intro_tech-buzzwords-100750517-large.jpg

网络安全流行词和流行短语多不胜数。为了简化复杂的专业术语或推动营销,流行语是信息安全等创新和快节奏行业不可避免的现实问题。

不过,这些术语并非总是有效的,相反地,它们可能会不准确、过时、误导甚至造成潜在伤害。例如,利用恐惧、不确定性和怀疑(FUD)来最大化盈利的流行语可能具有潜在破坏性;而继续使用和依赖一个过时的(合理且曾有效过)流行语,可能会阻碍人们对根本问题的更深入理解。

以下是2021年应该紧急“叫停”的11个网络安全流行词和短语:

勒索软件;

零信任;

白名单和黑名单;

人工智能驱动的安全;

网络9/11;

数字化转型;

安全信息与事件管理(SIEM);

人是最薄弱的环节;

网络安全意识;

网络杀伤链;

黑客

1. 勒索软件

Orange Cyberdefense安全研究主管Charl van der Walt表示,尽管勒索软件是围绕常见网络攻击的讨论中最常用的术语之一,但从技术上讲,它是一个不合适的定义,已经不再适用。他表示,

“在当前的新闻议程中中,很难避免提及‘勒索软件’这一术语,但实际上,它并不能涵盖这一问题所具备的复杂且不断发展变化的特性。”

勒索软件的真正含义正在逐渐消失,现在它被用来定义比其真正定义(持有计算机数据以索要赎金的恶意软件)范围更广的网络攻击集。它与进行加密的恶意软件、勒索软件参与者使用的一般恶意软件,以及勒索软件参与者本身形成了混淆。

随着这种威胁的演变,van der Walt提出了一个新术语:网络勒索(或Cy-X)。他认为,这个词更好地概括了这一犯罪浪潮的历史、当前形式和潜在的发展趋势,还可以区分勒索犯罪本身和用于执行该犯罪行为所用的工具。

2. 零信任

零信任描述了一种“默认不信任”的方法来保护用户和设备。它已经成为过去几年最大的营销热词之一,而随着大规模远程工作迁移,以及未来对更有效的远程网络访问安全方法的需求不断激增,这种情况还会日益加剧。

然而,对于佳能欧洲信息安全总监Quentyn Taylor来说,零信任这个词太过模糊。他表示,

“人们无法判断自己是否已经实现零信任,事实上,我不相信有人已经真正实现了零信任。这个概念让我非常恼火的原因是,很多人把它当作一个新概念在谈论,而实际上,我们早在很多年前就一直在谈论‘无边界化’——零信任不过是一个新营销术语,用来描述我们早已尝试多年的一种方法。”

Qualys公司首席技术安全官Paul Baird对此表示赞同,并补充道,零信任是一个好的概念,但作为一个流行词,它被过度营销了。它经常被断章取义地使用,这对负责实施它的人而言非常容易造成混乱。事实上,零信任是一种涵盖人员、流程和技术的意识形态。它并不是您可以直接从货架上购买的产品。

3. 白名单和黑名单

“白名单”和“黑名单”的术语可以追溯到网络安全早期阶段。将“白色”与良好、安全或允许相关联,将“黑色”与坏、危险或禁止相关联。时至如今,这些短语仍被广泛应用于允许或拒绝与各种元素(包括密码、应用程序和控制)相关的使用或访问活动中。

网络安全顾问Harman Singh认为,这些术语需要紧急更换,因为它们带有种族色彩,建议使用“允许列表”和“拒绝列表”来表达相同的目的,如此便不会触及与种族和人种相关的潜在含义。他表示,

“这是一个微小但意义重大的改变。英国国家网络安全中心(NCSC)去年便有意识地做出了这种改变,以避免引发种族歧视问题。如今,业内仍然只有少数公司考虑过替换掉这两个词。为什么我们不都效仿NCSC来消除此类术语呢?”

在一篇博客文章中,NCSC建议与指南主任Emma W写道:

“你可能不明白这件事为什么如此重要。如果您自己没有受到种族成见的负面影响,那么只能说你很幸运。但对您的某些同事(以及潜在的未来同事)而言,可能就没那么幸运了,所以,这确实是一项值得做出的改变。”

采取这一步骤的少数公司之一就是微软,其将非包容性语言视为维护和发展网络安全多样性的障碍。微软首席安全顾问Sarah Armstrong-Smith表示,英国金融、安永和微软最近发布的一份报告发现,改变网络安全和更广泛的职场中的非包容性语言可以大大支持多样性。因此,微软不再在技术论坛上使用或提及白名单/黑名单,而是使用允许和阻止列表来代替。

4. 人工智能(AI)驱动的安全

在过去10年间,围绕人工智能(AI)和机器学习技术改变网络安全的话题一直十分火爆。尽管很难找到有安全领导者不承认自动化在现代信息安全领域中日益重要的地位,但大量安全供应商对最新AI或机器学习驱动的解决方案的营销还是过于“理想主义”。

Gohenry公司CISO Guillaume Ehny认为,

“如今,无论采用何种解决方案,大多数安全供应商都会马上强调他们的产品是智能的,并且集成了AI和机器学习来驱动决策过程。他们似乎坚信这就是我们想要听到的,但实际上他们就好像是在毫不了解自家产品实际运作方式的情况下在玩宾果游戏。不幸的是,关于AI的行话也就这么一句。当被问及关于模型的更多信息时,答案永远是‘它就是个引擎中的一个黑匣子,自行运作,我们啥都不用操心’。我知道AI/机器学习辅助的产品作为优势值得一提,但这种表达方式真的没什么好处。”

5. 网络9/11

2001年9月11日,激进的伊斯兰组织基地组织对美国发动协同恐怖袭击后,“网络9/11”一词首次出现。该词指的是与恐怖相关的潜在网络攻击威胁,这些攻击有可能造成重大且广泛的影响,包括恐惧、暴力、伤害和死亡等。

除少数案例外,对此类事件的预测尚未实现,而且,对于Taylor来说,“网络9/11”和涉及重大新闻事件的其他类似网络安全词汇都不应使用。这类词不尊重现实生活中受到这些事件影响的人们。此外,这类词汇经常带有极强的夸张成分。值得庆幸的是,我们还没有看到有哪起网络安全事件具有与9/11事件或某些评论员喜欢提到的任何其他事件相同程度的影响。我们应尽早摒弃将网络事件与导致重大生命损失的现实世界事件联系起来的做法,这样我们的行业才会受到更多重视。

6. 数字化转型

尽管数字化转型是现代云驱动时代的流行语,但Exabeam安全工程副总裁Matt Rider认为,任何提及“数字化转型”的言论,都只是在描述企业组织在过去50年里所做的事情。事实上,转型并不是什么新鲜事。一切都在不断发展,不断变化。这个词并不是突然之间就席卷整个行业的思想顿悟。

回顾上世纪初和工业革命时期,亨利·福特(Henry Ford)对装配流水线生产进行了现代化改造。正是他对新兴技术和变革型领导的理解,激发了一种新的工作方式。这是一次技术性的变革,具有巨大的影响力,改变了他们当时所了解的工作方式。所谓成功企业,拥有的无不是正确的文化,而不是正确的工具。是时候跳出数字化转型的潮流了。

7. 安全信息与事件管理(SIEM)

安全信息与事件管理(SIEM)定义了结合安全信息管理(SIM)与安全事件管理(SEM)的软件产品和服务。作为首字母缩写词和产品供应的SIEM似乎被无数的网络安全供应商夸大营销了。

然而,Forrester研究所安全和风险分析师Allie Mellen表示,SIEM在合规方面历史悠久,但却无法比肩如今的地位。他表示,

“SIEM现在专注于威胁检测和响应,结合安全用户行为分析(SUBA)和安全编排、自动化与响应(SOAR)来处理事件响应生命周期的每个步骤。在Forrester,我们将SIEM称之为安全分析平台,以便更好地概括这类产品的功能:对数据执行安全分析,并作为平台连接第三方产品进行事件响应。”

8. 人是最薄弱的环节

CREST澳大利亚区总裁Nigel Phair表示,全球几乎每次安全会议都会提到一个概念:将人视为安全链中最薄弱的环节,但这种提法需要紧急叫停。他解释称,

“人是信息安全和企业网络及数据防护中最强大的力量。点名和怪罪到人的头上没用,也永远不会有用。由于没有解决网络犯罪的技术万灵丹,我们需要与员工并肩作战,向他们解释为什么需要采取某些控制措施,以及强调他们在企业网络防护方面的重要作用。”

9. 网络安全意识

提高整个组织的网络安全意识是许多首席信息安全官(CISO)的首要目标。但Votiro首席执行官Ravi Srinivasan认为,网络安全意识的概念被滥用了。他认为,

“网络安全意识这个词营造了一种用户应该对安全事件负责的说法,并鼓励组织制定植根于教育和培训的安全战略,以检测(并最终防止)网络威胁。”

然而,如今的网络攻击非常复杂且不断发展演变,即便是最具安全意识的企业也很难领先于网络威胁。相反地,安全和IT领导者需要调整自身的企业安全战略,以关注他们在全球运营的业务。Srinivasan建议称,企业可以用提高‘网络安全警惕性’来代替‘网络安全意识’,并鼓励公司加强员工与其雇主、企业和IT领导者、私营和公共部门实体之间的合作,共同努力挫败网络威胁。

10. 网络杀伤链

随着数字领域与物理领域的联系愈发紧密,与网络相关的军事风格词汇势力愈发强大,尤其是“网络杀伤链”。

该词描述了网络攻击的各个阶段,且通常与高级持续性威胁(APT)相关联。安永威胁情报高级经理Leanne Salibury表示,

“我不确定这是否完全合适,也不确定是否会导致我们采用更重磅的语言来使沉闷的话题变得更具吸引力。此外,我认为对于退伍军人(尤其是真正亲眼目睹过现场冲突并且有真实战争经验的人)来说,在企业环境中要求他们与平民分享自身项目经验的时候,这种用词可能有点问题。”

11. 黑客

Acronis网络安全分析师Topher Tebow表示,需要认真考虑“黑客”一词在当今环境中的使用方式,虽然未必需要彻底弃用,但不正确的用法必须予以根除。他认为,“黑客只是可以找到绕过给定项目、流程或软件的正常应用程序以达到预期结果的人。”

Tebow补充道,这个词的问题在于它经常被用来描述网络犯罪分子,因为有成千上万的黑客为了更大的利益而进行黑客攻击。所以,我们需要考虑我们想表达的含义,并使用攻击者、网络犯罪分子和恶意行为者等术语,而不是将不良行为者统称为黑客。

为网络安全流行语辩护

虽然安全专家们一致认为,许多网络安全流行词和短语应该叫停或替换掉,但Byte高级网络安全总监Ed Tucker却认为,网络安全流行语本身并没有什么问题,许多问题实际上都源自这些流行语的使用方式。他解释称,

“我们面临的最大问题之一不是流行语本身——它们只是商业化行业的一部分——而是懒惰的使用方式,以及缺乏对流行语的语境理解和实际应用。因此,业界需要更好地了解经常使用的流行语,并深入研究这些概念及其适用的场景、时机和方式。”

intro_tech-buzzwords-100750517-large.jpg

网络安全流行词和流行短语多不胜数。为了简化复杂的专业术语或推动营销,流行语是信息安全等创新和快节奏行业不可避免的现实问题。

不过,这些术语并非总是有效的,相反地,它们可能会不准确、过时、误导甚至造成潜在伤害。例如,利用恐惧、不确定性和怀疑(FUD)来最大化盈利的流行语可能具有潜在破坏性;而继续使用和依赖一个过时的(合理且曾有效过)流行语,可能会阻碍人们对根本问题的更深入理解。

