问,或者限制来自公司网络外部的连接,以阻止攻击的初始阶段。但是,如果攻击者已经在基础架构中,或者如果攻击者获得具有管理员权限的用户来运行恶意文件,这将无济于事。

随后,Microsoft发布了安全补丁并建议紧急在面向外部的Exchange服务器上安装更新。

6月8日:微软修补了六个零日安全漏洞

微软针对影响各种Windows服务的安全问题发布了补丁,其中六个严重漏洞已经成为攻击者的积极目标。这6个零日漏洞是:

CVE-2021-33742:Windows HTML组件中的远程代码执行漏洞;

CVE-2021-31955:Windows内核中的信息泄露漏洞;

CVE-2021-31956:Windows NTFS中的提权漏洞;

CVE-2021-33739:Microsoft桌面窗口管理器中的特权提升漏洞;

CVE-2021-31201:Microsoft Enhanced Cryptographic Provider中的特权提升漏洞;

CVE-2021-31199:Microsoft Enhanced Cryptographic Provider中的特权提升漏洞;

7月1日:Windows Print Spooler漏洞

安全研究人员在GitHub上公开了一个Windows Print Spooler远程代码执行0day漏洞(CVE-2021-34527)。需要注意的是,该漏洞与Microsoft 6月8日星期二补丁日中修复并于6月21日更新的一个EoP升级到RCE的漏洞(CVE-2021-1675)不是同一个漏洞。这两个漏洞相似但不同,攻击向量也不同。

微软警告称,该漏洞已出现在野利用。当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码、安装程序、查看并更改或删除数据、或创建具有完全用户权限的新帐户,但攻击必须涉及调用 RpcAddPrinterDriverEx() 的经过身份验证的用户。

专家建议的缓解措施包括立即安装安全更新,同时确保以下注册表设置设置为“0”(零)或未定义:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

NoWarningNoElevationOnInstall = 0 (DWORD) or not defined (default setting)

UpdatePromptSettings = 0 (DWORD) or not defined (default setting)

8月:研究人员披露Microsoft Exchange Autodiscover漏洞

Autodiscover是Microsoft Exchange用来自动配置outlook这类Exchange客户端应用的工具。8月份,安全供应商Guardicore的研究人员发现,Microsoft Exchange Autodiscover存在一个设计缺陷,导致该协议将Web请求“泄漏”到用户域外的Autodiscover域,但仍在同一顶级域(TLD)中,例如 Autodiscover.com。

事实上,Autodiscover漏洞并不是一个新问题。早在2017年,Shape Security就首次披露了该核心漏洞,并在当年的Black Hat Asia上展示了调查结果。当时,CVE-2016-9940 和 CVE-2017-2414 漏洞被发现仅影响移动设备上的电子邮件客户端。不过,Shape Security披露的漏洞已得到修补,而在2021年更多第三方应用程序再次面临相同的问题。

与此同时,微软开始调查并采取措施减轻威胁以保护客户。微软高级主管Jeff Jones表示,“我们致力于协调漏洞披露,这是一种行业标准的协作方法,可在问题公开之前降低客户面临不必要的风险。不幸的是,这个问题在研究人员向媒体披露之前并没有报告给我们,所以我们今天才知道这些说法。而且,我的报告也清楚地引用了2017 年提出这个问题的研究。这不是零日漏洞,它已经存在了至少1460天。微软不可能不知道这个漏洞。”

8月26日:研究人员访问了数千名Microsoft Azure客户的数据

8 月 26 日,云安全供应商Wiz宣布,在Microsoft Azure的托管数据库服务Cosmos DB中发现了一个漏洞, Wiz将其命名为“Chaos DB”,攻击者可以利用该漏洞获得该服务上每个数据库的读/写访问权限。尽管Wiz在两周前才发现了该漏洞,但该公司表示,该漏洞已经在系统中存在“至少几个月,甚至几年”。

被告知存在漏洞后,微软安全团队禁用了易受攻击的Notebook功能,并通知超过30%的Cosmos DB客户需要手动轮换访问密钥以减少风险,这些是在Wiz探索漏洞一周左右内启用了Jupyter Notebook功能的客户。此外,微软还向Wiz支付了40,000美元的赏金。目前,微软安全团队已经修复了该漏洞。

9月7日:Microsoft MSHTML漏洞

9月7日,微软发布安全通告披露了Microsoft MSHTML远程代码执行漏洞(CVE-2021-40444),攻击者可通过制作恶意的ActiveX控件供托管浏览器呈现引擎的Microsoft Office文档使用,成功诱导用户打开恶意文档后,可在目标系统上以该用户权限执行任意代码。微软在通告中指出已检测到该漏洞被在野利用,请相关用户采取措施进行防护。

据悉,MSHTML(又称为Trident)是微软旗下的Internet Explorer 浏览器引擎,也用于 Office 应用程序,以在 Word、Excel 或 PowerPoint 文档中呈现 Web 托管的内容。AcitveX控件是微软COM架构下的产物,在Windows的Office套件、IE浏览器中有广泛的应用,利用ActiveX控件即可与MSHTML组件进行交互。

微软于9月14日发布了安全更新以解决该漏洞,并敦促客户及时更新反恶意软件产品。

9月14日:微软披露了几个未被利用的漏洞

在发布安全更新以缓解Trident漏洞的同一天,微软发布了有关其服务中大量未利用(在披露时)漏洞的详细信息。

CVE-2021-36968:Windows DNS中的提权漏洞。攻击者通过本地(例如键盘、控制台)或远程(例如SSH)访问目标系统来利用该漏洞;或者攻击者依赖他人的用户交互来执行利用漏洞所需的操作(例如,诱骗合法用户打开恶意文档)。该漏洞攻击复杂度和所需权限低,无需用户交互即可本地利用。

CVE-2021-38647:影响Azure开放管理基础结构(OMI)的远程代码执行漏洞。该漏洞的攻击复杂性较低,无需用户交互,并且可能导致完全拒绝访问受影响组件中的资源。8月11日在GitHub上发布了修复程序,以允许用户在发布完整的CVE详细信息之前降低风险。

CVE-2021-36965:影响Windows WLAN AutoConfig服务的漏洞。该漏洞绑定到网络堆栈,但攻击仅限于协议级别的逻辑相邻拓扑。这意味着攻击必须从相同的共享物理或逻辑网络发起,或者从安全或其他受限的管理域内发起。该漏洞利用仅限于由同一安全机构管理的资源。

CVE-2021-36952:该远程代码执行Visual Studio可能导致攻击者完全拒绝访问受影响组件中的资源。

CVE-2021-38667:影响Windows Print Spooler的新提权漏洞。攻击者被授权(即需要)提供基本用户功能的特权,这些功能通常只能影响用户拥有的设置和文件。或者,具有低权限的攻击者可能有能力仅对非敏感资源造成影响。CVE-2021-36975和CVE-2021-38639:微软也共享了两个影响Win32k的新特权提升漏洞。两者都有可能被攻击者反复成功利用。

9月16日:攻击者利用ManageEngine ADSelfService Plus中的漏洞

来自FBI、美国海岸警卫队网络司令部(CGCYBER)和CISA的联合咨询警告称,Zoho ManageEngine ADSelfService Plus平台存在严重的身份验证绕过漏洞,该漏洞可导致远程代码执行(RCE),从而为肆无忌惮的攻击者打开公司大门,攻击者可以自由控制用户的Active Directory(AD)和云帐户。