以下是2021年应该紧急“叫停”的11个网络安全流行词和短语:

勒索软件;

零信任;

白名单和黑名单;

人工智能驱动的安全;

网络9/11;

数字化转型;

安全信息与事件管理(SIEM);

人是最薄弱的环节;

网络安全意识;

网络杀伤链;

黑客

1. 勒索软件

Orange Cyberdefense安全研究主管Charl van der Walt表示,尽管勒索软件是围绕常见网络攻击的讨论中最常用的术语之一,但从技术上讲,它是一个不合适的定义,已经不再适用。他表示,

“在当前的新闻议程中中,很难避免提及‘勒索软件’这一术语,但实际上,它并不能涵盖这一问题所具备的复杂且不断发展变化的特性。”

勒索软件的真正含义正在逐渐消失,现在它被用来定义比其真正定义(持有计算机数据以索要赎金的恶意软件)范围更广的网络攻击集。它与进行加密的恶意软件、勒索软件参与者使用的一般恶意软件,以及勒索软件参与者本身形成了混淆。

随着这种威胁的演变,van der Walt提出了一个新术语:网络勒索(或Cy-X)。他认为,这个词更好地概括了这一犯罪浪潮的历史、当前形式和潜在的发展趋势,还可以区分勒索犯罪本身和用于执行该犯罪行为所用的工具。

2. 零信任

零信任描述了一种“默认不信任”的方法来保护用户和设备。它已经成为过去几年最大的营销热词之一,而随着大规模远程工作迁移,以及未来对更有效的远程网络访问安全方法的需求不断激增,这种情况还会日益加剧。

然而,对于佳能欧洲信息安全总监Quentyn Taylor来说,零信任这个词太过模糊。他表示,

“人们无法判断自己是否已经实现零信任,事实上,我不相信有人已经真正实现了零信任。这个概念让我非常恼火的原因是,很多人把它当作一个新概念在谈论,而实际上,我们早在很多年前就一直在谈论‘无边界化’——零信任不过是一个新营销术语,用来描述我们早已尝试多年的一种方法。”

Qualys公司首席技术安全官Paul Baird对此表示赞同,并补充道,零信任是一个好的概念,但作为一个流行词,它被过度营销了。它经常被断章取义地使用,这对负责实施它的人而言非常容易造成混乱。事实上,零信任是一种涵盖人员、流程和技术的意识形态。它并不是您可以直接从货架上购买的产品。

3. 白名单和黑名单

“白名单”和“黑名单”的术语可以追溯到网络安全早期阶段。将“白色”与良好、安全或允许相关联,将“黑色”与坏、危险或禁止相关联。时至如今,这些短语仍被广泛应用于允许或拒绝与各种元素(包括密码、应用程序和控制)相关的使用或访问活动中。

网络安全顾问Harman Singh认为,这些术语需要紧急更换,因为它们带有种族色彩,建议使用“允许列表”和“拒绝列表”来表达相同的目的,如此便不会触及与种族和人种相关的潜在含义。他表示,

“这是一个微小但意义重大的改变。英国国家网络安全中心(NCSC)去年便有意识地做出了这种改变,以避免引发种族歧视问题。如今,业内仍然只有少数公司考虑过替换掉这两个词。为什么我们不都效仿NCSC来消除此类术语呢?”

在一篇博客文章中,NCSC建议与指南主任Emma W写道:

“你可能不明白这件事为什么如此重要。如果您自己没有受到种族成见的负面影响,那么只能说你很幸运。但对您的某些同事(以及潜在的未来同事)而言,可能就没那么幸运了,所以,这确实是一项值得做出的改变。”

采取这一步骤的少数公司之一就是微软,其将非包容性语言视为维护和发展网络安全多样性的障碍。微软首席安全顾问Sarah Armstrong-Smith表示,英国金融、安永和微软最近发布的一份报告发现,改变网络安全和更广泛的职场中的非包容性语言可以大大支持多样性。因此,微软不再在技术论坛上使用或提及白名单/黑名单,而是使用允许和阻止列表来代替。

4. 人工智能(AI)驱动的安全

在过去10年间,围绕人工智能(AI)和机器学习技术改变网络安全的话题一直十分火爆。尽管很难找到有安全领导者不承认自动化在现代信息安全领域中日益重要的地位,但大量安全供应商对最新AI或机器学习驱动的解决方案的营销还是过于“理想主义”。

Gohenry公司CISO Guillaume Ehny认为,

“如今,无论采用何种解决方案,大多数安全供应商都会马上强调他们的产品是智能的,并且集成了AI和机器学习来驱动决策过程。他们似乎坚信这就是我们想要听到的,但实际上他们就好像是在毫不了解自家产品实际运作方式的情况下在玩宾果游戏。不幸的是,关于AI的行话也就这么一句。当被问及关于模型的更多信息时,答案永远是‘它就是个引擎中的一个黑匣子,自行运作,我们啥都不用操心’。我知道AI/机器学习辅助的产品作为优势值得一提,但这种表达方式真的没什么好处。”

5. 网络9/11

2001年9月11日,激进的伊斯兰组织基地组织对美国发动协同恐怖袭击后,“网络9/11”一词首次出现。该词指的是与恐怖相关的潜在网络攻击威胁,这些攻击有可能造成重大且广泛的影响,包括恐惧、暴力、伤害和死亡等。

除少数案例外,对此类事件的预测尚未实现,而且,对于Taylor来说,“网络9/11”和涉及重大新闻事件的其他类似网络安全词汇都不应使用。这类词不尊重现实生活中受到这些事件影响的人们。此外,这类词汇经常带有极强的夸张成分。值得庆幸的是,我们还没有看到有哪起网络安全事件具有与9/11事件或某些评论员喜欢提到的任何其他事件相同程度的影响。我们应尽早摒弃将网络事件与导致重大生命损失的现实世界事件联系起来的做法,这样我们的行业才会受到更多重视。

6. 数字化转型

尽管数字化转型是现代云驱动时代的流行语,但Exabeam安全工程副总裁Matt Rider认为,任何提及“数字化转型”的言论,都只是在描述企业组织在过去50年里所做的事情。事实上,转型并不是什么新鲜事。一切都在不断发展,不断变化。这个词并不是突然之间就席卷整个行业的思想顿悟。

回顾上世纪初和工业革命时期,亨利·福特(Henry Ford)对装配流水线生产进行了现代化改造。正是他对新兴技术和变革型领导的理解,激发了一种新的工作方式。这是一次技术性的变革,具有巨大的影响力,改变了他们当时所了解的工作方式。所谓成功企业,拥有的无不是正确的文化,而不是正确的工具。是时候跳出数字化转型的潮流了。

7. 安全信息与事件管理(SIEM)

安全信息与事件管理(SIEM)定义了结合安全信息管理(SIM)与安全事件管理(SEM)的软件产品和服务。作为首字母缩写词和产品供应的SIEM似乎被无数的网络安全供应商夸大营销了。

然而,Forrester研究所安全和风险分析师Allie Mellen表示,SIEM在合规方面历史悠久,但却无法比肩如今的地位。他表示,

“SIEM现在专注于威胁检测和响应,结合安全用户行为分析(SUBA)和安全编排、自动化与响应(SOAR)来处理事件响应生命周期的每个步骤。在Forrester,我们将SIEM称之为安全分析平台,以便更好地概括这类产品的功能:对数据执行安全分析,并作为平台连接第三方产品进行事件响应。”

8. 人是最薄弱的环节

CREST澳大利亚区总裁Nigel Phair表示,全球几乎每次安全会议都会提到一个概念:将人视为安全链中最薄弱的环节,但这种提法需要紧急叫停。他解释称,

“人是信息安全和企业网络及数据防护中最强大的力量。点名和怪罪到人的头上没用,也永远不会有用。由于没有解决网络犯罪的技术万灵丹,我们需要与员工并肩作战,向他们解释为什么需要采取某些控制措施,以及强调他们在企业网络防护方面的重要作用。”

9. 网络安全意识

提高整个组织的网络安全意识是许多首席信息安全官(CISO)的首要目标。但Votiro首席执行官Ravi Srinivasan认为,网络安全意识的概念被滥用了。他认为,

“网络安全意识这个词营造了一种用户应该对安全事件负责的说法,并鼓励组织制定植根于教育和培训的安全战略,以检测(并最终防止)网络威胁。”

然而,如今的网络攻击非常复杂且不断发展演变,即便是最具安全意识的企业也很难领先于网络威胁。相反地,安全和IT领导者需要调整自身的企业安全战略,以关注他们在全球运营的业务。Srinivasan建议称,企业可以用提高‘网络安全警惕性’来代替‘网络安全意识’,并鼓励公司加强员工与其雇主、企业和IT领导者、私营和公共部门实体之间的合作,共同努力挫败网络威胁。

10. 网络杀伤链

随着数字领域与物理领域的联系愈发紧密,与网络相关的军事风格词汇势力愈发强大,尤其是“网络杀伤链”。

该词描述了网络攻击的各个阶段,且通常与高级持续性威胁(APT)相关联。安永威胁情报高级经理Leanne Salibury表示,

“我不确定这是否完全合适,也不确定是否会导致我们采用更重磅的语言来使沉闷的话题变得更具吸引力。此外,我认为对于退伍军人(尤其是真正亲眼目睹过现场冲突并且有真实战争经验的人)来说,在企业环境中要求他们与平民分享自身项目经验的时候,这种用词可能有点问题。”

11. 黑客

Acronis网络安全分析师Topher Tebow表示,需要认真考虑“黑客”一词在当今环境中的使用方式,虽然未必需要彻底弃用,但不正确的用法必须予以根除。他认为,“黑客只是可以找到绕过给定项目、流程或软件的正常应用程序以达到预期结果的人。”

Tebow补充道,这个词的问题在于它经常被用来描述网络犯罪分子,因为有成千上万的黑客为了更大的利益而进行黑客攻击。所以,我们需要考虑我们想表达的含义,并使用攻击者、网络犯罪分子和恶意行为者等术语,而不是将不良行为者统称为黑客。

为网络安全流行语辩护

虽然安全专家们一致认为,许多网络安全流行词和短语应该叫停或替换掉,但Byte高级网络安全总监Ed Tucker却认为,网络安全流行语本身并没有什么问题,许多问题实际上都源自这些流行语的使用方式。他解释称,

“我们面临的最大问题之一不是流行语本身——它们只是商业化行业的一部分——而是懒惰的使用方式,以及缺乏对流行语的语境理解和实际应用。因此,业界需要更好地了解经常使用的流行语,并深入研究这些概念及其适用的场景、时机和方式。”

2019年4月6日,纽约关键基础设施的“时间同步”失效,致使该市交通信号灯系统发生故障,而这种情况持续了近两周时间,造成了严重的社会秩序失调。

一次意外便能掀起轩然大波,那么,刻意为止的攻击活动又将如何?

2021欧洲黑帽大会上,著名硬件安全专家Adam Laurie强调称,人们将时间同步视为理所当然的事情,但却忽略了这样一个事实:“时间”同样运行在脆弱的生态系统上,存在被黑的可能性。为了证实自己的说法,他还为我们展示了一种改变时钟时间的简单方法。

为了验证是否能够欺骗时间同步信号,Laurie使用名为“txtempus”的开源工具构建了自己的模拟时间信号系统。这种设备能够模拟信号以同步时钟和手表的时间,并在配备射频识别 (RFID)天线的树莓派(Raspberry Pi)上运行。

Laurie的装置覆盖了英国地区官方的低频、基于无线电广播的时钟同步信号。他选择了红、白两种颜色的时钟进行演示,其中,白色时钟被设置为正常运行,与网络时间协议(NTP)通信,将本地原子钟广播传输到计时设备。红色时钟也被设置为与英国国家物理实验室(英国原子钟发源地)通信,通过网络时间协议馈送数据,但在此过程中,Laurie劫持了该链接的馈送,忽略了信号并强迫它显示错误的时间。

结果,他最终重置了红色时钟的指针:被黑的红色时钟将时间纂改为4:18,而未被黑的时钟显示为9:48(正确的时间)。如下所示:

 图片1.png

可能是考虑到存在模仿攻击的可能性,Laurie并未透露过多技术细节。但可以肯定的是,此次黑客攻击不仅再次强调了RFID的脆弱性,也为我们展示了一种新的可能性:攻击者完全有可能在更广泛的范围内改变时间来造成严重破坏。

而且,与其他安全问题不同,这种时间攻击的风险并非源于软件或硬件漏洞:它更多地与老化的技术和流程有关。因为从本地原子钟接收信号并自动设置时间的技术和流程太过老旧。

时间被黑之后

如今,准确、统一的时间不仅影响我们生活的方方面面,还会影响社会的诸多领域:从依赖准确支付时间的金融交易到工业系统、取证和互联网上带时间戳的网络数据包,无所不包。物联网(IoT)设备同样依赖于原子钟。根据2017年英国政府公布的一份报告显示,时间同步失败的成本预计高达每天10亿英镑。

Laurie指出,互联网上负责分发时间更新的网络时间协议(NTP)和精确时间协议(PTP)可能会被欺骗以传输欺骗性信息。它们并非时间源,而是依赖外部来源(即原子钟,通过RF和GPS进行广播)馈送它们时间数据。

这种情况下,极有可能催生勒索软件攻击。而如果攻击者通过对原子钟馈送发动拒绝服务(DOS)攻击,后果同样不堪设想。

长期以来,Laurie及其他研究人员已经阐明了RF的安全风险。他表示,“无线电频率以纯文本形式传输数据,并且缺乏身份验证过程。即便现在有验证信号的技术,大多数现有的RF基础设施仍然不安全。而现在,很多庞大的、已部署的基础设施都依赖于这些不安全的技术。这次的时间危机只是隐藏其中的‘冰山一角’。”

事实上,近年来,英国政府和各行业组织也为加强时间同步安全做出了诸多努力,甚至诞生了一个名为“弹性导航和授时基金会”(The Resilient Navigation and Timing Foundation)的组织。作为国际性非盈利组织,该基金会提议加强GPS和全球导航卫星系统(GNSS)系统以防御欺骗和干扰信号,并增加法律手段来强制执行。

结语

我们认为理所当然的时间同步问题,一旦遭到黑客利用,将为我们的工作和生活甚至社会的稳定带来巨大的麻烦。因此,是时候重新审视那些被我们视为理所当然的技术的安全性了!

2019年4月6日,纽约关键基础设施的“时间同步”失效,致使该市交通信号灯系统发生故障,而这种情况持续了近两周时间,造成了严重的社会秩序失调。

一次意外便能掀起轩然大波,那么,刻意为止的攻击活动又将如何?

2021欧洲黑帽大会上,著名硬件安全专家Adam Laurie强调称,人们将时间同步视为理所当然的事情,但却忽略了这样一个事实:“时间”同样运行在脆弱的生态系统上,存在被黑的可能性。为了证实自己的说法,他还为我们展示了一种改变时钟时间的简单方法。

为了验证是否能够欺骗时间同步信号,Laurie使用名为“txtempus”的开源工具构建了自己的模拟时间信号系统。这种设备能够模拟信号以同步时钟和手表的时间,并在配备射频识别 (RFID)天线的树莓派(Raspberry Pi)上运行。

Laurie的装置覆盖了英国地区官方的低频、基于无线电广播的时钟同步信号。他选择了红、白两种颜色的时钟进行演示,其中,白色时钟被设置为正常运行,与网络时间协议(NTP)通信,将本地原子钟广播传输到计时设备。红色时钟也被设置为与英国国家物理实验室(英国原子钟发源地)通信,通过网络时间协议馈送数据,但在此过程中,Laurie劫持了该链接的馈送,忽略了信号并强迫它显示错误的时间。

结果,他最终重置了红色时钟的指针:被黑的红色时钟将时间纂改为4:18,而未被黑的时钟显示为9:48(正确的时间)。如下所示:

 图片1.png

可能是考虑到存在模仿攻击的可能性,Laurie并未透露过多技术细节。但可以肯定的是,此次黑客攻击不仅再次强调了RFID的脆弱性,也为我们展示了一种新的可能性:攻击者完全有可能在更广泛的范围内改变时间来造成严重破坏。

而且,与其他安全问题不同,这种时间攻击的风险并非源于软件或硬件漏洞:它更多地与老化的技术和流程有关。因为从本地原子钟接收信号并自动设置时间的技术和流程太过老旧。

时间被黑之后

如今,准确、统一的时间不仅影响我们生活的方方面面,还会影响社会的诸多领域:从依赖准确支付时间的金融交易到工业系统、取证和互联网上带时间戳的网络数据包,无所不包。物联网(IoT)设备同样依赖于原子钟。根据2017年英国政府公布的一份报告显示,时间同步失败的成本预计高达每天10亿英镑。

Laurie指出,互联网上负责分发时间更新的网络时间协议(NTP)和精确时间协议(PTP)可能会被欺骗以传输欺骗性信息。它们并非时间源,而是依赖外部来源(即原子钟,通过RF和GPS进行广播)馈送它们时间数据。

这种情况下,极有可能催生勒索软件攻击。而如果攻击者通过对原子钟馈送发动拒绝服务(DOS)攻击,后果同样不堪设想。

长期以来,Laurie及其他研究人员已经阐明了RF的安全风险。他表示,“无线电频率以纯文本形式传输数据,并且缺乏身份验证过程。即便现在有验证信号的技术,大多数现有的RF基础设施仍然不安全。而现在,很多庞大的、已部署的基础设施都依赖于这些不安全的技术。这次的时间危机只是隐藏其中的‘冰山一角’。”

事实上,近年来,英国政府和各行业组织也为加强时间同步安全做出了诸多努力,甚至诞生了一个名为“弹性导航和授时基金会”(The Resilient Navigation and Timing Foundation)的组织。作为国际性非盈利组织,该基金会提议加强GPS和全球导航卫星系统(GNSS)系统以防御欺骗和干扰信号,并增加法律手段来强制执行。

结语

我们认为理所当然的时间同步问题,一旦遭到黑客利用,将为我们的工作和生活甚至社会的稳定带来巨大的麻烦。因此,是时候重新审视那些被我们视为理所当然的技术的安全性了!

microsoft_windows_security_binary_lock_by_gerd_altmann_cc0_via_pixabay_1800x1200-100817345-large.jpg

到目前为止,事实证明,2021年对科技巨头微软来说算得上“安全重灾年”,许多漏洞影响了其多项领先服务,包括Active Directory、Exchange和Azure。微软经常沦为试图利用已知漏洞和零日漏洞攻击者的目标,但自今年3月初以来,它所面临的事件发生率和规模已经让这家科技巨头乱了阵脚。

以下是2021年困扰微软的重大安全事件时间表:

3月2日:Microsoft Exchange Server漏洞

第一个值得关注的安全事件发生在3月,当时微软宣布其Exchange Server中存在漏洞CVE-2021-26855。该漏洞可在一个或多个路由器的协议级别远程执行和利用。虽然该攻击复杂性被归类为“低”,但微软表示CVE-2021-26855正在被积极利用。

更重要的是,该漏洞可以在没有任何用户交互的情况下被利用,并导致设备完全丧失机密性和保护。根据微软的说法,拒绝对443端口上Exchange服务器的不可信访问,或者限制来自公司网络外部的连接,以阻止攻击的初始阶段。但是,如果攻击者已经在基础架构中,或者如果攻击者获得具有管理员权限的用户来运行恶意文件,这将无济于事。

随后,Microsoft发布了安全补丁并建议紧急在面向外部的Exchange服务器上安装更新。

6月8日:微软修补了六个零日安全漏洞

微软针对影响各种Windows服务的安全问题发布了补丁,其中六个严重漏洞已经成为攻击者的积极目标。这6个零日漏洞是:

CVE-2021-33742:Windows HTML组件中的远程代码执行漏洞;

CVE-2021-31955:Windows内核中的信息泄露漏洞;

CVE-2021-31956:Windows NTFS中的提权漏洞;

CVE-2021-33739:Microsoft桌面窗口管理器中的特权提升漏洞;

CVE-2021-31201:Microsoft Enhanced Cryptographic Provider中的特权提升漏洞;

CVE-2021-31199:Microsoft Enhanced Cryptographic Provider中的特权提升漏洞;

7月1日:Windows Print Spooler漏洞

安全研究人员在GitHub上公开了一个Windows Print Spooler远程代码执行0day漏洞(CVE-2021-34527)。需要注意的是,该漏洞与Microsoft 6月8日星期二补丁日中修复并于6月21日更新的一个EoP升级到RCE的漏洞(CVE-2021-1675)不是同一个漏洞。这两个漏洞相似但不同,攻击向量也不同。

微软警告称,该漏洞已出现在野利用。当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码、安装程序、查看并更改或删除数据、或创建具有完全用户权限的新帐户,但攻击必须涉及调用 RpcAddPrinterDriverEx() 的经过身份验证的用户。

专家建议的缓解措施包括立即安装安全更新,同时确保以下注册表设置设置为“0”(零)或未定义:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

NoWarningNoElevationOnInstall = 0 (DWORD) or not defined (default setting)

UpdatePromptSettings = 0 (DWORD) or not defined (default setting)

8月:研究人员披露Microsoft Exchange Autodiscover漏洞

Autodiscover是Microsoft Exchange用来自动配置outlook这类Exchange客户端应用的工具。8月份,安全供应商Guardicore的研究人员发现,Microsoft Exchange Autodiscover存在一个设计缺陷,导致该协议将Web请求“泄漏”到用户域外的Autodiscover域,但仍在同一顶级域(TLD)中,例如 Autodiscover.com。

事实上,Autodiscover漏洞并不是一个新问题。早在2017年,Shape Security就首次披露了该核心漏洞,并在当年的Black Hat Asia上展示了调查结果。当时,CVE-2016-9940 和 CVE-2017-2414 漏洞被发现仅影响移动设备上的电子邮件客户端。不过,Shape Security披露的漏洞已得到修补,而在2021年更多第三方应用程序再次面临相同的问题。

与此同时,微软开始调查并采取措施减轻威胁以保护客户。微软高级主管Jeff Jones表示,“我们致力于协调漏洞披露,这是一种行业标准的协作方法,可在问题公开之前降低客户面临不必要的风险。不幸的是,这个问题在研究人员向媒体披露之前并没有报告给我们,所以我们今天才知道这些说法。而且,我的报告也清楚地引用了2017 年提出这个问题的研究。这不是零日漏洞,它已经存在了至少1460天。微软不可能不知道这个漏洞。”

8月26日:研究人员访问了数千名Microsoft Azure客户的数据

8 月 26 日,云安全供应商Wiz宣布,在Microsoft Azure的托管数据库服务Cosmos DB中发现了一个漏洞, Wiz将其命名为“Chaos DB”,攻击者可以利用该漏洞获得该服务上每个数据库的读/写访问权限。尽管Wiz在两周前才发现了该漏洞,但该公司表示,该漏洞已经在系统中存在“至少几个月,甚至几年”。