Zoho ManageEngine ADSelfService Plus是一个针对AD和云应用程序的自助式密码管理和单点登录(SSO)平台,这意味着任何能够控制该平台的网络攻击者都会在两个关键任务应用程序(和他们的敏感数据)中拥有多个轴心点。换句话说,它是一个功能强大的、高度特权的应用程序,无论是对用户还是攻击者都可以作为一个进入企业内部各个领域的便捷入口点。

9月27日:APT29以Active Directory联合身份验证服务为目标

安全研究人员标记了一个与俄罗斯政府有联系的网络间谍组织,该组织部署了一个新的后门,旨在利用Active Directory联合服务(AD FS)并窃取配置数据库和安全令牌证书。微软将恶意软件程序FoggyWeb归咎于NOBELIUM(也称为 APT29 或 Cozy Bear)组织——被认为是 SUNBURST后门的幕后黑手。微软表示已通知所有受影响客户,并建议用户:

审核本地和云基础架构,包括配置、每个用户和每个应用程序的设置、转发规则以及参与者可能为维持访问而进行的其他更改;

删除用户和应用程序访问权限,审查每个用户/应用程序的配置,并按照记录在案的行业最佳实践重新颁发新的、强大的凭据;

使用硬件安全模块(HSM)以防止FoggyWeb泄露机密数据;

10月:发布并修复4个零日漏洞

10月12日,微软发布了4个0day漏洞,它们分别为:

CVE-2021-40449:Win32k权限提升漏洞。调查显示,有黑客组织在利用该0day漏洞进行针对IT公司、军事/国防承包商和外交实体的广泛间谍活动。攻击者通过安装远程访问木马,利用该漏洞获取更高的权限。

CVE-2021-40469:Windows DNS服务器远程代码执行漏洞。在域控制器上实现远程代码执行的攻击者获取域管理员权限的后果很严重,不过幸好,该漏洞很难武器化。

CVE-2021-41335:Windows内核权限提升漏洞。该漏洞已公开披露在POC(概念验证)中,成功利用可允许攻击者在内核模式下运行任意代码,这种漏洞通常是攻击链中重要的一部分。

CVE-2021-41338:Windows AppContainer防火墙规则安全功能绕过漏洞。AppContainer能够阻止恶意代码,防止来自第三方应用的渗透。而该漏洞允许攻击者绕过Windows AppContainer防火墙规则,且无需用户交互即可加以利用。

微软仍然是重点攻击目标

正如过去几个月发生的事件所示,Microsoft 服务仍然是攻击和漏洞利用的重要目标,而其中的漏洞更是层出不穷。Forrester研究总监兼首席分析师Merritt Maxim表示,“微软应用程序和系统仍然是黑客眼中的高价值目标,因为它们在全球范围内广泛部署。”

Maxim估计,大约80%的企业都以某种形式在全球范围内使用Microsoft Active Directory。鉴于Active Directory正充当用户身份验证凭据(以及其他功能)的存储库,而身份验证凭据对于黑客来说又是极具价值的数据源,因此黑客将继续针对Microsoft系统实施攻击。

攻击者会根据价值选择自己的目标,系统或程序越流行,它对黑客的价值就越大。此外,由于微软的复杂性和广泛性,其暴露的攻击面也异常大,其中大部分还是可以远程访问的。流行度和大规模远程可访问攻击面的结合创造了一个完美的目标。

微软对安全事件的回应

在反思微软对安全事件的反应和处理时,Netenrich 首席威胁猎手John Bambenek表示,该公司总体上做得很好。如果有需要改进的地方的话,他们可能需要拥有最完善的产品安全流程。

Maxim对此表示赞同。他表示,“考虑到他们的系统无处不在,想要跟踪每个可能的漏洞是一项不可能完成的任务。微软需要继续加大投资其原生产品的安全功能,并通过微软威胁情报中心等机构继续提供对影响其平台的新兴恶意软件的详细分析和调查,以使企业了解情况并受到保护。”

不过,即便微软迅速做出反应并尝试修补漏洞,但由于最近的几个补丁不完整,还是导致了大规模的漏洞利用。Kolodenker解释称,“许多Microsoft高危漏洞都是合法的安全专业人员发现的,只有在最初的补丁发布后,攻击者才开始猖獗利用。而在补丁广泛采用之前发布概念公开证明(PoC)只会进一步加剧这种情况。”

这就是为什么组织不能仅仅依赖服务提供商提供的安全更新和修复,他们自己也必须承担一部分责任,及时应用安全补丁和修复程序来减轻“以漏洞为中心”的漏洞利用和攻击风险。

Jartelius提倡将预防性和反应性方法相结合。他表示,“就像我们反复测试火警系统一样,我们也应该测试这些安全防御机制。使用内部或外部团队来模拟真实攻击,同时,练习观察和响应攻击的公司,通常会在沦为现实世界的目标之前及时发现自身存在的防御缺陷。”

engineer_reviews_security_strategy_framework_data_metamorworks_gettyimages-966835276_2400x1600-100797052-large.jpg

从网络安全的角度来看,如今的组织正在一个高风险的世界中运营。这种情况下,拥有风险管理框架显得至关重要,因为风险永远无法完全消除;它只能得到有效管理。企业评估和管理风险的能力变得前所未有得重要。

而选择风险评估框架时,最关键的考虑因素就是确保它“迎合目的”并最适合预期结果。此外,选择广为人知且易于理解的框架同样有好处,它能够确保框架的使用更加一致和有效,并允许组织内的个人使用一致的语言。

组织可以利用风险评估框架来帮助指导安全和风险管理人员。以下是其中一些最突出的框架,每个框架都旨在解决特定的风险领域。

NIST风险管理框架

美国国家标准与技术研究院(NIST)的风险管理框架(Risk Management Framework,简称RMF)提供了一个全面、可重复和可衡量的七步流程,组织可以用其管理信息安全和隐私风险。它还附带一套NIST标准和指南,以支持风险管理计划的实施,使其满足联邦信息安全现代化法案(FISMA)的合规要求。

据NIST称,RMF提供了一个将安全、隐私和供应链风险管理活动集成到系统开发生命周期中的流程。它可以应用于任何类型的系统或技术,包括物联网(IoT)和控制系统,以及任何类型的企业组织——无论其规模或部门如何。NIST RMF的七个步骤为:

准备,包括使组织准备好管理安全和隐私风险的必要活动;

分类,包括分类系统和基于影响分析处理、存储和传输的信息;

选择,即根据风险评估选择一组NIST SP 800-53控制来保护系统;

实施,部署控制系统并记录它们的部署方式;

评估,确定控制系统是否到位,是否按预期运行,并产生预期的结果;

授权,高级管理人员做出基于风险的决定来授权系统运行;

监控,包括持续监控控制系统的实施和系统风险。

NIST RMF可以根据企业组织需求进行定制,且经常能够得到评估和更新,许多工具支持该标准。IT专业人员在部署NIST RMF时要明白,它不是一个自动化工具,而是一个需要严格遵守纪律以正确建模风险的文件化框架,这一点至关重要。

目前,NIST已经出版了一些易于理解且适用于大多数组织的风险相关出版物。这些参考资料提供了一个整合安全、隐私和网络供应链风险管理活动的流程,有助于控制选择和政策制定。

OCTAVE

运营关键威胁、资产和漏洞评估(OCTAVE)由卡内基梅隆大学的计算机应急小组(CERT)开发,是用于识别和管理信息安全风险的框架。它定义了一种综合评估方法,允许组织识别对其目标很重要的信息资产、对这些资产的威胁以及可能使这些资产面临威胁的漏洞。