被告知存在漏洞后,微软安全团队禁用了易受攻击的Notebook功能,并通知超过30%的Cosmos DB客户需要手动轮换访问密钥以减少风险,这些是在Wiz探索漏洞一周左右内启用了Jupyter Notebook功能的客户。此外,微软还向Wiz支付了40,000美元的赏金。目前,微软安全团队已经修复了该漏洞。

9月7日:Microsoft MSHTML漏洞

9月7日,微软发布安全通告披露了Microsoft MSHTML远程代码执行漏洞(CVE-2021-40444),攻击者可通过制作恶意的ActiveX控件供托管浏览器呈现引擎的Microsoft Office文档使用,成功诱导用户打开恶意文档后,可在目标系统上以该用户权限执行任意代码。微软在通告中指出已检测到该漏洞被在野利用,请相关用户采取措施进行防护。

据悉,MSHTML(又称为Trident)是微软旗下的Internet Explorer 浏览器引擎,也用于 Office 应用程序,以在 Word、Excel 或 PowerPoint 文档中呈现 Web 托管的内容。AcitveX控件是微软COM架构下的产物,在Windows的Office套件、IE浏览器中有广泛的应用,利用ActiveX控件即可与MSHTML组件进行交互。

微软于9月14日发布了安全更新以解决该漏洞,并敦促客户及时更新反恶意软件产品。

9月14日:微软披露了几个未被利用的漏洞

在发布安全更新以缓解Trident漏洞的同一天,微软发布了有关其服务中大量未利用(在披露时)漏洞的详细信息。

CVE-2021-36968:Windows DNS中的提权漏洞。攻击者通过本地(例如键盘、控制台)或远程(例如SSH)访问目标系统来利用该漏洞;或者攻击者依赖他人的用户交互来执行利用漏洞所需的操作(例如,诱骗合法用户打开恶意文档)。该漏洞攻击复杂度和所需权限低,无需用户交互即可本地利用。

CVE-2021-38647:影响Azure开放管理基础结构(OMI)的远程代码执行漏洞。该漏洞的攻击复杂性较低,无需用户交互,并且可能导致完全拒绝访问受影响组件中的资源。8月11日在GitHub上发布了修复程序,以允许用户在发布完整的CVE详细信息之前降低风险。

CVE-2021-36965:影响Windows WLAN AutoConfig服务的漏洞。该漏洞绑定到网络堆栈,但攻击仅限于协议级别的逻辑相邻拓扑。这意味着攻击必须从相同的共享物理或逻辑网络发起,或者从安全或其他受限的管理域内发起。该漏洞利用仅限于由同一安全机构管理的资源。

CVE-2021-36952:该远程代码执行Visual Studio可能导致攻击者完全拒绝访问受影响组件中的资源。

CVE-2021-38667:影响Windows Print Spooler的新提权漏洞。攻击者被授权(即需要)提供基本用户功能的特权,这些功能通常只能影响用户拥有的设置和文件。或者,具有低权限的攻击者可能有能力仅对非敏感资源造成影响。CVE-2021-36975和CVE-2021-38639:微软也共享了两个影响Win32k的新特权提升漏洞。两者都有可能被攻击者反复成功利用。

9月16日:攻击者利用ManageEngine ADSelfService Plus中的漏洞

来自FBI、美国海岸警卫队网络司令部(CGCYBER)和CISA的联合咨询警告称,Zoho ManageEngine ADSelfService Plus平台存在严重的身份验证绕过漏洞,该漏洞可导致远程代码执行(RCE),从而为肆无忌惮的攻击者打开公司大门,攻击者可以自由控制用户的Active Directory(AD)和云帐户。

Zoho ManageEngine ADSelfService Plus是一个针对AD和云应用程序的自助式密码管理和单点登录(SSO)平台,这意味着任何能够控制该平台的网络攻击者都会在两个关键任务应用程序(和他们的敏感数据)中拥有多个轴心点。换句话说,它是一个功能强大的、高度特权的应用程序,无论是对用户还是攻击者都可以作为一个进入企业内部各个领域的便捷入口点。

9月27日:APT29以Active Directory联合身份验证服务为目标

安全研究人员标记了一个与俄罗斯政府有联系的网络间谍组织,该组织部署了一个新的后门,旨在利用Active Directory联合服务(AD FS)并窃取配置数据库和安全令牌证书。微软将恶意软件程序FoggyWeb归咎于NOBELIUM(也称为 APT29 或 Cozy Bear)组织——被认为是 SUNBURST后门的幕后黑手。微软表示已通知所有受影响客户,并建议用户:

审核本地和云基础架构,包括配置、每个用户和每个应用程序的设置、转发规则以及参与者可能为维持访问而进行的其他更改;

删除用户和应用程序访问权限,审查每个用户/应用程序的配置,并按照记录在案的行业最佳实践重新颁发新的、强大的凭据;

使用硬件安全模块(HSM)以防止FoggyWeb泄露机密数据;

10月:发布并修复4个零日漏洞

10月12日,微软发布了4个0day漏洞,它们分别为:

CVE-2021-40449:Win32k权限提升漏洞。调查显示,有黑客组织在利用该0day漏洞进行针对IT公司、军事/国防承包商和外交实体的广泛间谍活动。攻击者通过安装远程访问木马,利用该漏洞获取更高的权限。

CVE-2021-40469:Windows DNS服务器远程代码执行漏洞。在域控制器上实现远程代码执行的攻击者获取域管理员权限的后果很严重,不过幸好,该漏洞很难武器化。

CVE-2021-41335:Windows内核权限提升漏洞。该漏洞已公开披露在POC(概念验证)中,成功利用可允许攻击者在内核模式下运行任意代码,这种漏洞通常是攻击链中重要的一部分。

CVE-2021-41338:Windows AppContainer防火墙规则安全功能绕过漏洞。AppContainer能够阻止恶意代码,防止来自第三方应用的渗透。而该漏洞允许攻击者绕过Windows AppContainer防火墙规则,且无需用户交互即可加以利用。

微软仍然是重点攻击目标

正如过去几个月发生的事件所示,Microsoft 服务仍然是攻击和漏洞利用的重要目标,而其中的漏洞更是层出不穷。Forrester研究总监兼首席分析师Merritt Maxim表示,“微软应用程序和系统仍然是黑客眼中的高价值目标,因为它们在全球范围内广泛部署。”

Maxim估计,大约80%的企业都以某种形式在全球范围内使用Microsoft Active Directory。鉴于Active Directory正充当用户身份验证凭据(以及其他功能)的存储库,而身份验证凭据对于黑客来说又是极具价值的数据源,因此黑客将继续针对Microsoft系统实施攻击。

攻击者会根据价值选择自己的目标,系统或程序越流行,它对黑客的价值就越大。此外,由于微软的复杂性和广泛性,其暴露的攻击面也异常大,其中大部分还是可以远程访问的。流行度和大规模远程可访问攻击面的结合创造了一个完美的目标。

微软对安全事件的回应

在反思微软对安全事件的反应和处理时,Netenrich 首席威胁猎手John Bambenek表示,该公司总体上做得很好。如果有需要改进的地方的话,他们可能需要拥有最完善的产品安全流程。

Maxim对此表示赞同。他表示,“考虑到他们的系统无处不在,想要跟踪每个可能的漏洞是一项不可能完成的任务。微软需要继续加大投资其原生产品的安全功能,并通过微软威胁情报中心等机构继续提供对影响其平台的新兴恶意软件的详细分析和调查,以使企业了解情况并受到保护。”

不过,即便微软迅速做出反应并尝试修补漏洞,但由于最近的几个补丁不完整,还是导致了大规模的漏洞利用。Kolodenker解释称,“许多Microsoft高危漏洞都是合法的安全专业人员发现的,只有在最初的补丁发布后,攻击者才开始猖獗利用。而在补丁广泛采用之前发布概念公开证明(PoC)只会进一步加剧这种情况。”

这就是为什么组织不能仅仅依赖服务提供商提供的安全更新和修复,他们自己也必须承担一部分责任,及时应用安全补丁和修复程序来减轻“以漏洞为中心”的漏洞利用和攻击风险。

Jartelius提倡将预防性和反应性方法相结合。他表示,“就像我们反复测试火警系统一样,我们也应该测试这些安全防御机制。使用内部或外部团队来模拟真实攻击,同时,练习观察和响应攻击的公司,通常会在沦为现实世界的目标之前及时发现自身存在的防御缺陷。”

microsoft_windows_security_binary_lock_by_gerd_altmann_cc0_via_pixabay_1800x1200-100817345-large.jpg

到目前为止,事实证明,2021年对科技巨头微软来说算得上“安全重灾年”,许多漏洞影响了其多项领先服务,包括Active Directory、Exchange和Azure。微软经常沦为试图利用已知漏洞和零日漏洞攻击者的目标,但自今年3月初以来,它所面临的事件发生率和规模已经让这家科技巨头乱了阵脚。

以下是2021年困扰微软的重大安全事件时间表:

3月2日:Microsoft Exchange Server漏洞

第一个值得关注的安全事件发生在3月,当时微软宣布其Exchange Server中存在漏洞CVE-2021-26855。该漏洞可在一个或多个路由器的协议级别远程执行和利用。虽然该攻击复杂性被归类为“低”,但微软表示CVE-2021-26855正在被积极利用。

更重要的是,该漏洞可以在没有任何用户交互的情况下被利用,并导致设备完全丧失机密性和保护。根据微软的说法,拒绝对443端口上Exchange服务器的不可信访问,或者限制来自公司网络外部的连接,以阻止攻击的初始阶段。但是,如果攻击者已经在基础架构中,或者如果攻击者获得具有管理员权限的用户来运行恶意文件,这将无济于事。

随后,Microsoft发布了安全补丁并建议紧急在面向外部的Exchange服务器上安装更新。

6月8日:微软修补了六个零日安全漏洞

微软针对影响各种Windows服务的安全问题发布了补丁,其中六个严重漏洞已经成为攻击者的积极目标。这6个零日漏洞是:

CVE-2021-33742:Windows HTML组件中的远程代码执行漏洞;

CVE-2021-31955:Windows内核中的信息泄露漏洞;

CVE-2021-31956:Windows NTFS中的提权漏洞;

CVE-2021-33739:Microsoft桌面窗口管理器中的特权提升漏洞;

CVE-2021-31201:Microsoft Enhanced Cryptographic Provider中的特权提升漏洞;

CVE-2021-31199:Microsoft Enhanced Cryptographic Provider中的特权提升漏洞;

7月1日:Windows Print Spooler漏洞

安全研究人员在GitHub上公开了一个Windows Print Spooler远程代码执行0day漏洞(CVE-2021-34527)。需要注意的是,该漏洞与Microsoft 6月8日星期二补丁日中修复并于6月21日更新的一个EoP升级到RCE的漏洞(CVE-2021-1675)不是同一个漏洞。这两个漏洞相似但不同,攻击向量也不同。

微软警告称,该漏洞已出现在野利用。当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码、安装程序、查看并更改或删除数据、或创建具有完全用户权限的新帐户,但攻击必须涉及调用 RpcAddPrinterDriverEx() 的经过身份验证的用户。

专家建议的缓解措施包括立即安装安全更新,同时确保以下注册表设置设置为“0”(零)或未定义:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

NoWarningNoElevationOnInstall = 0 (DWORD) or not defined (default setting)

UpdatePromptSettings = 0 (DWORD) or not defined (default setting)

8月:研究人员披露Microsoft Exchange Autodiscover漏洞

Autodiscover是Microsoft Exchange用来自动配置outlook这类Exchange客户端应用的工具。8月份,安全供应商Guardicore的研究人员发现,Microsoft Exchange Autodiscover存在一个设计缺陷,导致该协议将Web请求“泄漏”到用户域外的Autodiscover域,但仍在同一顶级域(TLD)中,例如 Autodiscover.com。

事实上,Autodiscover漏洞并不是一个新问题。早在2017年,Shape Security就首次披露了该核心漏洞,并在当年的Black Hat Asia上展示了调查结果。当时,CVE-2016-9940 和 CVE-2017-2414 漏洞被发现仅影响移动设备上的电子邮件客户端。不过,Shape Security披露的漏洞已得到修补,而在2021年更多第三方应用程序再次面临相同的问题。

与此同时,微软开始调查并采取措施减轻威胁以保护客户。微软高级主管Jeff Jones表示,“我们致力于协调漏洞披露,这是一种行业标准的协作方法,可在问题公开之前降低客户面临不必要的风险。不幸的是,这个问题在研究人员向媒体披露之前并没有报告给我们,所以我们今天才知道这些说法。而且,我的报告也清楚地引用了2017 年提出这个问题的研究。这不是零日漏洞,它已经存在了至少1460天。微软不可能不知道这个漏洞。”

8月26日:研究人员访问了数千名Microsoft Azure客户的数据

8 月 26 日,云安全供应商Wiz宣布,在Microsoft Azure的托管数据库服务Cosmos DB中发现了一个漏洞, Wiz将其命名为“Chaos DB”,攻击者可以利用该漏洞获得该服务上每个数据库的读/写访问权限。尽管Wiz在两周前才发现了该漏洞,但该公司表示,该漏洞已经在系统中存在“至少几个月,甚至几年”。

被告知存在漏洞后,微软安全团队禁用了易受攻击的Notebook功能,并通知超过30%的Cosmos DB客户需要手动轮换访问密钥以减少风险,这些是在Wiz探索漏洞一周左右内启用了Jupyter Notebook功能的客户。此外,微软还向Wiz支付了40,000美元的赏金。目前,微软安全团队已经修复了该漏洞。

9月7日:Microsoft MSHTML漏洞

9月7日,微软发布安全通告披露了Microsoft MSHTML远程代码执行漏洞(CVE-2021-40444),攻击者可通过制作恶意的ActiveX控件供托管浏览器呈现引擎的Microsoft Office文档使用,成功诱导用户打开恶意文档后,可在目标系统上以该用户权限执行任意代码。微软在通告中指出已检测到该漏洞被在野利用,请相关用户采取措施进行防护。

据悉,MSHTML(又称为Trident)是微软旗下的Internet Explorer 浏览器引擎,也用于 Office 应用程序,以在 Word、Excel 或 PowerPoint 文档中呈现 Web 托管的内容。AcitveX控件是微软COM架构下的产物,在Windows的Office套件、IE浏览器中有广泛的应用,利用ActiveX控件即可与MSHTML组件进行交互。

微软于9月14日发布了安全更新以解决该漏洞,并敦促客户及时更新反恶意软件产品。

9月14日:微软披露了几个未被利用的漏洞

在发布安全更新以缓解Trident漏洞的同一天,微软发布了有关其服务中大量未利用(在披露时)漏洞的详细信息。

CVE-2021-36968:Windows DNS中的提权漏洞。攻击者通过本地(例如键盘、控制台)或远程(例如SSH)访问目标系统来利用该漏洞;或者攻击者依赖他人的用户交互来执行利用漏洞所需的操作(例如,诱骗合法用户打开恶意文档)。该漏洞攻击复杂度和所需权限低,无需用户交互即可本地利用。

CVE-2021-38647:影响Azure开放管理基础结构(OMI)的远程代码执行漏洞。该漏洞的攻击复杂性较低,无需用户交互,并且可能导致完全拒绝访问受影响组件中的资源。8月11日在GitHub上发布了修复程序,以允许用户在发布完整的CVE详细信息之前降低风险。

CVE-2021-36965:影响Windows WLAN AutoConfig服务的漏洞。该漏洞绑定到网络堆栈,但攻击仅限于协议级别的逻辑相邻拓扑。这意味着攻击必须从相同的共享物理或逻辑网络发起,或者从安全或其他受限的管理域内发起。该漏洞利用仅限于由同一安全机构管理的资源。

CVE-2021-36952:该远程代码执行Visual Studio可能导致攻击者完全拒绝访问受影响组件中的资源。

CVE-2021-38667:影响Windows Print Spooler的新提权漏洞。攻击者被授权(即需要)提供基本用户功能的特权,这些功能通常只能影响用户拥有的设置和文件。或者,具有低权限的攻击者可能有能力仅对非敏感资源造成影响。CVE-2021-36975和CVE-2021-38639:微软也共享了两个影响Win32k的新特权提升漏洞。两者都有可能被攻击者反复成功利用。

9月16日:攻击者利用ManageEngine ADSelfService Plus中的漏洞

来自FBI、美国海岸警卫队网络司令部(CGCYBER)和CISA的联合咨询警告称,Zoho ManageEngine ADSelfService Plus平台存在严重的身份验证绕过漏洞,该漏洞可导致远程代码执行(RCE),从而为肆无忌惮的攻击者打开公司大门,攻击者可以自由控制用户的Active Directory(AD)和云帐户。

Zoho ManageEngine ADSelfService Plus是一个针对AD和云应用程序的自助式密码管理和单点登录(SSO)平台,这意味着任何能够控制该平台的网络攻击者都会在两个关键任务应用程序(和他们的敏感数据)中拥有多个轴心点。换句话说,它是一个功能强大的、高度特权的应用程序,无论是对用户还是攻击者都可以作为一个进入企业内部各个领域的便捷入口点。

9月27日:APT29以Active Directory联合身份验证服务为目标

安全研究人员标记了一个与俄罗斯政府有联系的网络间谍组织,该组织部署了一个新的后门,旨在利用Active Directory联合服务(AD FS)并窃取配置数据库和安全令牌证书。微软将恶意软件程序FoggyWeb归咎于NOBELIUM(也称为 APT29 或 Cozy Bear)组织——被认为是 SUNBURST后门的幕后黑手。微软表示已通知所有受影响客户,并建议用户:

审核本地和云基础架构,包括配置、每个用户和每个应用程序的设置、转发规则以及参与者可能为维持访问而进行的其他更改;

删除用户和应用程序访问权限,审查每个用户/应用程序的配置,并按照记录在案的行业最佳实践重新颁发新的、强大的凭据;

使用硬件安全模块(HSM)以防止FoggyWeb泄露机密数据;

10月:发布并修复4个零日漏洞

10月12日,微软发布了4个0day漏洞,它们分别为:

CVE-2021-40449:Win32k权限提升漏洞。调查显示,有黑客组织在利用该0day漏洞进行针对IT公司、军事/国防承包商和外交实体的广泛间谍活动。攻击者通过安装远程访问木马,利用该漏洞获取更高的权限。

CVE-2021-40469:Windows DNS服务器远程代码执行漏洞。在域控制器上实现远程代码执行的攻击者获取域管理员权限的后果很严重,不过幸好,该漏洞很难武器化。

CVE-2021-41335:Windows内核权限提升漏洞。该漏洞已公开披露在POC(概念验证)中,成功利用可允许攻击者在内核模式下运行任意代码,这种漏洞通常是攻击链中重要的一部分。

CVE-2021-41338:Windows AppContainer防火墙规则安全功能绕过漏洞。AppContainer能够阻止恶意代码,防止来自第三方应用的渗透。而该漏洞允许攻击者绕过Windows AppContainer防火墙规则,且无需用户交互即可加以利用。

微软仍然是重点攻击目标

正如过去几个月发生的事件所示,Microsoft 服务仍然是攻击和漏洞利用的重要目标,而其中的漏洞更是层出不穷。Forrester研究总监兼首席分析师Merritt Maxim表示,“微软应用程序和系统仍然是黑客眼中的高价值目标,因为它们在全球范围内广泛部署。”

Maxim估计,大约80%的企业都以某种形式在全球范围内使用Microsoft Active Directory。鉴于Active Directory正充当用户身份验证凭据(以及其他功能)的存储库,而身份验证凭据对于黑客来说又是极具价值的数据源,因此黑客将继续针对Microsoft系统实施攻击。

攻击者会根据价值选择自己的目标,系统或程序越流行,它对黑客的价值就越大。此外,由于微软的复杂性和广泛性,其暴露的攻击面也异常大,其中大部分还是可以远程访问的。流行度和大规模远程可访问攻击面的结合创造了一个完美的目标。

微软对安全事件的回应

在反思微软对安全事件的反应和处理时,Netenrich 首席威胁猎手John Bambenek表示,该公司总体上做得很好。如果有需要改进的地方的话,他们可能需要拥有最完善的产品安全流程。

Maxim对此表示赞同。他表示,“考虑到他们的系统无处不在,想要跟踪每个可能的漏洞是一项不可能完成的任务。微软需要继续加大投资其原生产品的安全功能,并通过微软威胁情报中心等机构继续提供对影响其平台的新兴恶意软件的详细分析和调查,以使企业了解情况并受到保护。”

不过,即便微软迅速做出反应并尝试修补漏洞,但由于最近的几个补丁不完整,还是导致了大规模的漏洞利用。Kolodenker解释称,“许多Microsoft高危漏洞都是合法的安全专业人员发现的,只有在最初的补丁发布后,攻击者才开始猖獗利用。而在补丁广泛采用之前发布概念公开证明(PoC)只会进一步加剧这种情况。”

这就是为什么组织不能仅仅依赖服务提供商提供的安全更新和修复,他们自己也必须承担一部分责任,及时应用安全补丁和修复程序来减轻“以漏洞为中心”的漏洞利用和攻击风险。

Jartelius提倡将预防性和反应性方法相结合。他表示,“就像我们反复测试火警系统一样,我们也应该测试这些安全防御机制。使用内部或外部团队来模拟真实攻击,同时,练习观察和响应攻击的公司,通常会在沦为现实世界的目标之前及时发现自身存在的防御缺陷。”

engineer_reviews_security_strategy_framework_data_metamorworks_gettyimages-966835276_2400x1600-100797052-large.jpg

从网络安全的角度来看,如今的组织正在一个高风险的世界中运营。这种情况下,拥有风险管理框架显得至关重要,因为风险永远无法完全消除;它只能得到有效管理。企业评估和管理风险的能力变得前所未有得重要。

而选择风险评估框架时,最关键的考虑因素就是确保它“迎合目的”并最适合预期结果。此外,选择广为人知且易于理解的框架同样有好处,它能够确保框架的使用更加一致和有效,并允许组织内的个人使用一致的语言。

组织可以利用风险评估框架来帮助指导安全和风险管理人员。以下是其中一些最突出的框架,每个框架都旨在解决特定的风险领域。

NIST风险管理框架

美国国家标准与技术研究院(NIST)的风险管理框架(Risk Management Framework,简称RMF)提供了一个全面、可重复和可衡量的七步流程,组织可以用其管理信息安全和隐私风险。它还附带一套NIST标准和指南,以支持风险管理计划的实施,使其满足联邦信息安全现代化法案(FISMA)的合规要求。

据NIST称,RMF提供了一个将安全、隐私和供应链风险管理活动集成到系统开发生命周期中的流程。它可以应用于任何类型的系统或技术,包括物联网(IoT)和控制系统,以及任何类型的企业组织——无论其规模或部门如何。NIST RMF的七个步骤为:

准备,包括使组织准备好管理安全和隐私风险的必要活动;

分类,包括分类系统和基于影响分析处理、存储和传输的信息;

选择,即根据风险评估选择一组NIST SP 800-53控制来保护系统;

实施,部署控制系统并记录它们的部署方式;

评估,确定控制系统是否到位,是否按预期运行,并产生预期的结果;

授权,高级管理人员做出基于风险的决定来授权系统运行;

监控,包括持续监控控制系统的实施和系统风险。

NIST RMF可以根据企业组织需求进行定制,且经常能够得到评估和更新,许多工具支持该标准。IT专业人员在部署NIST RMF时要明白,它不是一个自动化工具,而是一个需要严格遵守纪律以正确建模风险的文件化框架,这一点至关重要。

目前,NIST已经出版了一些易于理解且适用于大多数组织的风险相关出版物。这些参考资料提供了一个整合安全、隐私和网络供应链风险管理活动的流程,有助于控制选择和政策制定。

OCTAVE

运营关键威胁、资产和漏洞评估(OCTAVE)由卡内基梅隆大学的计算机应急小组(CERT)开发,是用于识别和管理信息安全风险的框架。它定义了一种综合评估方法,允许组织识别对其目标很重要的信息资产、对这些资产的威胁以及可能使这些资产面临威胁的漏洞。

通过将信息资产、威胁和漏洞结合在一起,组织能够全面了解哪些信息面临风险。而有了这种理解,他们就可以设计和部署策略来降低信息资产的整体风险敞口。

目前,有两个版本的OCTAVE。一个是OCTAVE-S,这是一种简化方法,专为具有扁平层次结构的小型企业组织而设计。另一个是OCTAVE Allegro,这是一个更全面的框架,适用于大型或结构复杂的企业组织。

可以说,OCTAVE是一个精心设计的风险评估框架,因为它从物理、技术和人力资源的角度来看待安全。它可以识别对任何组织而言都是关键任务的资产,并发现威胁和漏洞。但是,部署起来可能非常复杂,而且只能通过定性方法进行量化。

不过,这种框架的灵活性允许运营团队和IT团队一起协作来解决企业组织的安全需求。

COBIT

来自ISACA(国际信息系统审计协会)的“信息和相关技术的控制目标”(COBIT)是IT管理和治理的框架。它旨在以业务为中心,并为IT管理定义了一组通用流程。每个流程都融合了流程输入和输出、关键活动、目标、绩效度量和基本成熟度模型等因素。

据ISACA称,最新版本的COBIT 2019提供了更多的实施资源、实践指导和见解,以及全面的培训机会,其实施更加灵活,使组织能够通过框架定制他们的治理过程。

COBIT是与IT管理流程和政策执行相一致的高级框架。不过,挑战在于COBIT成本高昂,并且需要具备很高的知识和技能才能实施。

该框架是解决企业组织信息和技术治理和管理的唯一模型。虽然COBIT的主要目的不是专门针对风险,但它在整个框架中整合了多种风险实践,并引用了多个全球公认的风险框架。

TARA

据非营利组织MITRE(从事包括网络安全在内的技术领域研究和开发)称,威胁评估和补救分析(TARA)是一种工程方法,用于识别和评估网络安全漏洞并部署对策来缓解它们。

该框架是MITRE系统安全工程(SSE)实践组合的一部分。MITRE表示,“TARA评估方法可以被描述为联合交易研究,其中第一个交易是基于评估的风险识别和排列攻击向量,第二个交易是基于评估的效用、成本识别和选择对策。”

该方法的独特之处包括使用目录存储的缓解映射,为给定的攻击向量范围预先选择可能的对策,以及提供基于风险容忍度的对策策略。

TARA是一种在考虑缓解措施的同时确定关键风险的实用方法,并且可以增强正式的风险方法以包含有关攻击者的重要信息,这些信息可以改善风险状况。

FAIR

信息风险因素分析(FAIR)是对导致风险的因素以及它们如何相互影响的分类法。该框架由 Nationwide Mutual Insurance前首席信息安全官Jack Jones开发,主要为数据丢失事件的频率和幅度建立准确的概率。

FAIR不是执行企业或个人风险评估的方法。但它为组织提供了一种理解、分析和衡量信息风险的方法。该框架的组成部分包括信息风险分类法、信息风险术语的标准化命名法、建立数据收集标准的方法、风险因素的度量尺度、评估风险的计算引擎以及分析复杂风险情景的模型。

FAIR是为信息安全和运营风险提供可靠量化模型的少数方法之一。这种务实的风险框架为评估任何企业的风险提供了坚实基础。不过,虽然FAIR提供了威胁、漏洞和风险的全面定义,但它却没有很好的记录,因此很难实施。

与其他风险框架不同的是,FAIR的重点是将风险量化为实际美元,而不是传统的“高、中、低”评分。这一点也正在获得高级领导者和董事会成员的关注,通过有意义的方式更好地量化风险,从而实现更深思熟虑的业务讨论。

engineer_reviews_security_strategy_framework_data_metamorworks_gettyimages-966835276_2400x1600-100797052-large.jpg

从网络安全的角度来看,如今的组织正在一个高风险的世界中运营。这种情况下,拥有风险管理框架显得至关重要,因为风险永远无法完全消除;它只能得到有效管理。企业评估和管理风险的能力变得前所未有得重要。

而选择风险评估框架时,最关键的考虑因素就是确保它“迎合目的”并最适合预期结果。此外,选择广为人知且易于理解的框架同样有好处,它能够确保框架的使用更加一致和有效,并允许组织内的个人使用一致的语言。

组织可以利用风险评估框架来帮助指导安全和风险管理人员。以下是其中一些最突出的框架,每个框架都旨在解决特定的风险领域。

NIST风险管理框架

美国国家标准与技术研究院(NIST)的风险管理框架(Risk Management Framework,简称RMF)提供了一个全面、可重复和可衡量的七步流程,组织可以用其管理信息安全和隐私风险。它还附带一套NIST标准和指南,以支持风险管理计划的实施,使其满足联邦信息安全现代化法案(FISMA)的合规要求。

据NIST称,RMF提供了一个将安全、隐私和供应链风险管理活动集成到系统开发生命周期中的流程。它可以应用于任何类型的系统或技术,包括物联网(IoT)和控制系统,以及任何类型的企业组织——无论其规模或部门如何。NIST RMF的七个步骤为:

准备,包括使组织准备好管理安全和隐私风险的必要活动;

分类,包括分类系统和基于影响分析处理、存储和传输的信息;

选择,即根据风险评估选择一组NIST SP 800-53控制来保护系统;

实施,部署控制系统并记录它们的部署方式;

评估,确定控制系统是否到位,是否按预期运行,并产生预期的结果;

授权,高级管理人员做出基于风险的决定来授权系统运行;

监控,包括持续监控控制系统的实施和系统风险。

NIST RMF可以根据企业组织需求进行定制,且经常能够得到评估和更新,许多工具支持该标准。IT专业人员在部署NIST RMF时要明白,它不是一个自动化工具,而是一个需要严格遵守纪律以正确建模风险的文件化框架,这一点至关重要。

目前,NIST已经出版了一些易于理解且适用于大多数组织的风险相关出版物。这些参考资料提供了一个整合安全、隐私和网络供应链风险管理活动的流程,有助于控制选择和政策制定。

OCTAVE

运营关键威胁、资产和漏洞评估(OCTAVE)由卡内基梅隆大学的计算机应急小组(CERT)开发,是用于识别和管理信息安全风险的框架。它定义了一种综合评估方法,允许组织识别对其目标很重要的信息资产、对这些资产的威胁以及可能使这些资产面临威胁的漏洞。

通过将信息资产、威胁和漏洞结合在一起,组织能够全面了解哪些信息面临风险。而有了这种理解,他们就可以设计和部署策略来降低信息资产的整体风险敞口。

目前,有两个版本的OCTAVE。一个是OCTAVE-S,这是一种简化方法,专为具有扁平层次结构的小型企业组织而设计。另一个是OCTAVE Allegro,这是一个更全面的框架,适用于大型或结构复杂的企业组织。

可以说,OCTAVE是一个精心设计的风险评估框架,因为它从物理、技术和人力资源的角度来看待安全。它可以识别对任何组织而言都是关键任务的资产,并发现威胁和漏洞。但是,部署起来可能非常复杂,而且只能通过定性方法进行量化。

不过,这种框架的灵活性允许运营团队和IT团队一起协作来解决企业组织的安全需求。

COBIT

来自ISACA(国际信息系统审计协会)的“信息和相关技术的控制目标”(COBIT)是IT管理和治理的框架。它旨在以业务为中心,并为IT管理定义了一组通用流程。每个流程都融合了流程输入和输出、关键活动、目标、绩效度量和基本成熟度模型等因素。

据ISACA称,最新版本的COBIT 2019提供了更多的实施资源、实践指导和见解,以及全面的培训机会,其实施更加灵活,使组织能够通过框架定制他们的治理过程。

COBIT是与IT管理流程和政策执行相一致的高级框架。不过,挑战在于COBIT成本高昂,并且需要具备很高的知识和技能才能实施。

该框架是解决企业组织信息和技术治理和管理的唯一模型。虽然COBIT的主要目的不是专门针对风险,但它在整个框架中整合了多种风险实践,并引用了多个全球公认的风险框架。

TARA

据非营利组织MITRE(从事包括网络安全在内的技术领域研究和开发)称,威胁评估和补救分析(TARA)是一种工程方法,用于识别和评估网络安全漏洞并部署对策来缓解它们。

该框架是MITRE系统安全工程(SSE)实践组合的一部分。MITRE表示,“TARA评估方法可以被描述为联合交易研究,其中第一个交易是基于评估的风险识别和排列攻击向量,第二个交易是基于评估的效用、成本识别和选择对策。”

该方法的独特之处包括使用目录存储的缓解映射,为给定的攻击向量范围预先选择可能的对策,以及提供基于风险容忍度的对策策略。

TARA是一种在考虑缓解措施的同时确定关键风险的实用方法,并且可以增强正式的风险方法以包含有关攻击者的重要信息,这些信息可以改善风险状况。

FAIR

信息风险因素分析(FAIR)是对导致风险的因素以及它们如何相互影响的分类法。该框架由 Nationwide Mutual Insurance前首席信息安全官Jack Jones开发,主要为数据丢失事件的频率和幅度建立准确的概率。

FAIR不是执行企业或个人风险评估的方法。但它为组织提供了一种理解、分析和衡量信息风险的方法。该框架的组成部分包括信息风险分类法、信息风险术语的标准化命名法、建立数据收集标准的方法、风险因素的度量尺度、评估风险的计算引擎以及分析复杂风险情景的模型。

FAIR是为信息安全和运营风险提供可靠量化模型的少数方法之一。这种务实的风险框架为评估任何企业的风险提供了坚实基础。不过,虽然FAIR提供了威胁、漏洞和风险的全面定义,但它却没有很好的记录,因此很难实施。

与其他风险框架不同的是,FAIR的重点是将风险量化为实际美元,而不是传统的“高、中、低”评分。这一点也正在获得高级领导者和董事会成员的关注,通过有意义的方式更好地量化风险,从而实现更深思熟虑的业务讨论。

近日,2021年备受期待的谍战动作大片《007:无暇赴死》(No Time to Die)震撼上映。作为“詹姆斯·邦德系列电影”,除了丹尼尔·克雷格本人未变外,电影的另一个统一之处在于,其中的军情六处员工完全缺乏对网络安全基础知识的了解。

这种疏忽是有意为之,还是由于编剧无能或是缺乏网络顾问,尚不清楚。无论如何,以下是我们在《007》系列电影中发现的一些荒谬之处,按上映顺序排列。剧透警告!