通过将信息资产、威胁和漏洞结合在一起,组织能够全面了解哪些信息面临风险。而有了这种理解,他们就可以设计和部署策略来降低信息资产的整体风险敞口。

目前,有两个版本的OCTAVE。一个是OCTAVE-S,这是一种简化方法,专为具有扁平层次结构的小型企业组织而设计。另一个是OCTAVE Allegro,这是一个更全面的框架,适用于大型或结构复杂的企业组织。

可以说,OCTAVE是一个精心设计的风险评估框架,因为它从物理、技术和人力资源的角度来看待安全。它可以识别对任何组织而言都是关键任务的资产,并发现威胁和漏洞。但是,部署起来可能非常复杂,而且只能通过定性方法进行量化。

不过,这种框架的灵活性允许运营团队和IT团队一起协作来解决企业组织的安全需求。

COBIT

来自ISACA(国际信息系统审计协会)的“信息和相关技术的控制目标”(COBIT)是IT管理和治理的框架。它旨在以业务为中心,并为IT管理定义了一组通用流程。每个流程都融合了流程输入和输出、关键活动、目标、绩效度量和基本成熟度模型等因素。

据ISACA称,最新版本的COBIT 2019提供了更多的实施资源、实践指导和见解,以及全面的培训机会,其实施更加灵活,使组织能够通过框架定制他们的治理过程。

COBIT是与IT管理流程和政策执行相一致的高级框架。不过,挑战在于COBIT成本高昂,并且需要具备很高的知识和技能才能实施。

该框架是解决企业组织信息和技术治理和管理的唯一模型。虽然COBIT的主要目的不是专门针对风险,但它在整个框架中整合了多种风险实践,并引用了多个全球公认的风险框架。

TARA

据非营利组织MITRE(从事包括网络安全在内的技术领域研究和开发)称,威胁评估和补救分析(TARA)是一种工程方法,用于识别和评估网络安全漏洞并部署对策来缓解它们。

该框架是MITRE系统安全工程(SSE)实践组合的一部分。MITRE表示,“TARA评估方法可以被描述为联合交易研究,其中第一个交易是基于评估的风险识别和排列攻击向量,第二个交易是基于评估的效用、成本识别和选择对策。”

该方法的独特之处包括使用目录存储的缓解映射,为给定的攻击向量范围预先选择可能的对策,以及提供基于风险容忍度的对策策略。

TARA是一种在考虑缓解措施的同时确定关键风险的实用方法,并且可以增强正式的风险方法以包含有关攻击者的重要信息,这些信息可以改善风险状况。

FAIR

信息风险因素分析(FAIR)是对导致风险的因素以及它们如何相互影响的分类法。该框架由 Nationwide Mutual Insurance前首席信息安全官Jack Jones开发,主要为数据丢失事件的频率和幅度建立准确的概率。

FAIR不是执行企业或个人风险评估的方法。但它为组织提供了一种理解、分析和衡量信息风险的方法。该框架的组成部分包括信息风险分类法、信息风险术语的标准化命名法、建立数据收集标准的方法、风险因素的度量尺度、评估风险的计算引擎以及分析复杂风险情景的模型。

FAIR是为信息安全和运营风险提供可靠量化模型的少数方法之一。这种务实的风险框架为评估任何企业的风险提供了坚实基础。不过,虽然FAIR提供了威胁、漏洞和风险的全面定义,但它却没有很好的记录,因此很难实施。

与其他风险框架不同的是,FAIR的重点是将风险量化为实际美元,而不是传统的“高、中、低”评分。这一点也正在获得高级领导者和董事会成员的关注,通过有意义的方式更好地量化风险,从而实现更深思熟虑的业务讨论。

engineer_reviews_security_strategy_framework_data_metamorworks_gettyimages-966835276_2400x1600-100797052-large.jpg

从网络安全的角度来看,如今的组织正在一个高风险的世界中运营。这种情况下,拥有风险管理框架显得至关重要,因为风险永远无法完全消除;它只能得到有效管理。企业评估和管理风险的能力变得前所未有得重要。

而选择风险评估框架时,最关键的考虑因素就是确保它“迎合目的”并最适合预期结果。此外,选择广为人知且易于理解的框架同样有好处,它能够确保框架的使用更加一致和有效,并允许组织内的个人使用一致的语言。

组织可以利用风险评估框架来帮助指导安全和风险管理人员。以下是其中一些最突出的框架,每个框架都旨在解决特定的风险领域。

NIST风险管理框架

美国国家标准与技术研究院(NIST)的风险管理框架(Risk Management Framework,简称RMF)提供了一个全面、可重复和可衡量的七步流程,组织可以用其管理信息安全和隐私风险。它还附带一套NIST标准和指南,以支持风险管理计划的实施,使其满足联邦信息安全现代化法案(FISMA)的合规要求。

据NIST称,RMF提供了一个将安全、隐私和供应链风险管理活动集成到系统开发生命周期中的流程。它可以应用于任何类型的系统或技术,包括物联网(IoT)和控制系统,以及任何类型的企业组织——无论其规模或部门如何。NIST RMF的七个步骤为:

准备,包括使组织准备好管理安全和隐私风险的必要活动;

分类,包括分类系统和基于影响分析处理、存储和传输的信息;

选择,即根据风险评估选择一组NIST SP 800-53控制来保护系统;

实施,部署控制系统并记录它们的部署方式;

评估,确定控制系统是否到位,是否按预期运行,并产生预期的结果;

授权,高级管理人员做出基于风险的决定来授权系统运行;

监控,包括持续监控控制系统的实施和系统风险。

NIST RMF可以根据企业组织需求进行定制,且经常能够得到评估和更新,许多工具支持该标准。IT专业人员在部署NIST RMF时要明白,它不是一个自动化工具,而是一个需要严格遵守纪律以正确建模风险的文件化框架,这一点至关重要。

目前,NIST已经出版了一些易于理解且适用于大多数组织的风险相关出版物。这些参考资料提供了一个整合安全、隐私和网络供应链风险管理活动的流程,有助于控制选择和政策制定。

OCTAVE

运营关键威胁、资产和漏洞评估(OCTAVE)由卡内基梅隆大学的计算机应急小组(CERT)开发,是用于识别和管理信息安全风险的框架。它定义了一种综合评估方法,允许组织识别对其目标很重要的信息资产、对这些资产的威胁以及可能使这些资产面临威胁的漏洞。

通过将信息资产、威胁和漏洞结合在一起,组织能够全面了解哪些信息面临风险。而有了这种理解,他们就可以设计和部署策略来降低信息资产的整体风险敞口。

目前,有两个版本的OCTAVE。一个是OCTAVE-S,这是一种简化方法,专为具有扁平层次结构的小型企业组织而设计。另一个是OCTAVE Allegro,这是一个更全面的框架,适用于大型或结构复杂的企业组织。

可以说,OCTAVE是一个精心设计的风险评估框架,因为它从物理、技术和人力资源的角度来看待安全。它可以识别对任何组织而言都是关键任务的资产,并发现威胁和漏洞。但是,部署起来可能非常复杂,而且只能通过定性方法进行量化。

不过,这种框架的灵活性允许运营团队和IT团队一起协作来解决企业组织的安全需求。

COBIT

来自ISACA(国际信息系统审计协会)的“信息和相关技术的控制目标”(COBIT)是IT管理和治理的框架。它旨在以业务为中心,并为IT管理定义了一组通用流程。每个流程都融合了流程输入和输出、关键活动、目标、绩效度量和基本成熟度模型等因素。

据ISACA称,最新版本的COBIT 2019提供了更多的实施资源、实践指导和见解,以及全面的培训机会,其实施更加灵活,使组织能够通过框架定制他们的治理过程。

COBIT是与IT管理流程和政策执行相一致的高级框架。不过,挑战在于COBIT成本高昂,并且需要具备很高的知识和技能才能实施。

该框架是解决企业组织信息和技术治理和管理的唯一模型。虽然COBIT的主要目的不是专门针对风险,但它在整个框架中整合了多种风险实践,并引用了多个全球公认的风险框架。

TARA

据非营利组织MITRE(从事包括网络安全在内的技术领域研究和开发)称,威胁评估和补救分析(TARA)是一种工程方法,用于识别和评估网络安全漏洞并部署对策来缓解它们。

该框架是MITRE系统安全工程(SSE)实践组合的一部分。MITRE表示,“TARA评估方法可以被描述为联合交易研究,其中第一个交易是基于评估的风险识别和排列攻击向量,第二个交易是基于评估的效用、成本识别和选择对策。”

该方法的独特之处包括使用目录存储的缓解映射,为给定的攻击向量范围预先选择可能的对策,以及提供基于风险容忍度的对策策略。

TARA是一种在考虑缓解措施的同时确定关键风险的实用方法,并且可以增强正式的风险方法以包含有关攻击者的重要信息,这些信息可以改善风险状况。

FAIR

信息风险因素分析(FAIR)是对导致风险的因素以及它们如何相互影响的分类法。该框架由 Nationwide Mutual Insurance前首席信息安全官Jack Jones开发,主要为数据丢失事件的频率和幅度建立准确的概率。

FAIR不是执行企业或个人风险评估的方法。但它为组织提供了一种理解、分析和衡量信息风险的方法。该框架的组成部分包括信息风险分类法、信息风险术语的标准化命名法、建立数据收集标准的方法、风险因素的度量尺度、评估风险的计算引擎以及分析复杂风险情景的模型。

FAIR是为信息安全和运营风险提供可靠量化模型的少数方法之一。这种务实的风险框架为评估任何企业的风险提供了坚实基础。不过,虽然FAIR提供了威胁、漏洞和风险的全面定义,但它却没有很好的记录,因此很难实施。

与其他风险框架不同的是,FAIR的重点是将风险量化为实际美元,而不是传统的“高、中、低”评分。这一点也正在获得高级领导者和董事会成员的关注,通过有意义的方式更好地量化风险,从而实现更深思熟虑的业务讨论。

近日,2021年备受期待的谍战动作大片《007:无暇赴死》(No Time to Die)震撼上映。作为“詹姆斯·邦德系列电影”,除了丹尼尔·克雷格本人未变外,电影的另一个统一之处在于,其中的军情六处员工完全缺乏对网络安全基础知识的了解。

这种疏忽是有意为之,还是由于编剧无能或是缺乏网络顾问,尚不清楚。无论如何,以下是我们在《007》系列电影中发现的一些荒谬之处,按上映顺序排列。剧透警告!

《007:大战皇家赌场》

在克雷格的第一部邦德电影中,我们看到了以下场景:邦德闯入其直属上司M夫人的家,并用她的笔记本电脑连接到某种间谍系统,以找出发送到恐怖分子手机的短信来源。实际上,邦德只有具备以下条件才能实现这一点:

lQDPDhrhwMFkFbzNBDjNCUiwR_KBKJwwwqYBnx3NyABZAA_2376_1080.jpg

◼军情六处(MI6)不强制执行自动屏幕锁定和注销策略,且M将她的笔记本电脑保持永久打开并登录的状态;

◼MI6不强制使用强密码,且M的密码很容易被猜到;

◼M夫人不知道如何对她的同事保密自己的密码,或者她使用已泄露的密码。

这些情况中的任何一种都会带来麻烦,但第三种情况最有可能;而且在故事的后面部分,邦德再次使用M的凭据远程登录到“安全网站”。

除了M外,邦德的密码态度也好不到哪里去。当他需要为保存其扑克奖金的秘密帐户创建密码(至少六个字符)时,他使用了同事(兼恋人)的名字“Vesper”。更重要的是,该密码实际上是对应数字的助记符,实际密码是6位数字。

《007:大破量子危机》 

在克雷格出演的5部邦德电影中,《量子危机》是计算机化程度最低的一部,即便如此,其中仍然包含一个值得关注的点。在影片的开头,我们认识了Craig Mitchell,一名在军情六处工作了八年的员工——作了M五年的私人保镖——实际上是一个双重间谍。

当然,这属于老生常谈的“内部威胁”问题,而非网络问题。不过,正如在前一部电影中看到的那样,M对密码的粗心大意表明,军情六处的秘密很可能已经掌握在世界各地的超级反派手中。

《007:天降危机》

《天降危机》是5部邦德电影中计算机化程度最高的一部。信息安全是该片的核心,从第一个场景都能看出网络发挥的重要作用。为了方便起见,我们将按时间顺序进行分析:

伊斯坦布尔的数据泄露事件 

一位身份不明的罪犯窃取了一个笔记本电脑硬盘,其中包含“潜伏在全球恐怖组织中几乎全部北约特工的身份”。甚至是军情六处的合作伙伴也不知道该名单的内容(甚至认为它根本不存在)。

lQDPDhrhwMDLfy7NBDjNCUiwLcM5x_Gu04EBnx3N2kBkAA_2376_1080.jpg

事实上,这种驱动器的想法本身已经是一个巨大的漏洞。假设数据库对军情六处至关重要(事实也确实如此)。那么,它怎么会在伊斯坦布尔的一个安全屋里?又怎么会只有三名特工负责保护?即使是驱动器被盗,它没有加密?并在进行任何解密尝试时提醒军情六处?

英国秘密情报局(SIS)受到网络恐怖攻击

第一起真正的网络事件登场:恐怖分子对英国秘密情报局(SIS)总部发起网络恐怖袭击。攻击者试图解密被盗的驱动器——根据安全系统追踪加密信号得出,信号似乎是来自M的个人计算机。之后,防御者拼命试图关闭计算机,但不法分子炸毁了泰晤士河畔的SIS大楼。

lQDPDhrhwMH8q2TNBDjNCUiwyP9kPdIrCa4Bnx3N5kBDAA_2376_1080.jpg

lQDPDhrhwMFkFcfNBDjNCUiwV3j8dujZfbUBnx3ObkBZAA_2376_1080.jpg

随后的调查显示,袭击者侵入了环境控制系统,关闭了安全防火墙,并打开了煤气阀;但在此之前,他们入侵了M的文件(包括她的日历)并提取了密码,解密出特工名单只是时间问题。

让我们假设M计算机上的被盗驱动器发出的警报代表了虚假信息或拖钓的企图(毕竟,驱动器不可能在建筑物中)。让我们忽略关于大楼供气的问题——谁知道呢,也许军情六处的走廊里还点着煤气灯。毕竟,英国是一片传统之地。

无论如何,入侵工控系统是完全可行的。但是,工控系统和M的计算机——据称是“英国最安全的计算机系统”——是如何最终出现在同一个网络上的呢?这涉及的显然是一个网络分段问题。更不用说,将驱动器解密代码存储在M的计算机上是另一个纯粹疏忽的例子,他们起码应该使用过密码管理器。