《007:大战皇家赌场》

在克雷格的第一部邦德电影中,我们看到了以下场景:邦德闯入其直属上司M夫人的家,并用她的笔记本电脑连接到某种间谍系统,以找出发送到恐怖分子手机的短信来源。实际上,邦德只有具备以下条件才能实现这一点:

lQDPDhrhwMFkFbzNBDjNCUiwR_KBKJwwwqYBnx3NyABZAA_2376_1080.jpg

◼军情六处(MI6)不强制执行自动屏幕锁定和注销策略,且M将她的笔记本电脑保持永久打开并登录的状态;

◼MI6不强制使用强密码,且M的密码很容易被猜到;

◼M夫人不知道如何对她的同事保密自己的密码,或者她使用已泄露的密码。

这些情况中的任何一种都会带来麻烦,但第三种情况最有可能;而且在故事的后面部分,邦德再次使用M的凭据远程登录到“安全网站”。

除了M外,邦德的密码态度也好不到哪里去。当他需要为保存其扑克奖金的秘密帐户创建密码(至少六个字符)时,他使用了同事(兼恋人)的名字“Vesper”。更重要的是,该密码实际上是对应数字的助记符,实际密码是6位数字。

《007:大破量子危机》 

在克雷格出演的5部邦德电影中,《量子危机》是计算机化程度最低的一部,即便如此,其中仍然包含一个值得关注的点。在影片的开头,我们认识了Craig Mitchell,一名在军情六处工作了八年的员工——作了M五年的私人保镖——实际上是一个双重间谍。

当然,这属于老生常谈的“内部威胁”问题,而非网络问题。不过,正如在前一部电影中看到的那样,M对密码的粗心大意表明,军情六处的秘密很可能已经掌握在世界各地的超级反派手中。

《007:天降危机》

《天降危机》是5部邦德电影中计算机化程度最高的一部。信息安全是该片的核心,从第一个场景都能看出网络发挥的重要作用。为了方便起见,我们将按时间顺序进行分析:

伊斯坦布尔的数据泄露事件 

一位身份不明的罪犯窃取了一个笔记本电脑硬盘,其中包含“潜伏在全球恐怖组织中几乎全部北约特工的身份”。甚至是军情六处的合作伙伴也不知道该名单的内容(甚至认为它根本不存在)。

lQDPDhrhwMDLfy7NBDjNCUiwLcM5x_Gu04EBnx3N2kBkAA_2376_1080.jpg

事实上,这种驱动器的想法本身已经是一个巨大的漏洞。假设数据库对军情六处至关重要(事实也确实如此)。那么,它怎么会在伊斯坦布尔的一个安全屋里?又怎么会只有三名特工负责保护?即使是驱动器被盗,它没有加密?并在进行任何解密尝试时提醒军情六处?

英国秘密情报局(SIS)受到网络恐怖攻击

第一起真正的网络事件登场:恐怖分子对英国秘密情报局(SIS)总部发起网络恐怖袭击。攻击者试图解密被盗的驱动器——根据安全系统追踪加密信号得出,信号似乎是来自M的个人计算机。之后,防御者拼命试图关闭计算机,但不法分子炸毁了泰晤士河畔的SIS大楼。

lQDPDhrhwMH8q2TNBDjNCUiwyP9kPdIrCa4Bnx3N5kBDAA_2376_1080.jpg

lQDPDhrhwMFkFcfNBDjNCUiwV3j8dujZfbUBnx3ObkBZAA_2376_1080.jpg

随后的调查显示,袭击者侵入了环境控制系统,关闭了安全防火墙,并打开了煤气阀;但在此之前,他们入侵了M的文件(包括她的日历)并提取了密码,解密出特工名单只是时间问题。

让我们假设M计算机上的被盗驱动器发出的警报代表了虚假信息或拖钓的企图(毕竟,驱动器不可能在建筑物中)。让我们忽略关于大楼供气的问题——谁知道呢,也许军情六处的走廊里还点着煤气灯。毕竟,英国是一片传统之地。

无论如何,入侵工控系统是完全可行的。但是,工控系统和M的计算机——据称是“英国最安全的计算机系统”——是如何最终出现在同一个网络上的呢?这涉及的显然是一个网络分段问题。更不用说,将驱动器解密代码存储在M的计算机上是另一个纯粹疏忽的例子,他们起码应该使用过密码管理器。

网络欺凌M

攻击者通过定期在公共领域发布特工的名单来羞辱M,并通过某种方式在她的笔记本电脑上闪现他们的消息——“记住你的罪行”。(似乎存在某种后门;否则他们怎么可能进来?)但军情六处的专家对检查笔记本电脑不感兴趣,只对追踪消息来源感兴趣。

lQDPDhrhwMDLf07NBDjNCUiwcVqwto8Km2EBnx3N-MBkAA_2376_1080.jpg

他们得出结论,它是由一种非对称安全算法发送的,该算法通过成百上千台服务器在全球范围内反射信号。这种策略可能确实存在,但在这种情况下,他们说是“非对称安全算法”多少有点莫名其妙。在现实世界中,非对称加密算法是密码学中的一个术语;它与隐藏消息源无关。

对军情六处的内部攻击

邦德找到并逮捕了黑客(一位名叫Silva的前军情六处特工),并将他和他的笔记本电脑带到军情六处的新总部,且丝毫不知一切都是Silva布的局。这时候,新人物Q登场:名义上是军需官,功能上是军情六处的黑客,实际上是一个“小丑”。

为什么说他是一个“小丑”?且听分说!Q做的第一件事就是将Silva的笔记本电脑连接到MI6的内部网络,并尝试破译。下面是他的分析过程:

“Silva建立的故障安全协议会在有人尝试访问某些文件时,自动擦除内存。”

——如果Q真的知道这一点,那他为什么还要在安装了此类协议的计算机上继续分析Silva的数据?内存被擦除了怎么办?

lQDPDhrhwMH8q5vNBDjNCUiwBzNHNqdMo4kBnx3OqMBDAQ_2376_1080.jpg

“这是他的omega站点。这么高的加密度,像是混淆代码以隐藏其真正目的。晦涩即安全。”

——这句话基本上是一个没有统一逻辑的随机术语流。某些代码使用加密进行了混淆(更改为阻碍分析)——为什么不呢?但是要运行代码,必须先破译它,现在是弄清楚它是什么的好时机。此外,“晦涩即安全”确实是一种保护计算机系统的现实方法,其中,安全性依赖于使潜在的攻击者难以破解数据,而非强大的安全机制。这并不是最佳实践。在此,Q试图向观众传达的究竟是什么并不清楚。

lQDPDhrhwMFkFcDNBDjNCUiwKdll5AUek-wBnx3ObkBZAQ_2376_1080.jpg

“他正使用多态引擎来修改代码。每当我尝试获得访问权限时,它就会改变。”

——这就更废话了。代码在哪里,以及Q如何尝试访问它,谁也说不好。如果他在谈论文件,则存在内存擦除的风险(请参阅第一点)。至于多态性,严格来说,它是一种在创建新病毒副本时修改恶意代码的过时方法。它出现在这里也不合时宜。

lQDPDhrhwMFkFi3NBDjNCUiwaatE1oMQNMYBnx3OVABkAA_2376_1080.jpg

从视觉上看,Silva计算机上显示的一切就像一种极其复杂的物理移动图(spaghetti diagram,也称为意大利面条图),上面散布着看起来像十六进制代码的东西。眼尖的邦德在字母数字阵中发现了一个熟悉的名字:Granborough——伦敦一个废弃的地铁站,并建议用它作为钥匙。

当然,一些经验丰富的情报官员应该意识到,一条显而易见的重要信息就这么堂而皇之地出现在界面上绝对是一个陷阱。为什么敌人会把它留在这么显眼的地方?但是,毫无头绪的Q就这样毫不犹豫地输入了“Granborough”。结果,囚禁Silva的门打开了,“系统安全漏洞”消息闪烁,Q所能做的就是转身问:“谁能告诉我他到底是怎么进入我们系统的?!”几秒后,这位“专家”才最终决定将Silva的笔记本电脑与网络断开连接,试图“亡羊补牢”。

lQDPDhrhwMH8q8TNBDjNCUiwngQkBOM8APcBnx3OqMBDAA_2376_1080.jpg

我们也不清楚编剧是故意将Q描绘成一个笨手笨脚的业务爱好者,还是他们只是想在剧本中加入随机的网络安全术语,试图增加剧情的专业性(实则弄巧成拙)。

《007:幽灵党》

理论上讲,《幽灵党》旨在提出“九眼”(Nine Eyes)全球监视和情报计划作为反恐工具的合法性、道德和安全问题。但在实践中,创建电影中所示系统的唯一缺点是,如果联合特勤局(军情五处和军情六处的合并机构)的负责人被“策反”——也就是说,如果像以前一样,内部恶意人员获得了对英国政府信息系统的访问权限——那么这种系统的危害性将无法想象。

另一个内部威胁补充案例是,Q和Moneypenny在整部电影中一直在将机密信息传递给正式停职的邦德,而且还为当局传递了有关邦德下落的误导信息。他们的行为可能是为了更大的利益,但在情报工作方面,他们确实泄露了机密数据,至少是违反了职业操守。

《007:无暇赴死》

在克雷格时代的最后一部电影中,军情六处秘密开发了一种名为“赫拉克勒斯计划”(Project Heracles)的绝密武器,其原理就是利用纳米机器人,经过编码之后生成的一种超级生化武器,只需接触特定对象的皮肤就能致死。该武器是军情六处科学家和双重间谍(或三重间谍)Valdo Obruchev的心血结晶。

Obruchev将秘密文件复制到闪存驱动器上并吞下,之后,Spectre组织的特工闯入实验室,窃取了一些纳米机器人样本并绑架了这位奸诈的科学家。撇开人员背景调查问题不谈,为什么在开发秘密武器的实验室中没有数据丢失预防(DLP)系统——尤其是在顶着俄罗斯姓氏的Obruchev的计算机上?

此外,影片中还简要提到,由于大量DNA数据多次泄露,该武器可以有效地针对任何人。这一点也不是完全说不通,但后来我们了解到,这些泄露还包含军情六处特工的数据,这就让人难以相信了。为了将泄露的DNA数据与军情六处员工的数据进行匹配,必须公开这些特工的名单。这多少有点牵强。

最大槽点还要数超级大反派Blofeld的人工眼,虽然Blofeld在超级监狱里呆了多年,但这只人工眼与他的一个心腹的类似设备仍保持着全天候的视频链接。我们宽容一点,假设狱警没有发现囚犯的生物植入体。但是人工眼必须定期充电,想在超级监狱中不被发现应该很难,毕竟守卫也不全是吃素的!更何况在《幽灵党》结尾,Blofeld被拘留时并没有佩戴眼部装置,所以一定是有人在他被捕后给了他这种装置。所以,这是又一个伏笔?又一个内幕?

结语

我们宁愿相信所有这些荒谬的内容都是编剧的锅,而非军情六处网络安全实践的真实反映。至少,我们希望真正的政府机构不会泄露绝密武器,或将绝密代码以明文形式存储在甚至不会自动锁定的设备上。最后,我们只能建议编剧们提高自己的网络安全意识,例如参加网络安全课程。

近日,2021年备受期待的谍战动作大片《007:无暇赴死》(No Time to Die)震撼上映。作为“詹姆斯·邦德系列电影”,除了丹尼尔·克雷格本人未变外,电影的另一个统一之处在于,其中的军情六处员工完全缺乏对网络安全基础知识的了解。

这种疏忽是有意为之,还是由于编剧无能或是缺乏网络顾问,尚不清楚。无论如何,以下是我们在《007》系列电影中发现的一些荒谬之处,按上映顺序排列。剧透警告!

《007:大战皇家赌场》

在克雷格的第一部邦德电影中,我们看到了以下场景:邦德闯入其直属上司M夫人的家,并用她的笔记本电脑连接到某种间谍系统,以找出发送到恐怖分子手机的短信来源。实际上,邦德只有具备以下条件才能实现这一点:

lQDPDhrhwMFkFbzNBDjNCUiwR_KBKJwwwqYBnx3NyABZAA_2376_1080.jpg

◼军情六处(MI6)不强制执行自动屏幕锁定和注销策略,且M将她的笔记本电脑保持永久打开并登录的状态;

◼MI6不强制使用强密码,且M的密码很容易被猜到;

◼M夫人不知道如何对她的同事保密自己的密码,或者她使用已泄露的密码。

这些情况中的任何一种都会带来麻烦,但第三种情况最有可能;而且在故事的后面部分,邦德再次使用M的凭据远程登录到“安全网站”。

除了M外,邦德的密码态度也好不到哪里去。当他需要为保存其扑克奖金的秘密帐户创建密码(至少六个字符)时,他使用了同事(兼恋人)的名字“Vesper”。更重要的是,该密码实际上是对应数字的助记符,实际密码是6位数字。

《007:大破量子危机》 

在克雷格出演的5部邦德电影中,《量子危机》是计算机化程度最低的一部,即便如此,其中仍然包含一个值得关注的点。在影片的开头,我们认识了Craig Mitchell,一名在军情六处工作了八年的员工——作了M五年的私人保镖——实际上是一个双重间谍。

当然,这属于老生常谈的“内部威胁”问题,而非网络问题。不过,正如在前一部电影中看到的那样,M对密码的粗心大意表明,军情六处的秘密很可能已经掌握在世界各地的超级反派手中。

《007:天降危机》

《天降危机》是5部邦德电影中计算机化程度最高的一部。信息安全是该片的核心,从第一个场景都能看出网络发挥的重要作用。为了方便起见,我们将按时间顺序进行分析:

伊斯坦布尔的数据泄露事件 

一位身份不明的罪犯窃取了一个笔记本电脑硬盘,其中包含“潜伏在全球恐怖组织中几乎全部北约特工的身份”。甚至是军情六处的合作伙伴也不知道该名单的内容(甚至认为它根本不存在)。

lQDPDhrhwMDLfy7NBDjNCUiwLcM5x_Gu04EBnx3N2kBkAA_2376_1080.jpg

事实上,这种驱动器的想法本身已经是一个巨大的漏洞。假设数据库对军情六处至关重要(事实也确实如此)。那么,它怎么会在伊斯坦布尔的一个安全屋里?又怎么会只有三名特工负责保护?即使是驱动器被盗,它没有加密?并在进行任何解密尝试时提醒军情六处?

英国秘密情报局(SIS)受到网络恐怖攻击

第一起真正的网络事件登场:恐怖分子对英国秘密情报局(SIS)总部发起网络恐怖袭击。攻击者试图解密被盗的驱动器——根据安全系统追踪加密信号得出,信号似乎是来自M的个人计算机。之后,防御者拼命试图关闭计算机,但不法分子炸毁了泰晤士河畔的SIS大楼。

lQDPDhrhwMH8q2TNBDjNCUiwyP9kPdIrCa4Bnx3N5kBDAA_2376_1080.jpg

lQDPDhrhwMFkFcfNBDjNCUiwV3j8dujZfbUBnx3ObkBZAA_2376_1080.jpg

随后的调查显示,袭击者侵入了环境控制系统,关闭了安全防火墙,并打开了煤气阀;但在此之前,他们入侵了M的文件(包括她的日历)并提取了密码,解密出特工名单只是时间问题。

让我们假设M计算机上的被盗驱动器发出的警报代表了虚假信息或拖钓的企图(毕竟,驱动器不可能在建筑物中)。让我们忽略关于大楼供气的问题——谁知道呢,也许军情六处的走廊里还点着煤气灯。毕竟,英国是一片传统之地。

无论如何,入侵工控系统是完全可行的。但是,工控系统和M的计算机——据称是“英国最安全的计算机系统”——是如何最终出现在同一个网络上的呢?这涉及的显然是一个网络分段问题。更不用说,将驱动器解密代码存储在M的计算机上是另一个纯粹疏忽的例子,他们起码应该使用过密码管理器。

网络欺凌M

攻击者通过定期在公共领域发布特工的名单来羞辱M,并通过某种方式在她的笔记本电脑上闪现他们的消息——“记住你的罪行”。(似乎存在某种后门;否则他们怎么可能进来?)但军情六处的专家对检查笔记本电脑不感兴趣,只对追踪消息来源感兴趣。

lQDPDhrhwMDLf07NBDjNCUiwcVqwto8Km2EBnx3N-MBkAA_2376_1080.jpg

他们得出结论,它是由一种非对称安全算法发送的,该算法通过成百上千台服务器在全球范围内反射信号。这种策略可能确实存在,但在这种情况下,他们说是“非对称安全算法”多少有点莫名其妙。在现实世界中,非对称加密算法是密码学中的一个术语;它与隐藏消息源无关。

对军情六处的内部攻击

邦德找到并逮捕了黑客(一位名叫Silva的前军情六处特工),并将他和他的笔记本电脑带到军情六处的新总部,且丝毫不知一切都是Silva布的局。这时候,新人物Q登场:名义上是军需官,功能上是军情六处的黑客,实际上是一个“小丑”。

为什么说他是一个“小丑”?且听分说!Q做的第一件事就是将Silva的笔记本电脑连接到MI6的内部网络,并尝试破译。下面是他的分析过程:

“Silva建立的故障安全协议会在有人尝试访问某些文件时,自动擦除内存。”

——如果Q真的知道这一点,那他为什么还要在安装了此类协议的计算机上继续分析Silva的数据?内存被擦除了怎么办?

lQDPDhrhwMH8q5vNBDjNCUiwBzNHNqdMo4kBnx3OqMBDAQ_2376_1080.jpg

“这是他的omega站点。这么高的加密度,像是混淆代码以隐藏其真正目的。晦涩即安全。”

——这句话基本上是一个没有统一逻辑的随机术语流。某些代码使用加密进行了混淆(更改为阻碍分析)——为什么不呢?但是要运行代码,必须先破译它,现在是弄清楚它是什么的好时机。此外,“晦涩即安全”确实是一种保护计算机系统的现实方法,其中,安全性依赖于使潜在的攻击者难以破解数据,而非强大的安全机制。这并不是最佳实践。在此,Q试图向观众传达的究竟是什么并不清楚。

lQDPDhrhwMFkFcDNBDjNCUiwKdll5AUek-wBnx3ObkBZAQ_2376_1080.jpg

“他正使用多态引擎来修改代码。每当我尝试获得访问权限时,它就会改变。”

——这就更废话了。代码在哪里,以及Q如何尝试访问它,谁也说不好。如果他在谈论文件,则存在内存擦除的风险(请参阅第一点)。至于多态性,严格来说,它是一种在创建新病毒副本时修改恶意代码的过时方法。它出现在这里也不合时宜。

lQDPDhrhwMFkFi3NBDjNCUiwaatE1oMQNMYBnx3OVABkAA_2376_1080.jpg

从视觉上看,Silva计算机上显示的一切就像一种极其复杂的物理移动图(spaghetti diagram,也称为意大利面条图),上面散布着看起来像十六进制代码的东西。眼尖的邦德在字母数字阵中发现了一个熟悉的名字:Granborough——伦敦一个废弃的地铁站,并建议用它作为钥匙。

当然,一些经验丰富的情报官员应该意识到,一条显而易见的重要信息就这么堂而皇之地出现在界面上绝对是一个陷阱。为什么敌人会把它留在这么显眼的地方?但是,毫无头绪的Q就这样毫不犹豫地输入了“Granborough”。结果,囚禁Silva的门打开了,“系统安全漏洞”消息闪烁,Q所能做的就是转身问:“谁能告诉我他到底是怎么进入我们系统的?!”几秒后,这位“专家”才最终决定将Silva的笔记本电脑与网络断开连接,试图“亡羊补牢”。

lQDPDhrhwMH8q8TNBDjNCUiwngQkBOM8APcBnx3OqMBDAA_2376_1080.jpg

我们也不清楚编剧是故意将Q描绘成一个笨手笨脚的业务爱好者,还是他们只是想在剧本中加入随机的网络安全术语,试图增加剧情的专业性(实则弄巧成拙)。

《007:幽灵党》

理论上讲,《幽灵党》旨在提出“九眼”(Nine Eyes)全球监视和情报计划作为反恐工具的合法性、道德和安全问题。但在实践中,创建电影中所示系统的唯一缺点是,如果联合特勤局(军情五处和军情六处的合并机构)的负责人被“策反”——也就是说,如果像以前一样,内部恶意人员获得了对英国政府信息系统的访问权限——那么这种系统的危害性将无法想象。

另一个内部威胁补充案例是,Q和Moneypenny在整部电影中一直在将机密信息传递给正式停职的邦德,而且还为当局传递了有关邦德下落的误导信息。他们的行为可能是为了更大的利益,但在情报工作方面,他们确实泄露了机密数据,至少是违反了职业操守。

《007:无暇赴死》

在克雷格时代的最后一部电影中,军情六处秘密开发了一种名为“赫拉克勒斯计划”(Project Heracles)的绝密武器,其原理就是利用纳米机器人,经过编码之后生成的一种超级生化武器,只需接触特定对象的皮肤就能致死。该武器是军情六处科学家和双重间谍(或三重间谍)Valdo Obruchev的心血结晶。

Obruchev将秘密文件复制到闪存驱动器上并吞下,之后,Spectre组织的特工闯入实验室,窃取了一些纳米机器人样本并绑架了这位奸诈的科学家。撇开人员背景调查问题不谈,为什么在开发秘密武器的实验室中没有数据丢失预防(DLP)系统——尤其是在顶着俄罗斯姓氏的Obruchev的计算机上?

此外,影片中还简要提到,由于大量DNA数据多次泄露,该武器可以有效地针对任何人。这一点也不是完全说不通,但后来我们了解到,这些泄露还包含军情六处特工的数据,这就让人难以相信了。为了将泄露的DNA数据与军情六处员工的数据进行匹配,必须公开这些特工的名单。这多少有点牵强。

最大槽点还要数超级大反派Blofeld的人工眼,虽然Blofeld在超级监狱里呆了多年,但这只人工眼与他的一个心腹的类似设备仍保持着全天候的视频链接。我们宽容一点,假设狱警没有发现囚犯的生物植入体。但是人工眼必须定期充电,想在超级监狱中不被发现应该很难,毕竟守卫也不全是吃素的!更何况在《幽灵党》结尾,Blofeld被拘留时并没有佩戴眼部装置,所以一定是有人在他被捕后给了他这种装置。所以,这是又一个伏笔?又一个内幕?

结语

我们宁愿相信所有这些荒谬的内容都是编剧的锅,而非军情六处网络安全实践的真实反映。至少,我们希望真正的政府机构不会泄露绝密武器,或将绝密代码以明文形式存储在甚至不会自动锁定的设备上。最后,我们只能建议编剧们提高自己的网络安全意识,例如参加网络安全课程。