网络欺凌M

攻击者通过定期在公共领域发布特工的名单来羞辱M,并通过某种方式在她的笔记本电脑上闪现他们的消息——“记住你的罪行”。(似乎存在某种后门;否则他们怎么可能进来?)但军情六处的专家对检查笔记本电脑不感兴趣,只对追踪消息来源感兴趣。

lQDPDhrhwMDLf07NBDjNCUiwcVqwto8Km2EBnx3N-MBkAA_2376_1080.jpg

他们得出结论,它是由一种非对称安全算法发送的,该算法通过成百上千台服务器在全球范围内反射信号。这种策略可能确实存在,但在这种情况下,他们说是“非对称安全算法”多少有点莫名其妙。在现实世界中,非对称加密算法是密码学中的一个术语;它与隐藏消息源无关。

对军情六处的内部攻击

邦德找到并逮捕了黑客(一位名叫Silva的前军情六处特工),并将他和他的笔记本电脑带到军情六处的新总部,且丝毫不知一切都是Silva布的局。这时候,新人物Q登场:名义上是军需官,功能上是军情六处的黑客,实际上是一个“小丑”。

为什么说他是一个“小丑”?且听分说!Q做的第一件事就是将Silva的笔记本电脑连接到MI6的内部网络,并尝试破译。下面是他的分析过程:

“Silva建立的故障安全协议会在有人尝试访问某些文件时,自动擦除内存。”

——如果Q真的知道这一点,那他为什么还要在安装了此类协议的计算机上继续分析Silva的数据?内存被擦除了怎么办?

lQDPDhrhwMH8q5vNBDjNCUiwBzNHNqdMo4kBnx3OqMBDAQ_2376_1080.jpg

“这是他的omega站点。这么高的加密度,像是混淆代码以隐藏其真正目的。晦涩即安全。”

——这句话基本上是一个没有统一逻辑的随机术语流。某些代码使用加密进行了混淆(更改为阻碍分析)——为什么不呢?但是要运行代码,必须先破译它,现在是弄清楚它是什么的好时机。此外,“晦涩即安全”确实是一种保护计算机系统的现实方法,其中,安全性依赖于使潜在的攻击者难以破解数据,而非强大的安全机制。这并不是最佳实践。在此,Q试图向观众传达的究竟是什么并不清楚。

lQDPDhrhwMFkFcDNBDjNCUiwKdll5AUek-wBnx3ObkBZAQ_2376_1080.jpg

“他正使用多态引擎来修改代码。每当我尝试获得访问权限时,它就会改变。”

——这就更废话了。代码在哪里,以及Q如何尝试访问它,谁也说不好。如果他在谈论文件,则存在内存擦除的风险(请参阅第一点)。至于多态性,严格来说,它是一种在创建新病毒副本时修改恶意代码的过时方法。它出现在这里也不合时宜。

lQDPDhrhwMFkFi3NBDjNCUiwaatE1oMQNMYBnx3OVABkAA_2376_1080.jpg

从视觉上看,Silva计算机上显示的一切就像一种极其复杂的物理移动图(spaghetti diagram,也称为意大利面条图),上面散布着看起来像十六进制代码的东西。眼尖的邦德在字母数字阵中发现了一个熟悉的名字:Granborough——伦敦一个废弃的地铁站,并建议用它作为钥匙。

当然,一些经验丰富的情报官员应该意识到,一条显而易见的重要信息就这么堂而皇之地出现在界面上绝对是一个陷阱。为什么敌人会把它留在这么显眼的地方?但是,毫无头绪的Q就这样毫不犹豫地输入了“Granborough”。结果,囚禁Silva的门打开了,“系统安全漏洞”消息闪烁,Q所能做的就是转身问:“谁能告诉我他到底是怎么进入我们系统的?!”几秒后,这位“专家”才最终决定将Silva的笔记本电脑与网络断开连接,试图“亡羊补牢”。

lQDPDhrhwMH8q8TNBDjNCUiwngQkBOM8APcBnx3OqMBDAA_2376_1080.jpg

我们也不清楚编剧是故意将Q描绘成一个笨手笨脚的业务爱好者,还是他们只是想在剧本中加入随机的网络安全术语,试图增加剧情的专业性(实则弄巧成拙)。

《007:幽灵党》

理论上讲,《幽灵党》旨在提出“九眼”(Nine Eyes)全球监视和情报计划作为反恐工具的合法性、道德和安全问题。但在实践中,创建电影中所示系统的唯一缺点是,如果联合特勤局(军情五处和军情六处的合并机构)的负责人被“策反”——也就是说,如果像以前一样,内部恶意人员获得了对英国政府信息系统的访问权限——那么这种系统的危害性将无法想象。

另一个内部威胁补充案例是,Q和Moneypenny在整部电影中一直在将机密信息传递给正式停职的邦德,而且还为当局传递了有关邦德下落的误导信息。他们的行为可能是为了更大的利益,但在情报工作方面,他们确实泄露了机密数据,至少是违反了职业操守。

《007:无暇赴死》

在克雷格时代的最后一部电影中,军情六处秘密开发了一种名为“赫拉克勒斯计划”(Project Heracles)的绝密武器,其原理就是利用纳米机器人,经过编码之后生成的一种超级生化武器,只需接触特定对象的皮肤就能致死。该武器是军情六处科学家和双重间谍(或三重间谍)Valdo Obruchev的心血结晶。

Obruchev将秘密文件复制到闪存驱动器上并吞下,之后,Spectre组织的特工闯入实验室,窃取了一些纳米机器人样本并绑架了这位奸诈的科学家。撇开人员背景调查问题不谈,为什么在开发秘密武器的实验室中没有数据丢失预防(DLP)系统——尤其是在顶着俄罗斯姓氏的Obruchev的计算机上?

此外,影片中还简要提到,由于大量DNA数据多次泄露,该武器可以有效地针对任何人。这一点也不是完全说不通,但后来我们了解到,这些泄露还包含军情六处特工的数据,这就让人难以相信了。为了将泄露的DNA数据与军情六处员工的数据进行匹配,必须公开这些特工的名单。这多少有点牵强。

最大槽点还要数超级大反派Blofeld的人工眼,虽然Blofeld在超级监狱里呆了多年,但这只人工眼与他的一个心腹的类似设备仍保持着全天候的视频链接。我们宽容一点,假设狱警没有发现囚犯的生物植入体。但是人工眼必须定期充电,想在超级监狱中不被发现应该很难,毕竟守卫也不全是吃素的!更何况在《幽灵党》结尾,Blofeld被拘留时并没有佩戴眼部装置,所以一定是有人在他被捕后给了他这种装置。所以,这是又一个伏笔?又一个内幕?

结语

我们宁愿相信所有这些荒谬的内容都是编剧的锅,而非军情六处网络安全实践的真实反映。至少,我们希望真正的政府机构不会泄露绝密武器,或将绝密代码以明文形式存储在甚至不会自动锁定的设备上。最后,我们只能建议编剧们提高自己的网络安全意识,例如参加网络安全课程。

近日,2021年备受期待的谍战动作大片《007:无暇赴死》(No Time to Die)震撼上映。作为“詹姆斯·邦德系列电影”,除了丹尼尔·克雷格本人未变外,电影的另一个统一之处在于,其中的军情六处员工完全缺乏对网络安全基础知识的了解。

这种疏忽是有意为之,还是由于编剧无能或是缺乏网络顾问,尚不清楚。无论如何,以下是我们在《007》系列电影中发现的一些荒谬之处,按上映顺序排列。剧透警告!

《007:大战皇家赌场》

在克雷格的第一部邦德电影中,我们看到了以下场景:邦德闯入其直属上司M夫人的家,并用她的笔记本电脑连接到某种间谍系统,以找出发送到恐怖分子手机的短信来源。实际上,邦德只有具备以下条件才能实现这一点:

lQDPDhrhwMFkFbzNBDjNCUiwR_KBKJwwwqYBnx3NyABZAA_2376_1080.jpg

◼军情六处(MI6)不强制执行自动屏幕锁定和注销策略,且M将她的笔记本电脑保持永久打开并登录的状态;

◼MI6不强制使用强密码,且M的密码很容易被猜到;

◼M夫人不知道如何对她的同事保密自己的密码,或者她使用已泄露的密码。

这些情况中的任何一种都会带来麻烦,但第三种情况最有可能;而且在故事的后面部分,邦德再次使用M的凭据远程登录到“安全网站”。

除了M外,邦德的密码态度也好不到哪里去。当他需要为保存其扑克奖金的秘密帐户创建密码(至少六个字符)时,他使用了同事(兼恋人)的名字“Vesper”。更重要的是,该密码实际上是对应数字的助记符,实际密码是6位数字。

《007:大破量子危机》 

在克雷格出演的5部邦德电影中,《量子危机》是计算机化程度最低的一部,即便如此,其中仍然包含一个值得关注的点。在影片的开头,我们认识了Craig Mitchell,一名在军情六处工作了八年的员工——作了M五年的私人保镖——实际上是一个双重间谍。

当然,这属于老生常谈的“内部威胁”问题,而非网络问题。不过,正如在前一部电影中看到的那样,M对密码的粗心大意表明,军情六处的秘密很可能已经掌握在世界各地的超级反派手中。

《007:天降危机》

《天降危机》是5部邦德电影中计算机化程度最高的一部。信息安全是该片的核心,从第一个场景都能看出网络发挥的重要作用。为了方便起见,我们将按时间顺序进行分析:

伊斯坦布尔的数据泄露事件 

一位身份不明的罪犯窃取了一个笔记本电脑硬盘,其中包含“潜伏在全球恐怖组织中几乎全部北约特工的身份”。甚至是军情六处的合作伙伴也不知道该名单的内容(甚至认为它根本不存在)。

lQDPDhrhwMDLfy7NBDjNCUiwLcM5x_Gu04EBnx3N2kBkAA_2376_1080.jpg

事实上,这种驱动器的想法本身已经是一个巨大的漏洞。假设数据库对军情六处至关重要(事实也确实如此)。那么,它怎么会在伊斯坦布尔的一个安全屋里?又怎么会只有三名特工负责保护?即使是驱动器被盗,它没有加密?并在进行任何解密尝试时提醒军情六处?

英国秘密情报局(SIS)受到网络恐怖攻击

第一起真正的网络事件登场:恐怖分子对英国秘密情报局(SIS)总部发起网络恐怖袭击。攻击者试图解密被盗的驱动器——根据安全系统追踪加密信号得出,信号似乎是来自M的个人计算机。之后,防御者拼命试图关闭计算机,但不法分子炸毁了泰晤士河畔的SIS大楼。

lQDPDhrhwMH8q2TNBDjNCUiwyP9kPdIrCa4Bnx3N5kBDAA_2376_1080.jpg

lQDPDhrhwMFkFcfNBDjNCUiwV3j8dujZfbUBnx3ObkBZAA_2376_1080.jpg

随后的调查显示,袭击者侵入了环境控制系统,关闭了安全防火墙,并打开了煤气阀;但在此之前,他们入侵了M的文件(包括她的日历)并提取了密码,解密出特工名单只是时间问题。

让我们假设M计算机上的被盗驱动器发出的警报代表了虚假信息或拖钓的企图(毕竟,驱动器不可能在建筑物中)。让我们忽略关于大楼供气的问题——谁知道呢,也许军情六处的走廊里还点着煤气灯。毕竟,英国是一片传统之地。

无论如何,入侵工控系统是完全可行的。但是,工控系统和M的计算机——据称是“英国最安全的计算机系统”——是如何最终出现在同一个网络上的呢?这涉及的显然是一个网络分段问题。更不用说,将驱动器解密代码存储在M的计算机上是另一个纯粹疏忽的例子,他们起码应该使用过密码管理器。

网络欺凌M

攻击者通过定期在公共领域发布特工的名单来羞辱M,并通过某种方式在她的笔记本电脑上闪现他们的消息——“记住你的罪行”。(似乎存在某种后门;否则他们怎么可能进来?)但军情六处的专家对检查笔记本电脑不感兴趣,只对追踪消息来源感兴趣。

lQDPDhrhwMDLf07NBDjNCUiwcVqwto8Km2EBnx3N-MBkAA_2376_1080.jpg

他们得出结论,它是由一种非对称安全算法发送的,该算法通过成百上千台服务器在全球范围内反射信号。这种策略可能确实存在,但在这种情况下,他们说是“非对称安全算法”多少有点莫名其妙。在现实世界中,非对称加密算法是密码学中的一个术语;它与隐藏消息源无关。

对军情六处的内部攻击

邦德找到并逮捕了黑客(一位名叫Silva的前军情六处特工),并将他和他的笔记本电脑带到军情六处的新总部,且丝毫不知一切都是Silva布的局。这时候,新人物Q登场:名义上是军需官,功能上是军情六处的黑客,实际上是一个“小丑”。

为什么说他是一个“小丑”?且听分说!Q做的第一件事就是将Silva的笔记本电脑连接到MI6的内部网络,并尝试破译。下面是他的分析过程:

“Silva建立的故障安全协议会在有人尝试访问某些文件时,自动擦除内存。”

——如果Q真的知道这一点,那他为什么还要在安装了此类协议的计算机上继续分析Silva的数据?内存被擦除了怎么办?

lQDPDhrhwMH8q5vNBDjNCUiwBzNHNqdMo4kBnx3OqMBDAQ_2376_1080.jpg

“这是他的omega站点。这么高的加密度,像是混淆代码以隐藏其真正目的。晦涩即安全。”

——这句话基本上是一个没有统一逻辑的随机术语流。某些代码使用加密进行了混淆(更改为阻碍分析)——为什么不呢?但是要运行代码,必须先破译它,现在是弄清楚它是什么的好时机。此外,“晦涩即安全”确实是一种保护计算机系统的现实方法,其中,安全性依赖于使潜在的攻击者难以破解数据,而非强大的安全机制。这并不是最佳实践。在此,Q试图向观众传达的究竟是什么并不清楚。

lQDPDhrhwMFkFcDNBDjNCUiwKdll5AUek-wBnx3ObkBZAQ_2376_1080.jpg

“他正使用多态引擎来修改代码。每当我尝试获得访问权限时,它就会改变。”

——这就更废话了。代码在哪里,以及Q如何尝试访问它,谁也说不好。如果他在谈论文件,则存在内存擦除的风险(请参阅第一点)。至于多态性,严格来说,它是一种在创建新病毒副本时修改恶意代码的过时方法。它出现在这里也不合时宜。

lQDPDhrhwMFkFi3NBDjNCUiwaatE1oMQNMYBnx3OVABkAA_2376_1080.jpg

从视觉上看,Silva计算机上显示的一切就像一种极其复杂的物理移动图(spaghetti diagram,也称为意大利面条图),上面散布着看起来像十六进制代码的东西。眼尖的邦德在字母数字阵中发现了一个熟悉的名字:Granborough——伦敦一个废弃的地铁站,并建议用它作为钥匙。

当然,一些经验丰富的情报官员应该意识到,一条显而易见的重要信息就这么堂而皇之地出现在界面上绝对是一个陷阱。为什么敌人会把它留在这么显眼的地方?但是,毫无头绪的Q就这样毫不犹豫地输入了“Granborough”。结果,囚禁Silva的门打开了,“系统安全漏洞”消息闪烁,Q所能做的就是转身问:“谁能告诉我他到底是怎么进入我们系统的?!”几秒后,这位“专家”才最终决定将Silva的笔记本电脑与网络断开连接,试图“亡羊补牢”。

lQDPDhrhwMH8q8TNBDjNCUiwngQkBOM8APcBnx3OqMBDAA_2376_1080.jpg

我们也不清楚编剧是故意将Q描绘成一个笨手笨脚的业务爱好者,还是他们只是想在剧本中加入随机的网络安全术语,试图增加剧情的专业性(实则弄巧成拙)。

《007:幽灵党》

理论上讲,《幽灵党》旨在提出“九眼”(Nine Eyes)全球监视和情报计划作为反恐工具的合法性、道德和安全问题。但在实践中,创建电影中所示系统的唯一缺点是,如果联合特勤局(军情五处和军情六处的合并机构)的负责人被“策反”——也就是说,如果像以前一样,内部恶意人员获得了对英国政府信息系统的访问权限——那么这种系统的危害性将无法想象。

另一个内部威胁补充案例是,Q和Moneypenny在整部电影中一直在将机密信息传递给正式停职的邦德,而且还为当局传递了有关邦德下落的误导信息。他们的行为可能是为了更大的利益,但在情报工作方面,他们确实泄露了机密数据,至少是违反了职业操守。

《007:无暇赴死》

在克雷格时代的最后一部电影中,军情六处秘密开发了一种名为“赫拉克勒斯计划”(Project Heracles)的绝密武器,其原理就是利用纳米机器人,经过编码之后生成的一种超级生化武器,只需接触特定对象的皮肤就能致死。该武器是军情六处科学家和双重间谍(或三重间谍)Valdo Obruchev的心血结晶。

Obruchev将秘密文件复制到闪存驱动器上并吞下,之后,Spectre组织的特工闯入实验室,窃取了一些纳米机器人样本并绑架了这位奸诈的科学家。撇开人员背景调查问题不谈,为什么在开发秘密武器的实验室中没有数据丢失预防(DLP)系统——尤其是在顶着俄罗斯姓氏的Obruchev的计算机上?

此外,影片中还简要提到,由于大量DNA数据多次泄露,该武器可以有效地针对任何人。这一点也不是完全说不通,但后来我们了解到,这些泄露还包含军情六处特工的数据,这就让人难以相信了。为了将泄露的DNA数据与军情六处员工的数据进行匹配,必须公开这些特工的名单。这多少有点牵强。

最大槽点还要数超级大反派Blofeld的人工眼,虽然Blofeld在超级监狱里呆了多年,但这只人工眼与他的一个心腹的类似设备仍保持着全天候的视频链接。我们宽容一点,假设狱警没有发现囚犯的生物植入体。但是人工眼必须定期充电,想在超级监狱中不被发现应该很难,毕竟守卫也不全是吃素的!更何况在《幽灵党》结尾,Blofeld被拘留时并没有佩戴眼部装置,所以一定是有人在他被捕后给了他这种装置。所以,这是又一个伏笔?又一个内幕?

结语

我们宁愿相信所有这些荒谬的内容都是编剧的锅,而非军情六处网络安全实践的真实反映。至少,我们希望真正的政府机构不会泄露绝密武器,或将绝密代码以明文形式存储在甚至不会自动锁定的设备上。最后,我们只能建议编剧们提高自己的网络安全意识,例如参加网络安全课程。

《鱿鱼游戏》(Squid Game)是一部前卫、反乌托邦的Netflix自制剧,自播出以来迅速在全球掀起热度风暴。从表面上看,该剧充斥着有关财富不平等等话题的社会评论,以及反资本主义的信息。然而,通过网络安全爱好者的视角观看该节目,也为安全社区带来了一些经验教训。

在这篇文章中,我们将反思《鱿鱼游戏》奇怪扭曲的世界中所传递的网络安全道理,为网络安全专业人士奉献生动的一课。

为未知威胁做好准备

就像《鱿鱼游戏》的玩家一样——他们必须找到一种方法在一系列童年游戏中获胜,但在开始玩之前,他们并不知会遇到什么游戏——安全专业人员必须找到方法来保护他们的组织免受不可预见的威胁侵扰。

在网络攻防世界中,攻击者始终比安全防御团队更具优势。就像《鱿鱼游戏》背后操纵者一样,他们可以选择攻击类型和向量(游戏),而安全团队必须找到防御无数已知/未知威胁的方法,因为其中任何一个都可能导致漏洞(或玩家死亡)。

建立多元化团队

第一场比赛结束后,《鱿鱼游戏》的玩家们很快决定结成联盟来帮助增加生存概率。这种联盟关系不仅帮助他们平安度过血腥的“杀人之夜”,还帮助主角利用001号玩家贡献的策略,在拔河比赛中成功击败另一支更加强大的队伍。

这告诉网络安全专业人士什么道理?建立一支多元化且技能娴熟的团队,能够增加其获悉正确策略、技能或知识并最终获取胜利(阻止或应对网络威胁)的机会。

使用正确的工具

在《鱿鱼游戏》中,Sae-byeok(玩家067)和Mi-nyeo(玩家212)分别藏匿了刀和打火机。其中,刀帮助Sae-byeok通过进入通风管道和监视工人成功预知了第一场比赛,并在午夜战斗中用来防身;打火机则帮助Mi-nyeo成功完成姜饼人挑战(通过加热针头以快速融化糖饼)。

同样地,安全团队也需要正确的工具来成功应对他们面临的威胁。安全从业人员需要不断更新他们的工具,以便能够及时发现和缓解新的攻击策略,并弥补其安全计划中的漏洞。这就意味着他们需要定期反思组织的能力和安全态势,尝试客观地评定差距,并在可用预算、时间和人员允许的情况下尽可能弥补差距。

流程问题

除了拥有合适的人员和工具之外,《鱿鱼游戏》的玩家还善于从正确的方法中获益。在许多时候,这确实是生与死的区别。当男主Gi-hun发现能够通过舔糖饼来加速糖分溶解时,身边的许多人纷纷效仿,毕竟这种方法要比用针戳糖饼容易得多。

同样的,在玻璃桥环节,当一名玩家(玻璃制造商)发现可以根据普通玻璃和钢化玻璃的不同折射方式来区分它们时,后面的玩家也是成功利用这种经验,减少了坠落风险。

安全从业者也可以从“使用正确的方法解决特定问题”中受益。例如,解决内部威胁最好是使用行为分析。对于安全团队来说,记录他们的流程也很重要,这样他们就可以在不同的员工间重复这些流程并获得相同的结果。一旦一名团队成员完善了某项技术,例如使用您的工具调查您环境中的恶意软件,他们就可以与您团队的其他成员分享这些知识。查找和记录您的方法的最后一个好处是,它们可以通过编排工具实现自动化。

深度防御策略

建立有效的安全态势和举办成功的鱿鱼游戏之间存在相似之处。在这两种情况下,您都希望通过一组连续的过滤机制消除威胁(对您的组织或对奖池的奖金)。在鱿鱼游戏中,这一过程是通过让参与者进行童年游戏,并消除失败者来实现的。每场比赛都会淘汰一定比例的玩家,直至最后一名。下图显示了这种方法的有效性:

SquidGame.PNG

安全团队应该采取同样的方法,只不过他们可以使用补充工具来阻止攻击,而非杀死玩家。例如,实施网络安全工具(例如防火墙)以及应用程序安全控制(例如Web应用程序防火墙)、端点安全(例如端点检测和响应)、电子邮件安全以及身份验证解决方案(例如多因素身份验证)。每一个连续的控制层都能增加攻击者的入侵难度。这种方法不是要建立“防御攻击者”的安全态势,而是要减慢攻击者的速度,并降低您的组织作为目标的吸引力。攻击者需要突破的防御层越多,他们想要继续攻击的可能性就越小。此外,这些防护层还会减慢攻击者的速度,从而使安全团队有更多时间做出响应。

内部威胁不容忽视

《鱿鱼游戏》中既有恶意的内部人员,也有受到攻击的内部人员。警察Hwang Jun-ho潜入游戏寻找他的兄弟,杀死并窃取工作人员29的身份。他可以在游戏范围内,使用合法的身份和凭据,做着与游戏操纵者意图不一致的事情。

而器官摘取者就像是恶意的内部人员;他们是游戏组织的合法员工,却故意滥用访问权限以实现自己的恶意目的。在这两种情况下,发现这些威胁的方式与您在IT环境中发现它们的方式相同,即通过发现与基线行为不同的异常行为来判断恶意内部人员的存在。


最后来个《鱿鱼游戏》网络安全知识问答:

《鱿鱼游戏》里面的负责监视参赛者的面具人,所带的面具有○,△,□三种。其中○代表职权较低的劳工阶级,△则是有配枪,负责处决玩家的士兵阶级,□则是负责监视所有人的长官,请问这种做法,在数据安全领域里面称为:

A、数据清单

B、数据分级

C、数据加密

D、数据使用

《鱿鱼游戏》(Squid Game)是一部前卫、反乌托邦的Netflix自制剧,自播出以来迅速在全球掀起热度风暴。从表面上看,该剧充斥着有关财富不平等等话题的社会评论,以及反资本主义的信息。然而,通过网络安全爱好者的视角观看该节目,也为安全社区带来了一些经验教训。

在这篇文章中,我们将反思《鱿鱼游戏》奇怪扭曲的世界中所传递的网络安全道理,为网络安全专业人士奉献生动的一课。

为未知威胁做好准备

就像《鱿鱼游戏》的玩家一样——他们必须找到一种方法在一系列童年游戏中获胜,但在开始玩之前,他们并不知会遇到什么游戏——安全专业人员必须找到方法来保护他们的组织免受不可预见的威胁侵扰。

在网络攻防世界中,攻击者始终比安全防御团队更具优势。就像《鱿鱼游戏》背后操纵者一样,他们可以选择攻击类型和向量(游戏),而安全团队必须找到防御无数已知/未知威胁的方法,因为其中任何一个都可能导致漏洞(或玩家死亡)。

建立多元化团队

第一场比赛结束后,《鱿鱼游戏》的玩家们很快决定结成联盟来帮助增加生存概率。这种联盟关系不仅帮助他们平安度过血腥的“杀人之夜”,还帮助主角利用001号玩家贡献的策略,在拔河比赛中成功击败另一支更加强大的队伍。

这告诉网络安全专业人士什么道理?建立一支多元化且技能娴熟的团队,能够增加其获悉正确策略、技能或知识并最终获取胜利(阻止或应对网络威胁)的机会。

使用正确的工具

在《鱿鱼游戏》中,Sae-byeok(玩家067)和Mi-nyeo(玩家212)分别藏匿了刀和打火机。其中,刀帮助Sae-byeok通过进入通风管道和监视工人成功预知了第一场比赛,并在午夜战斗中用来防身;打火机则帮助Mi-nyeo成功完成姜饼人挑战(通过加热针头以快速融化糖饼)。

同样地,安全团队也需要正确的工具来成功应对他们面临的威胁。安全从业人员需要不断更新他们的工具,以便能够及时发现和缓解新的攻击策略,并弥补其安全计划中的漏洞。这就意味着他们需要定期反思组织的能力和安全态势,尝试客观地评定差距,并在可用预算、时间和人员允许的情况下尽可能弥补差距。

流程问题

除了拥有合适的人员和工具之外,《鱿鱼游戏》的玩家还善于从正确的方法中获益。在许多时候,这确实是生与死的区别。当男主Gi-hun发现能够通过舔糖饼来加速糖分溶解时,身边的许多人纷纷效仿,毕竟这种方法要比用针戳糖饼容易得多。

同样的,在玻璃桥环节,当一名玩家(玻璃制造商)发现可以根据普通玻璃和钢化玻璃的不同折射方式来区分它们时,后面的玩家也是成功利用这种经验,减少了坠落风险。

安全从业者也可以从“使用正确的方法解决特定问题”中受益。例如,解决内部威胁最好是使用行为分析。对于安全团队来说,记录他们的流程也很重要,这样他们就可以在不同的员工间重复这些流程并获得相同的结果。一旦一名团队成员完善了某项技术,例如使用您的工具调查您环境中的恶意软件,他们就可以与您团队的其他成员分享这些知识。查找和记录您的方法的最后一个好处是,它们可以通过编排工具实现自动化。

深度防御策略

建立有效的安全态势和举办成功的鱿鱼游戏之间存在相似之处。在这两种情况下,您都希望通过一组连续的过滤机制消除威胁(对您的组织或对奖池的奖金)。在鱿鱼游戏中,这一过程是通过让参与者进行童年游戏,并消除失败者来实现的。每场比赛都会淘汰一定比例的玩家,直至最后一名。下图显示了这种方法的有效性:

SquidGame.PNG

安全团队应该采取同样的方法,只不过他们可以使用补充工具来阻止攻击,而非杀死玩家。例如,实施网络安全工具(例如防火墙)以及应用程序安全控制(例如Web应用程序防火墙)、端点安全(例如端点检测和响应)、电子邮件安全以及身份验证解决方案(例如多因素身份验证)。每一个连续的控制层都能增加攻击者的入侵难度。这种方法不是要建立“防御攻击者”的安全态势,而是要减慢攻击者的速度,并降低您的组织作为目标的吸引力。攻击者需要突破的防御层越多,他们想要继续攻击的可能性就越小。此外,这些防护层还会减慢攻击者的速度,从而使安全团队有更多时间做出响应。

内部威胁不容忽视

《鱿鱼游戏》中既有恶意的内部人员,也有受到攻击的内部人员。警察Hwang Jun-ho潜入游戏寻找他的兄弟,杀死并窃取工作人员29的身份。他可以在游戏范围内,使用合法的身份和凭据,做着与游戏操纵者意图不一致的事情。

而器官摘取者就像是恶意的内部人员;他们是游戏组织的合法员工,却故意滥用访问权限以实现自己的恶意目的。在这两种情况下,发现这些威胁的方式与您在IT环境中发现它们的方式相同,即通过发现与基线行为不同的异常行为来判断恶意内部人员的存在。


最后来个《鱿鱼游戏》网络安全知识问答:

《鱿鱼游戏》里面的负责监视参赛者的面具人,所带的面具有○,△,□三种。其中○代表职权较低的劳工阶级,△则是有配枪,负责处决玩家的士兵阶级,□则是负责监视所有人的长官,请问这种做法,在数据安全领域里面称为:

A、数据清单

B、数据分级

C、数据加密

D、数据使用